A nigeriai adatvédelmi törvény 2023 – Útmutató a cookie-hozzájárulás megfelelőségéhez kiadók számára 2026-ban

Nigeria évekig a nigeriai adatvédelmi rendelet 2019 (NDPR) hatálya alatt működött, amely egy NITDA által kiadott alárendelt rendelet volt, és GDPR-jellegű kötelezettségeket írt elő megfelelő adatvédelmi törvény teljes törvényi felhatalmazása nélkül. A nigeriai adatvédelmi törvény 2023 (NDPA) megváltoztatta ezt. A Nemzeti Gyűlés által elfogadott és June 2023-ban aláírt törvény Nigeria első átfogó adatvédelmi jogszabálya, amely létrehozta a nigeriai adatvédelmi bizottságot (NDPC) önálló felügyeleti hatóságként, amelynek végrehajtási hatáskörei lényegesen erősebbek, mint a NITDA-é volt a korábbi rendszer alatt. Az NDPA újrafogalmazta a megfelelési mércét a nigeriai forgalmat kiszolgáló kiadók, SaaS-üzemeltetők és reklámtechnológiai szállítók számára — olyan piac számára, amely gyorsan bővült a fintech, az e-kereskedelem és a tágabb nyugat-afrikai digitális gazdaság növekedésével. Ez az útmutató áttekinti, hogy mit követel a törvény, hogyan értelmezte azt az NDPC az online nyomon követésre vonatkozóan, és hogy milyen a gyakorlati megfelelési munka 2026-ban.

Az NDPA vázlata

Az NDPA hat alapelv köré épül, amelyek tisztán leképezik a GDPR Article 5 elveit: jogszerűség, tisztességesség és átláthatóság, célkorlátozás, adatminimalizálás, pontosság, tárolási korlátozás és biztonság. A törvény hatálya alá tartozik minden adatkezelő vagy feldolgozó, aki Nigériában tartózkodó személyek személyes adatait kezeli, a GDPR Article 3-at tükröző extraterritoriális hatállyal. Egy offshore kiadó, amely nigeriai látogatókat szolgál ki, egyértelműen a hatálya alá esik, függetlenül attól, hogy hol van letelepedve.

A törvény Section 25 szerinti jogszerű jogalapjai szintén ismerősek: hozzájárulás, szerződés teljesítése, jogi kötelezettség, létfontosságú érdekek, közérdek és jogos érdek. Az online nyomon követés esetén a releváns jogalapok a hozzájárulás és — szűk, jól dokumentált körülmények között — a jogos érdek. Az NDPC 2025-ös általános alkalmazási és végrehajtási irányelve (GAID) tisztázta, hogy a nem alapvető cookie-kra vonatkozó hozzájárulási szabvány funkcionálisan azonos a GDPR-éval: szabadon adott, konkrét, tájékozott, egyértelmű, és ugyanolyan könnyen visszavonható, mint ahogy megadták.

Az NDPR-ről az NDPA-ra való átmenet

A régi NDPR rendszer és az új NDPA között három változás a legfontosabb az online kiadók számára.

Törvényi végrehajtási hatáskörök

A NITDA NDPR alatti hatásköre egy alárendelt rendeleten alapult, amely korlátozta az ügynökség által érvényesíthető jogorvoslatok erejét. Az NDPC elsődleges jogszabály alapján működik, megfelelési végzéseket adhat ki, az éves bevétel százalékához kötött közigazgatási bírságokat szabhat ki, és szándékos jogsértések esetén büntetőeljárást kezdeményezhet. A szabályozási meggyőzésről a törvényi végrehajtásra való váltás a legjelentősebb operatív változás.

Kötelező adatvédelmi tisztviselői kötelezettségek

Az NDPA megköveteli, hogy a meghatározott feldolgozási küszöbértékeket meghaladó adatkezelők adatvédelmi tisztviselőt (DPO) jelöljenek ki és regisztráljanak az NDPC-nél. A küszöbértékek lefedik a legtöbb jelentős online kiadót és a nigeriai felhasználókat kiszolgáló SaaS-üzemeltetőt.

Határon átnyúló adattovábbítási keretrendszer

Az NDPA kodifikálta a határon átnyúló adattovábbítási szabályokat, amelyeket az NDPR csak lazán kezelt. A Sections 41-43 értelmében a nem megfelelő joghatóságokba irányuló adattovábbításoknak számos felsorolt mechanizmus egyike szerint kell folytatódniuk — megfelelőségi megállapítás, kötelező erejű vállalati szabályok, szerződéses garanciák vagy konkrét eltérések —, az NDPC által közzétett jóváhagyott eszközök listájával.

Hogyan kezeli az NDPA a cookie-kat és az online nyomon követést

Az NDPA nem tartalmaz cookie-specifikus rendelkezést; a hozzájárulási és tájékoztatási kötelezettségek az általános keretrendszerből erednek. Az NDPC GAID-ja és a 2024-ben és 2025-ben közzétett nyilvános iránymutatási megjegyzések sorozata konkrét elvárásokat fogalmazott meg az online nyomon követéssel kapcsolatban.

Aktív hozzájárulás a nem alapvető cookie-khoz

Az NDPC álláspontja összhangban van az EDPB cookie-banner munkacsoportjával és az összehasonlítható afrikai szabályozók — Kenya ODPC-je, Dél-Afrika Információs Szabályozója — egyenértékű álláspontjaival. A görgetés mint hozzájárulás, a folyamatos használat mint hozzájárulás és az előre bejelölt négyzetek kifejezett hibák.

Részletes kategóriaellenőrzések

A bannereken el kell különíteni a feltétlenül szükséges cookie-kat az elemzési és marketingcélú cookie-któl, és minden kategóriának önállóan vezérelhetőnek kell lennie. Az összes elfogadása összesített lehetőségként, részletesség nélkül, a hozzájárulási szabvány „konkrét” szempontjának kudarcaként kezelendő.

Dokumentált jogszerű jogalap

Az NDPA Section 26 kodifikálja az elszámoltathatóságot — az adatkezelőknek képesnek kell lenniük arra, hogy igény szerint igazolják az egyes feldolgozási tevékenységek jogszerű jogalapját. Cookie-telepítések esetén ez naplózási szintű hozzájárulás-rögzítést jelent: időbélyeg, bannerverzió, a felhasználó döntése és az egyes aktivált kategóriák jogszerű jogalapja.

Határon átnyúló adattovábbítás közzététele

Az olyan cookie-knál, amelyek Nigérián kívüli szállítókhoz irányítanak adatokat — a legtöbb USA-beli reklámtechnológiai szállítóhoz, EU-beli elemzési platformhoz —, az adatvédelmi értesítésnek azonosítania kell az adattovábbítás fogadóját és azt a garanciát, amely alapján az adattovábbítás történik. A „harmadik feleket veszünk igénybe” általános megfogalmazás nem elégíti ki az NDPC elvárásait.

A nigeriai adatvédelmi bizottság végrehajtási magatartása

Az NDPC szándékosan nyilvános arculatot mutat 2023-as megalakulása óta. Végrehajtási magatartása három megfigyelhető mintát követ.

Magas profilú korai ügyek

Az NDPC prioritást adott a jól ismert üzemeltetők ellen indított látványos korai ügyeknek, hogy precedenst állítson fel és jelezze a komoly szándékot. Számos fintech- és telekommunikációs üzemeltető kapott megfelelési végzést 2024-ben és 2025-ben, nyilvános kommunikációval a helyreállítás körül.

Szektorális vizsgálatok

A panasz alapú ügyeken túl az NDPC szektorális felülvizsgálatokat végzett fintech-, egészségügyi és e-kereskedelmi üzemeltetők körében. A vizsgálatok általában dokumentációkérésekkel kezdődnek — adatvédelmi értesítések, hozzájárulási naplók, szállítói listák —, és a dokumentáció által feltárt eredmények alapján eszkalálódnak.

Együttműködés afrikai és európai szabályozókkal

Az NDPC részt vesz az African Union Continental Free Trade Area adatáramlási munkafolyamatában, és működő kapcsolatokat tart fenn az EDPB-vel és a fontosabb nemzeti adatvédelmi hatóságokkal. A nigeriai és európai forgalmat érintő határon átnyúló vizsgálatokat egyre inkább koordinált eljárások keretében kezelik.

Gyakorlati megfelelési ellenőrzőlista

Hat konkrét kérdés, amelyre választ kell adni minden nigeriai forgalmat kiszolgáló cookie-banner esetén.

Nigeria helye a többjoghatóságú megfelelési keretrendszerben

Nigeria a legnagyobb digitális piac Africa-ban felhasználószám szerint, és az NDPA egyre inkább az a sablon, amelyre más afrikai joghatóságok hivatkoznak saját kereteik modernizálásakor. Az európai szabványoknak megfelelően felépített megfelelési architektúra a nigeriai megfelelést ugyanolyan kisebb konfigurációs módosításokkal kezeli, amelyeket Új-Zéland igényel: DPO kijelölése a küszöbértékek alkalmazásakor, NDPC-stílusú adattovábbítási dokumentáció és angol nyelvű közzétételek, amelyek tiszteletben tartják a nigeriai nyelvi konvenciókat. A pán-afrikai működés felé törekvő kiadók számára az NDPA a Kenya DPA 2019, a Dél-Afrika POPIA és Egyiptom kialakuló keretrendszere mellett a négy leginkább operatívan meghatározó afrikai rezsim egyike. A nigeriai megfelelés helyes megszerzése önmagában értékes a saját piacon, és a kontinentális felkészültséget jelzi a többi számára.

← Blog Összes olvasása →