Panduan Kepatuhan Persetujuan Cookie Undang-Undang Perlindungan Data Nigeria 2023 untuk Penerbit di Tahun 2026
Nigeria selama bertahun-tahun beroperasi di bawah Peraturan Perlindungan Data Nigeria 2019 (NDPR), sebuah peraturan turunan yang diterbitkan oleh NITDA yang membebankan kewajiban bernuansa GDPR tanpa otoritas undang-undang penuh dari undang-undang perlindungan data yang sesungguhnya. Undang-Undang Perlindungan Data Nigeria 2023 (NDPA) mengubah hal tersebut. Disahkan oleh Majelis Nasional dan ditandatangani pada June 2023, Undang-Undang ini merupakan undang-undang perlindungan data komprehensif pertama Nigeria, dan membentuk Komisi Perlindungan Data Nigeria (NDPC) sebagai otoritas pengawas mandiri dengan kewenangan penegakan yang jauh lebih kuat dibandingkan NITDA di bawah rezim lama. Bagi penerbit, operator SaaS, dan vendor teknologi iklan yang melayani lalu lintas Nigeria — pasar yang telah berkembang pesat seiring pertumbuhan fintech, e-commerce, dan ekonomi digital Afrika Barat yang lebih luas — NDPA telah menetapkan ulang standar kepatuhan. Panduan ini membahas apa yang dipersyaratkan oleh Undang-Undang, bagaimana NDPC menafsirkannya untuk pelacakan online, dan seperti apa pekerjaan kepatuhan praktis di tahun 2026.
Gambaran Umum NDPA
NDPA disusun berdasarkan enam prinsip inti yang secara jelas memetakan prinsip-prinsip GDPR Article 5: keabsahan, keadilan dan transparansi, pembatasan tujuan, minimisasi data, akurasi, pembatasan penyimpanan, dan keamanan. Undang-Undang ini berlaku bagi setiap pengendali atau pemroses data yang memproses data pribadi individu yang berlokasi di Nigeria, dengan jangkauan ekstrateritorial yang mencerminkan GDPR Article 3. Penerbit luar negeri yang melayani pengunjung Nigeria jelas berada dalam ruang lingkupnya, terlepas dari di mana penerbit tersebut berdomisili.
Dasar hukum yang sah berdasarkan Section 25 Undang-Undang ini juga sudah familiar: persetujuan, pelaksanaan kontrak, kewajiban hukum, kepentingan vital, kepentingan umum, dan kepentingan sah. Untuk pelacakan online, dasar yang relevan adalah persetujuan dan — dalam keadaan yang sempit dan terdokumentasi dengan baik — kepentingan sah. Petunjuk Aplikasi dan Implementasi Umum (GAID) NDPC tahun 2025 mengklarifikasi bahwa standar persetujuan untuk cookie non-esensial secara fungsional identik dengan standar GDPR: diberikan secara bebas, spesifik, terinformasi, tidak ambigu, dan dapat ditarik kembali semudah saat diberikan.
Peralihan dari NDPR ke NDPA
Tiga perubahan antara rezim NDPR lama dan NDPA baru yang paling penting bagi penerbit online.
Kewenangan penegakan berdasarkan undang-undang
Kewenangan NITDA berdasarkan NDPR bertumpu pada peraturan turunan, yang membatasi kekuatan upaya hukum yang dapat ditempuh lembaga tersebut. NDPC beroperasi berdasarkan undang-undang utama dan dapat mengeluarkan perintah kepatuhan, menjatuhkan denda administratif yang terkait dengan persentase pendapatan tahunan, serta mengejar rujukan pidana untuk pelanggaran yang disengaja. Pergeseran dari persuasi regulasi ke penegakan berbasis undang-undang merupakan perubahan operasional yang paling signifikan.
Kewajiban pejabat perlindungan data yang wajib
NDPA mewajibkan pengendali data yang melampaui ambang pemrosesan tertentu untuk menunjuk Pejabat Perlindungan Data (DPO) dan mendaftar ke NDPC. Ambang batas tersebut mencakup sebagian besar penerbit online dan operator SaaS yang melayani pengguna Nigeria yang berarti.
Kerangka transfer lintas batas
NDPA mengkodifikasikan aturan transfer lintas batas yang hanya ditangani secara longgar oleh NDPR. Sections 41-43 mensyaratkan transfer ke yurisdiksi yang tidak memadai untuk dilakukan melalui salah satu dari beberapa mekanisme yang disebutkan — penetapan kecukupan, aturan perusahaan yang mengikat, perlindungan kontraktual, atau derogasi khusus — dengan NDPC menerbitkan daftar instrumen yang disetujui.
Bagaimana NDPA Memperlakukan Cookie dan Pelacakan Online
NDPA tidak mengandung ketentuan khusus tentang cookie; kewajiban persetujuan dan informasi mengalir dari kerangka umum. GAID NDPC dan serangkaian catatan panduan publik yang diterbitkan sepanjang 2024 dan 2025 mengartikulasikan ekspektasi spesifik untuk pelacakan online.
Persetujuan afirmatif untuk cookie non-esensial
Posisi NDPC selaras dengan EDPB Cookie Banner Taskforce dan posisi setara dari regulator Afrika yang sebanding (ODPC Kenya, Regulator Informasi Afrika Selatan). Scroll-as-consent, continued-use-as-consent, dan kotak yang sudah dicentang sebelumnya merupakan cacat eksplisit.
Kontrol kategori yang terperinci
Banner harus memisahkan cookie yang benar-benar diperlukan dari analitik dan pemasaran, dengan setiap kategori dapat dikontrol secara independen. Bundled accept-all tanpa perincian diperlakukan sebagai kegagalan dalam aspek «spesifik» standar persetujuan.
Dasar hukum yang terdokumentasi
Section 26 NDPA mengkodifikasikan akuntabilitas — pengendali harus mampu mendemonstrasikan dasar hukum mereka untuk setiap aktivitas pemrosesan atas permintaan. Untuk penerapan cookie, hal ini diterjemahkan menjadi pencatatan persetujuan tingkat audit: cap waktu, versi banner, pilihan pengguna, dan dasar hukum yang diklaim untuk setiap kategori yang aktif.
Pengungkapan transfer lintas batas
Untuk cookie yang mengarahkan data ke vendor di luar Nigeria — sebagian besar vendor teknologi iklan berbasis AS, platform analitik berbasis EU — pemberitahuan privasi harus mengidentifikasi penerima transfer dan perlindungan yang digunakan untuk transfer tersebut. Bahasa generik tentang «kami menggunakan pihak ketiga» tidak memenuhi ekspektasi NDPC.
Postur Penegakan Komisi Perlindungan Data Nigeria
NDPC telah secara sengaja bersikap terbuka sejak berdiri pada tahun 2023. Postur penegakannya mengikuti tiga pola yang dapat diamati.
Kasus awal yang menonjol
NDPC telah memprioritaskan kasus awal yang mencolok terhadap operator terkenal untuk menetapkan preseden dan memberikan sinyal keseriusan. Beberapa operator fintech dan telekomunikasi menerima perintah kepatuhan pada tahun 2024 dan 2025 dengan komunikasi publik seputar remediasi.
Pemeriksaan sektoral
Di luar kasus yang didorong oleh pengaduan, NDPC telah melakukan tinjauan sektoral terhadap operator fintech, kesehatan, dan e-commerce. Pemeriksaan biasanya dimulai dengan permintaan dokumentasi (pemberitahuan privasi, log persetujuan, daftar vendor) dan meningkat berdasarkan apa yang diungkapkan dokumentasi tersebut.
Koordinasi dengan regulator Afrika dan Eropa
NDPC berpartisipasi dalam alur kerja aliran data Continental Free Trade Area African Union dan mempertahankan hubungan kerja dengan EDPB dan otoritas perlindungan data nasional utama. Investigasi lintas batas yang melibatkan lalu lintas Nigeria dan Eropa semakin ditangani melalui prosedur terkoordinasi.
Daftar Periksa Kepatuhan Praktis
Enam pertanyaan konkret untuk dijawab bagi setiap banner cookie yang melayani lalu lintas Nigeria.
- Apakah ada penolakan eksplisit di lapisan pertama? Opt-in afirmatif adalah wajib; scroll-as-consent dan kotak yang sudah dicentang sebelumnya gagal berdasarkan GAID.
- Apakah kategori sudah terperinci? Cookie yang diperlukan, analitik, dan pemasaran harus dapat dikontrol secara terpisah.
- Apakah DPO sudah ditunjuk dan didaftarkan? Jika pemrosesan melampaui ambang pendaftaran NDPC, konfirmasikan penunjukan DPO dan pendaftaran NDPC sudah ada.
- Apakah transfer lintas batas sudah terdokumentasi? Identifikasi setiap tujuan non-Nigeria dan perlindungan Section 41-43 yang mengotorisasi transfer tersebut.
- Apakah pemberitahuan privasi sesuai NDPA? Konfirmasikan bahwa pemberitahuan mengidentifikasi pengendali, tujuan, penerima, periode retensi, dan kerangka hak berdasarkan Section 33.
- Apakah pencatatan persetujuan setingkat audit? Cap waktu, versi banner, pilihan, dan dasar hukum harus dapat ditemukan kembali atas permintaan.
Posisi Nigeria dalam Tumpukan Multi-Yurisdiksi
Nigeria adalah pasar digital terbesar di Africa berdasarkan jumlah pengguna, dan NDPA semakin menjadi template yang dirujuk oleh yurisdiksi Afrika lainnya saat memodernisasi kerangka mereka sendiri. Arsitektur kepatuhan yang dibangun sesuai standar Eropa menangani kepatuhan Nigeria dengan jenis penyesuaian konfigurasi kecil yang sama seperti yang diperlukan Selandia Baru: penunjukan DPO saat ambang batas berlaku, dokumentasi transfer bergaya NDPC, dan pengungkapan berbahasa Inggris yang menghormati konvensi linguistik Nigeria. Bagi penerbit yang membangun menuju operasi pan-Afrika, NDPA berdampingan dengan Kenya DPA 2019, POPIA Afrika Selatan, dan kerangka berkembang Mesir sebagai empat rezim Afrika yang paling signifikan secara operasional. Mendapatkan kepatuhan Nigeria dengan benar bermakna di pasar sendiri dan memberi sinyal kesiapan kontinental untuk yang lainnya.