A nigeriai adatvédelmi törvény 2023 – Útmutató a cookie-hozzájárulás megfelelőségéhez kiadók számára 2026-ban
Nigeria évekig a nigeriai adatvédelmi rendelet 2019 (NDPR) hatálya alatt működött, amely egy NITDA által kiadott alárendelt rendelet volt, és GDPR-jellegű kötelezettségeket írt elő megfelelő adatvédelmi törvény teljes törvényi felhatalmazása nélkül. A nigeriai adatvédelmi törvény 2023 (NDPA) megváltoztatta ezt. A Nemzeti Gyűlés által elfogadott és June 2023-ban aláírt törvény Nigeria első átfogó adatvédelmi jogszabálya, amely létrehozta a nigeriai adatvédelmi bizottságot (NDPC) önálló felügyeleti hatóságként, amelynek végrehajtási hatáskörei lényegesen erősebbek, mint a NITDA-é volt a korábbi rendszer alatt. Az NDPA újrafogalmazta a megfelelési mércét a nigeriai forgalmat kiszolgáló kiadók, SaaS-üzemeltetők és reklámtechnológiai szállítók számára — olyan piac számára, amely gyorsan bővült a fintech, az e-kereskedelem és a tágabb nyugat-afrikai digitális gazdaság növekedésével. Ez az útmutató áttekinti, hogy mit követel a törvény, hogyan értelmezte azt az NDPC az online nyomon követésre vonatkozóan, és hogy milyen a gyakorlati megfelelési munka 2026-ban.
Az NDPA vázlata
Az NDPA hat alapelv köré épül, amelyek tisztán leképezik a GDPR Article 5 elveit: jogszerűség, tisztességesség és átláthatóság, célkorlátozás, adatminimalizálás, pontosság, tárolási korlátozás és biztonság. A törvény hatálya alá tartozik minden adatkezelő vagy feldolgozó, aki Nigériában tartózkodó személyek személyes adatait kezeli, a GDPR Article 3-at tükröző extraterritoriális hatállyal. Egy offshore kiadó, amely nigeriai látogatókat szolgál ki, egyértelműen a hatálya alá esik, függetlenül attól, hogy hol van letelepedve.
A törvény Section 25 szerinti jogszerű jogalapjai szintén ismerősek: hozzájárulás, szerződés teljesítése, jogi kötelezettség, létfontosságú érdekek, közérdek és jogos érdek. Az online nyomon követés esetén a releváns jogalapok a hozzájárulás és — szűk, jól dokumentált körülmények között — a jogos érdek. Az NDPC 2025-ös általános alkalmazási és végrehajtási irányelve (GAID) tisztázta, hogy a nem alapvető cookie-kra vonatkozó hozzájárulási szabvány funkcionálisan azonos a GDPR-éval: szabadon adott, konkrét, tájékozott, egyértelmű, és ugyanolyan könnyen visszavonható, mint ahogy megadták.
Az NDPR-ről az NDPA-ra való átmenet
A régi NDPR rendszer és az új NDPA között három változás a legfontosabb az online kiadók számára.
Törvényi végrehajtási hatáskörök
A NITDA NDPR alatti hatásköre egy alárendelt rendeleten alapult, amely korlátozta az ügynökség által érvényesíthető jogorvoslatok erejét. Az NDPC elsődleges jogszabály alapján működik, megfelelési végzéseket adhat ki, az éves bevétel százalékához kötött közigazgatási bírságokat szabhat ki, és szándékos jogsértések esetén büntetőeljárást kezdeményezhet. A szabályozási meggyőzésről a törvényi végrehajtásra való váltás a legjelentősebb operatív változás.
Kötelező adatvédelmi tisztviselői kötelezettségek
Az NDPA megköveteli, hogy a meghatározott feldolgozási küszöbértékeket meghaladó adatkezelők adatvédelmi tisztviselőt (DPO) jelöljenek ki és regisztráljanak az NDPC-nél. A küszöbértékek lefedik a legtöbb jelentős online kiadót és a nigeriai felhasználókat kiszolgáló SaaS-üzemeltetőt.
Határon átnyúló adattovábbítási keretrendszer
Az NDPA kodifikálta a határon átnyúló adattovábbítási szabályokat, amelyeket az NDPR csak lazán kezelt. A Sections 41-43 értelmében a nem megfelelő joghatóságokba irányuló adattovábbításoknak számos felsorolt mechanizmus egyike szerint kell folytatódniuk — megfelelőségi megállapítás, kötelező erejű vállalati szabályok, szerződéses garanciák vagy konkrét eltérések —, az NDPC által közzétett jóváhagyott eszközök listájával.
Hogyan kezeli az NDPA a cookie-kat és az online nyomon követést
Az NDPA nem tartalmaz cookie-specifikus rendelkezést; a hozzájárulási és tájékoztatási kötelezettségek az általános keretrendszerből erednek. Az NDPC GAID-ja és a 2024-ben és 2025-ben közzétett nyilvános iránymutatási megjegyzések sorozata konkrét elvárásokat fogalmazott meg az online nyomon követéssel kapcsolatban.
Aktív hozzájárulás a nem alapvető cookie-khoz
Az NDPC álláspontja összhangban van az EDPB cookie-banner munkacsoportjával és az összehasonlítható afrikai szabályozók — Kenya ODPC-je, Dél-Afrika Információs Szabályozója — egyenértékű álláspontjaival. A görgetés mint hozzájárulás, a folyamatos használat mint hozzájárulás és az előre bejelölt négyzetek kifejezett hibák.
Részletes kategóriaellenőrzések
A bannereken el kell különíteni a feltétlenül szükséges cookie-kat az elemzési és marketingcélú cookie-któl, és minden kategóriának önállóan vezérelhetőnek kell lennie. Az összes elfogadása összesített lehetőségként, részletesség nélkül, a hozzájárulási szabvány „konkrét” szempontjának kudarcaként kezelendő.
Dokumentált jogszerű jogalap
Az NDPA Section 26 kodifikálja az elszámoltathatóságot — az adatkezelőknek képesnek kell lenniük arra, hogy igény szerint igazolják az egyes feldolgozási tevékenységek jogszerű jogalapját. Cookie-telepítések esetén ez naplózási szintű hozzájárulás-rögzítést jelent: időbélyeg, bannerverzió, a felhasználó döntése és az egyes aktivált kategóriák jogszerű jogalapja.
Határon átnyúló adattovábbítás közzététele
Az olyan cookie-knál, amelyek Nigérián kívüli szállítókhoz irányítanak adatokat — a legtöbb USA-beli reklámtechnológiai szállítóhoz, EU-beli elemzési platformhoz —, az adatvédelmi értesítésnek azonosítania kell az adattovábbítás fogadóját és azt a garanciát, amely alapján az adattovábbítás történik. A „harmadik feleket veszünk igénybe” általános megfogalmazás nem elégíti ki az NDPC elvárásait.
A nigeriai adatvédelmi bizottság végrehajtási magatartása
Az NDPC szándékosan nyilvános arculatot mutat 2023-as megalakulása óta. Végrehajtási magatartása három megfigyelhető mintát követ.
Magas profilú korai ügyek
Az NDPC prioritást adott a jól ismert üzemeltetők ellen indított látványos korai ügyeknek, hogy precedenst állítson fel és jelezze a komoly szándékot. Számos fintech- és telekommunikációs üzemeltető kapott megfelelési végzést 2024-ben és 2025-ben, nyilvános kommunikációval a helyreállítás körül.
Szektorális vizsgálatok
A panasz alapú ügyeken túl az NDPC szektorális felülvizsgálatokat végzett fintech-, egészségügyi és e-kereskedelmi üzemeltetők körében. A vizsgálatok általában dokumentációkérésekkel kezdődnek — adatvédelmi értesítések, hozzájárulási naplók, szállítói listák —, és a dokumentáció által feltárt eredmények alapján eszkalálódnak.
Együttműködés afrikai és európai szabályozókkal
Az NDPC részt vesz az African Union Continental Free Trade Area adatáramlási munkafolyamatában, és működő kapcsolatokat tart fenn az EDPB-vel és a fontosabb nemzeti adatvédelmi hatóságokkal. A nigeriai és európai forgalmat érintő határon átnyúló vizsgálatokat egyre inkább koordinált eljárások keretében kezelik.
Gyakorlati megfelelési ellenőrzőlista
Hat konkrét kérdés, amelyre választ kell adni minden nigeriai forgalmat kiszolgáló cookie-banner esetén.
- Van-e explicit első rétegű elutasítás? Az aktív beleegyezés kötelező; a görgetés mint hozzájárulás és az előre bejelölt négyzetek nem felelnek meg a GAID követelményeinek.
- Részletesek a kategóriák? A szükséges, elemzési és marketingcélú cookie-knak önállóan vezérelhetőknek kell lenniük.
- Ki van-e jelölve és regisztrálva a DPO? Ha a feldolgozás meghaladja az NDPC regisztrációs küszöbét, erősítse meg a DPO kijelölését és az NDPC-regisztrációt.
- Dokumentáltak-e a határon átnyúló adattovábbítások? Azonosítsa az egyes nem nigériai célállomásokat és az adattovábbítást engedélyező Section 41-43 garanciát.
- Megfelel-e az adatvédelmi értesítés az NDPA-nak? Erősítse meg, hogy az értesítés azonosítja az adatkezelőt, a célokat, a fogadókat, a megőrzési időszakot és a Section 33 szerinti jogok keretrendszerét.
- Naplózási szintű-e a hozzájárulás rögzítése? Az időbélyegnek, a bannerverziának, a döntésnek és a jogszerű jogalapnak igény szerint visszakereshetőknek kell lenniük.
Nigeria helye a többjoghatóságú megfelelési keretrendszerben
Nigeria a legnagyobb digitális piac Africa-ban felhasználószám szerint, és az NDPA egyre inkább az a sablon, amelyre más afrikai joghatóságok hivatkoznak saját kereteik modernizálásakor. Az európai szabványoknak megfelelően felépített megfelelési architektúra a nigeriai megfelelést ugyanolyan kisebb konfigurációs módosításokkal kezeli, amelyeket Új-Zéland igényel: DPO kijelölése a küszöbértékek alkalmazásakor, NDPC-stílusú adattovábbítási dokumentáció és angol nyelvű közzétételek, amelyek tiszteletben tartják a nigeriai nyelvi konvenciókat. A pán-afrikai működés felé törekvő kiadók számára az NDPA a Kenya DPA 2019, a Dél-Afrika POPIA és Egyiptom kialakuló keretrendszere mellett a négy leginkább operatívan meghatározó afrikai rezsim egyike. A nigeriai megfelelés helyes megszerzése önmagában értékes a saját piacon, és a kontinentális felkészültséget jelzi a többi számára.