Vodič za usklađenost s nigerijskim Zakonom o zaštiti podataka iz 2023. u vezi s privolom za kolačiće za nakladnike u 2026.

Nigeria je godinama djelovala prema Uredbi o zaštiti podataka iz Nigerije iz 2019. (NDPR), podređenom propisu koji je izdao NITDA, a koji je nametao obveze po uzoru na GDPR bez pune zakonske ovlasti pravog zakona o zaštiti podataka. Nigerijski Zakon o zaštiti podataka iz 2023. (NDPA) promijenio je to. Usvojen od strane Nacionalne skupštine i potpisan u lipnju June 2023., Zakon je prvi sveobuhvatni zakon o zaštiti podataka u Nigeriji, a njime je osnovana Nigerijska komisija za zaštitu podataka (NDPC) kao samostalno nadzorno tijelo s ovlastima za provedbu koje su materijalno snažnije od onih koje je NITDA imao u starom režimu. Za nakladnike, SaaS operatere i dobavljače reklamnih tehnologija koji opslužuju nigerijski promet — tržište koje se brzo proširilo rastom fintech-a, e-trgovine i šire digitalne ekonomije zapadne Africa — NDPA je resetirao letvicu usklađenosti. Ovaj vodič prolazi kroz ono što Zakon zahtijeva, kako ga je NDPC tumačio za online praćenje i kako praktični rad na usklađenosti izgleda u 2026.

Pregled NDPA-a

NDPA je strukturiran oko šest temeljnih načela koja se jasno podudaraju s načelima iz Article 5 GDPR-a: zakonitost, poštenje i transparentnost, ograničenje svrhe, minimizacija podataka, točnost, ograničenje pohrane i sigurnost. Zakon se primjenjuje na svakog voditelja ili izvršitelja obrade koji obrađuje osobne podatke pojedinaca koji se nalaze u Nigeriji, s izvanteritorijalnim dosegom koji odražava GDPR Article 3. Inozemni nakladnik koji opslužuje nigerijske posjetitelje potpuno je obuhvaćen bez obzira na to gdje je nakladnik osnovan.

Zakonske osnove za obradu prema Section 25 također su poznate: privola, izvršenje ugovora, zakonska obveza, zaštita životno važnih interesa, javni interes i legitimni interes. Za online praćenje relevantne osnove su privola i — u uskim, dobro dokumentiranim okolnostima — legitimni interes. Opća direktiva o primjeni i provedbi (GAID) NDPC-a iz 2025. razjasnila je da je standard privole za nebitne kolačiće funkcionalno identičan onome u GDPR-u: slobodno dana, specifična, informirana, nedvosmislena privola koja se može povući jednako lako kao što je dana.

Prijelaz s NDPR-a na NDPA

Tri promjene između starog NDPR režima i novog NDPA-a najvažnije su za online nakladnike.

Zakonske ovlasti za provedbu

Ovlast NITDA-a prema NDPR-u temeljila se na podređenom propisu, što je ograničavalo snagu pravnih lijekova koje je agencija mogla tražiti. NDPC djeluje prema primarnom zakonodavstvu i može izdavati naloge za usklađenost, izricati administrativne novčane kazne vezane uz postotak godišnjeg prihoda te podnositi kaznene prijave za namjerna kršenja. Prelazak s regulatornog uvjeravanja na zakonsku provedbu najznačajnija je operativna promjena.

Obvezne obveze službenika za zaštitu podataka

NDPA obvezuje voditelje obrade podataka koji premašuju određene pragove obrade da imenuju Službenika za zaštitu podataka (DPO) i registriraju se pri NDPC-u. Pragovi obuhvaćaju većinu relevantnih online nakladnika i SaaS operatera koji opslužuju nigerijske korisnike.

Okvir za prekogranični prijenos podataka

NDPA je kodificirao pravila o prekograničnom prijenosu koja je NDPR tretirao samo površno. Sections 41-43 zahtijevaju da se prijenosi u jurisdikcije bez odgovarajuće razine zaštite odvijaju putem jednog od nekoliko nabrojenih mehanizama — odluka o primjerenosti, obvezujuća korporativna pravila, ugovorna zaštitna jamstva ili posebne iznimke — pri čemu NDPC objavljuje popis odobrenih instrumenata.

Kako NDPA tretira kolačiće i online praćenje

NDPA ne sadrži odredbu specifičnu za kolačiće; obveze privole i informiranja proizlaze iz općeg okvira. GAID NDPC-a i niz javnih smjernica objavljenih kroz 2024. i 2025. artikulirali su posebna očekivanja za online praćenje.

Izričita privola za nebitne kolačiće

Stav NDPC-a usklađen je s radnom skupinom EDPB-a za bannere kolačića i ekvivalentnim stajalištima usporedivih afričkih regulatora (kenijski ODPC, Informacijski regulator Južne Africa). Pomicanje stranice kao privola, nastavak korištenja kao privola i unaprijed označeni okviri izričite su manjkavosti.

Granularne kontrole kategorija

Banneri moraju odvojiti strogo neophodne kolačiće od analitičkih i marketinških, pri čemu je svaka kategorija neovisno kontrolabilna. Skupno prihvati-sve bez granularnosti tretira se kao neuspjeh u ispunjavanju kriterija "specifičnosti" standarda privole.

Dokumentirana zakonska osnova

Section 26 NDPA-a kodificira odgovornost — voditelji moraju biti u stanju dokazati svoju zakonsku osnovu za svaku aktivnost obrade na zahtjev. Za postavljanje kolačića to se prevodi u bilježenje privole revizorske kvalitete: vremenska oznaka, verzija bannera, odabir korisnika i zakonska osnova za svaku kategoriju koja se aktivira.

Otkrivanje prekograničnih prijenosa

Za kolačiće koji preusmjeravaju podatke dobavljačima izvan Nigerije — većini dobavljača reklamnih tehnologija sa sjedištem u SAD-u, analitičkim platformama sa sjedištem u EU — obavijest o privatnosti mora identificirati primatelja prijenosa i zaštitno jamstvo na temelju kojeg se prijenos odvija. Generički jezik o tome da "koristimo treće strane" ne zadovoljava očekivanja NDPC-a.

Pristup provedbi Nigerijske komisije za zaštitu podataka

NDPC je namjerno okrenut javnosti od svog osnivanja 2023. Njegov pristup provedbi slijedi tri vidljiva obrasca.

Visokoprofilni rani slučajevi

NDPC je davao prioritet vidljivim ranim slučajevima protiv dobro poznatih operatera kako bi uspostavio presedan i signalizirao ozbiljnost. Nekoliko fintech i telekomunikacijskih operatera primilo je naloge za usklađenost u 2024. i 2025. uz javnu komunikaciju o sanaciji.

Sektorski pregledi

Osim slučajeva pokrenutih prigovorima, NDPC je provodio sektorske preglede fintech, zdravstvenih i e-commerce operatera. Pregledi obično počinju zahtjevom za dokumentaciju (obavijesti o privatnosti, dnevnici privole, popisi dobavljača) i eskaliraju na temelju onoga što dokumentacija otkriva.

Koordinacija s afričkim i europskim regulatorima

NDPC sudjeluje u radnom tijeku za tokove podataka u okviru Continental Free Trade Area Afričke unije (African Union) i održava radne odnose s EDPB-om i glavnim nacionalnim tijelima za zaštitu podataka (DPA). Prekogranične istrage koje uključuju nigerijski i europski promet sve se češće rješavaju koordiniranim postupcima.

Praktični popis za provjeru usklađenosti

Šest konkretnih pitanja na koja treba odgovoriti za svaki banner kolačića koji opslužuje nigerijski promet.

Mjesto Nigerije u višejurisdikcijskom skupu

Nigeria je po broju korisnika najveće digitalno tržište u Africa, a NDPA sve više postaje predložak na koji se druge afričke jurisdikcije pozivaju pri modernizaciji vlastitih okvira. Arhitektura usklađenosti izgrađena prema europskim standardima rješava nigerijsku usklađenost uz iste vrste manjih prilagodbi konfiguracije koje zahtijeva Novi Zeland: imenovanje DPO-a tamo gdje se primjenjuju pragovi, dokumentacija o prijenosima u stilu NDPC-a i objavljivanja na engleskom jeziku koja poštuju nigerijske jezične konvencije. Za nakladnike koji grade prema pan-afričkim operacijama, NDPA stoji uz DPA 2019 Kenije, POPIA Južne Africa i nastajući okvir Egipta kao četiri operativno najvažnija afrička režima. Ispravno postizanje nigerijske usklađenosti značajno je na vlastitom tržištu i signalizira kontinentalnu spremnost za ostatak.

← Blog Pročitaj sve →