חוק Nigeria Data Protection Act 2023 – מדריך ציות להסכמת עוגיות למפרסמים בשנת 2026

Nigeria פעלה במשך שנים תחת תקנת הגנת הנתונים של Nigeria לשנת 2019 (NDPR), תקנה משנית שהוציאה NITDA אשר הטילה התחייבויות בסגנון GDPR ללא הסמכות הסטטוטורית המלאה של חוק הגנת נתונים ראוי. ה-Nigeria Data Protection Act 2023 (NDPA) שינה זאת. לאחר שאושר על ידי האסיפה הלאומית ונחתם ב-June 2023, החוק הוא חוק הגנת הנתונים המקיף הראשון של Nigeria, והוא הקים את ועדת הגנת הנתונים של Nigeria (NDPC) כרשות פיקוח עצמאית עם סמכויות אכיפה חזקות מהותית מאלו של NITDA תחת המשטר הישן. עבור מוציאים לאור, מפעילי SaaS וספקי ad-tech המשרתים תנועה ניגרית — שוק שהתרחב במהירות עם צמיחת ה-fintech, המסחר האלקטרוני והמשק הדיגיטלי הרחב יותר של מערב Africa — ה-NDPA קבע מחדש את רף הציות. מדריך זה עובר על מה שהחוק דורש, כיצד ה-NDPC פירשה אותו בנוגע למעקב מקוון, ומהי עבודת הציות המעשית בשנת 2026.

ה-NDPA בתמצית

ה-NDPA בנוי סביב שישה עקרונות מרכזיים הממפים בבהירות לסעיף Article 5 של ה-GDPR: חוקיות, הוגנות ושקיפות, הגבלת מטרה, מזעור נתונים, דיוק, הגבלת אחסון ואבטחה. החוק חל על כל בקר נתונים או מעבד המעבד מידע אישי של אנשים הממוקמים ב-Nigeria, עם תחולה חוץ-טריטוריאלית המשקפת את Article 3 של ה-GDPR. מוציא לאור שפועל מחו״ל ומשרת מבקרים ניגריים נכלל בתחולה ללא ספק, ללא קשר למקום שבו הוא מאוגד.

הבסיסים החוקיים של החוק תחת Section 25 מוכרים אף הם: הסכמה, ביצוע חוזה, התחייבות משפטית, אינטרסים חיוניים, אינטרס ציבורי ואינטרס לגיטימי. עבור מעקב מקוון הבסיסים הרלוונטיים הם הסכמה ו— בנסיבות מצומצמות ומתועדות היטב — אינטרס לגיטימי. ה-GAID של ה-NDPC לשנת 2025 (General Application and Implementation Directive) הבהיר כי תקן ההסכמה לעוגיות שאינן חיוניות זהה מבחינה פונקציונלית לתקן ה-GDPR: ניתנת בחופשיות, ספציפית, מדעת, חד-משמעית, וניתנת לביטול בקלות כפי שניתנה.

המעבר מ-NDPR ל-NDPA

שלושה שינויים בין משטר ה-NDPR הישן ל-NDPA החדש חשובים ביותר למוציאים לאור מקוונים.

סמכויות אכיפה סטטוטוריות

סמכותה של NITDA תחת ה-NDPR נשענה על תקנה משנית, דבר שהגביל את עוצמת הסעדים שהסוכנות יכלה לנקוט. ה-NDPC פועלת מכוח חקיקה ראשית ויכולה להוציא צווי ציות, להטיל קנסות מנהליים הצמודים לאחוז מההכנסה השנתית, ולהפנות עניינים לתובע הכללי בגין הפרות מכוונות. המעבר משכנוע רגולטורי לאכיפה סטטוטורית הוא השינוי התפעולי המשמעותי ביותר.

חובות מינוי קצין הגנת הנתונים

ה-NDPA מחייב בקרי נתונים מעל לסף עיבוד מסוים למנות קצין הגנת נתונים (DPO) ולהירשם ב-NDPC. הסף תופס את רוב המוציאים לאור המשמעותיים ומפעילי ה-SaaS המשרתים משתמשים ניגריים.

מסגרת העברות חוצות גבולות

ה-NDPA עיגן כללי העברה חוצי גבולות שה-NDPR התייחס אליהם בצורה רופפת בלבד. Sections 41-43 מחייבים כי העברות לתחומי שיפוט שאינם מוכרים כנאותים יתבצעו במסגרת אחד ממספר מנגנונים מנויים — הכרזת נאותות, כללים ארגוניים מחייבים, הגנות חוזיות, או חריגים ספציפיים — כאשר ה-NDPC מפרסמת רשימה של מכשירים מאושרים.

כיצד ה-NDPA מתייחס לעוגיות ולמעקב מקוון

ה-NDPA אינו כולל הוראה ספציפית לעוגיות; חובות ההסכמה והמידע נובעות מהמסגרת הכללית. ה-GAID של ה-NDPC וסדרת הנחיות ציבוריות שפורסמו במהלך 2024 ו-2025 ניסחו ציפיות ספציפיות למעקב מקוון.

הסכמה אקטיבית לעוגיות שאינן חיוניות

עמדת ה-NDPC מתיישבת עם ה-EDPB Cookie Banner Taskforce ועם עמדות מקבילות של רגולטורים African דומים (ה-ODPC של קניה, רגולטור המידע של דרום Africa). גלילה כהסכמה, המשך שימוש כהסכמה ותיבות סימון מסומנות מראש הם פגמים מפורשים.

בקרות קטגוריה פרטניות

הבאנרים חייבים להפריד בין עוגיות הכרחיות לחלוטין לבין ניתוח נתונים ולבין שיווק, כאשר כל קטגוריה ניתנת לשליטה עצמאית. אישור כולל ללא פרטניות מטופל ככישלון של הזרוע ה״ספציפית״ של תקן ההסכמה.

בסיס חוקי מתועד

Section 26 של ה-NDPA מעגן אחריותיות — בקרים חייבים להיות מסוגלים להוכיח את בסיסם החוקי לכל פעילות עיבוד על פי דרישה. עבור פריסות עוגיות הדבר מתורגם לרישום הסכמות ברמת ביקורת: חותמת זמן, גרסת הבאנר, בחירת המשתמש, והבסיס החוקי הנטען לכל קטגוריה שמופעלת.

גילוי העברות חוצות גבולות

לגבי עוגיות המנתבות נתונים לספקים מחוץ ל-Nigeria — רוב ספקי ה-ad-tech מבוססי ארה״ב, פלטפורמות ניתוח הנתונים מבוססות ה-EU — הודעת הפרטיות חייבת לזהות את מקבל ההעברה ואת אמצעי ההגנה שמכוחו מתבצעת ההעברה. שפה כללית כגון ״אנו משתמשים בצדדים שלישיים״ אינה עומדת בציפיות ה-NDPC.

עמדת האכיפה של ועדת הגנת הנתונים של Nigeria

ה-NDPC פעלה בצורה ציבורית-מכוונת מאז הקמתה בשנת 2023. עמדת האכיפה שלה עוקבת אחר שלושה דפוסים ניתנים לצפייה.

מקרים ראשוניים בולטים

ה-NDPC העדיפה מקרים ראשוניים בולטים נגד מפעילים ידועים כדי לבסס תקדים ולאותת על רצינות. מספר מפעילי fintech וטלקום קיבלו צווי ציות בשנים 2024 ו-2025 עם תקשורת ציבורית סביב הסעד.

סריקות סקטוריאליות

מעבר למקרים המונעים מתלונות, ה-NDPC ביצעה סקירות סקטוריאליות של מפעילי fintech, בריאות ומסחר אלקטרוני. הסריקות מתחילות בדרך כלל בבקשת תיעוד (הודעות פרטיות, יומני הסכמה, רשימות ספקים) ומסלימות על סמך מה שהתיעוד מגלה.

תיאום עם רגולטורים African ואירופאים

ה-NDPC משתתפת במסגרת עבודת זרימת הנתונים של ה-Continental Free Trade Area של ה-African Union ומקיימת קשרי עבודה עם ה-EDPB ועם DPA לאומיים מרכזיים. חקירות חוצות גבולות הכוללות תנועה ניגרית ואירופאית מטופלות יותר ויותר דרך נהלים מתואמים.

רשימת בדיקה מעשית לציות

שש שאלות קונקרטיות לענות עליהן עבור כל באנר עוגיות המשרת תנועה ניגרית.

היכן Nigeria משתלבת במחסנית רב-שיפוטית

Nigeria היא שוק הדיגיטל הגדול ביותר ב-Africa מבחינת מספר משתמשים, וה-NDPA הופך יותר ויותר לתבנית שתחומי שיפוט African אחרים מפנים אליה בעת שהם מחדשים את מסגרותיהם. ארכיטקטורת ציות הבנויה לפי תקנים אירופאים מטפלת בציות הניגרי עם אותו סוג של התאמות תצורה קלות שניו זילנד דורשת: מינוי DPO כאשר הסף חל, תיעוד העברות בסגנון NDPC, וגילויים באנגלית הנכבדים את הנורמות הלשוניות הניגריות. עבור מוציאים לאור הבונים לקראת פעולות pan-African, ה-NDPA מתייצב לצד ה-DPA של קניה לשנת 2019, ה-POPIA של דרום Africa ומסגרת מצרים המתהווה כארבעת המשטרים ה-African בעלי ההשלכות התפעוליות המשמעותיות ביותר. השגת ציות ניגרי נכון היא משמעותית בשוקה שלה ומאותתת על מוכנות יבשתית ליתר השווקים.

← בdelays delays קרא הכל →