Nigerijos duomenų apsaugos aktas 2023 – Slapukų sutikimo atitikties vadovas leidėjams 2026 metais

Nigeria daugelį metų veikė pagal Nigerijos duomenų apsaugos reglamentą 2019 (NDPR) — NITDA išleistą antrinį reglamentą, kuris nustatė GDPR pobūdžio prievoles be visų teisėkūros įgaliojimų, kuriuos suteikia tikras duomenų apsaugos įstatymas. Nigerijos duomenų apsaugos aktas 2023 (NDPA) tai pakeitė. Nacionalinės Asamblėjos priimtas ir pasirašytas June 2023 m., šis Aktas yra pirmasis Nigerijos išsamus duomenų apsaugos statutas, įsteigęs Nigerijos duomenų apsaugos komisiją (NDPC) kaip savarankišką priežiūros instituciją, turinčią esmingai stipresnius vykdymo įgaliojimus nei NITDA turėjo senoje sistemoje. Leidėjams, SaaS operatoriams ir reklamos technologijų teikėjams, aptarnaujantiems Nigerijos srautą — rinkai, kuri sparčiai išsiplėtė augant fintech, el. prekybai ir platesnei Vakarų Africa skaitmeninei ekonomikai — NDPA iš naujo nustatė atitikties kartelę. Šis vadovas apžvelgia, ko reikalauja Aktas, kaip NDPC jį interpretavo internetinio sekimo atžvilgiu ir kaip atrodo praktinis atitikties darbas 2026 metais.

NDPA apžvalga

NDPA struktūruotas aplink šešis pagrindinius principus, aiškiai atspindinčius GDPR Article 5 principus: teisėtumas, sąžiningumas ir skaidrumas, tikslo apribojimas, duomenų mažinimas, tikslumas, saugojimo apribojimas ir saugumas. Aktas taikomas bet kokiam duomenų valdytojui arba tvarkytojui, kuris tvarko Nigėrijoje esančių asmenų asmens duomenis, turėdamas eksteritorialinę galią, kuri atspindi GDPR Article 3. Užjūrio leidėjas, aptarnaujantis Nigerijos lankytojus, aiškiai patenka į taikymo sritį, neatsižvelgiant į tai, kur leidėjas yra įsteigtas.

Akto teisėti pagrindai pagal Section 25 taip pat pažįstami: sutikimas, sutarties vykdymas, teisinė pareiga, gyvybiniai interesai, viešasis interesas ir teisėtas interesas. Internetinio sekimo atveju aktualūs pagrindai yra sutikimas ir — siauromis, gerai dokumentuotomis aplinkybėmis — teisėtas interesas. NDPC 2025 m. Bendroji taikymo ir įgyvendinimo direktyva (GAID) patikslino, kad neesminių slapukų sutikimo standartas funkcionaliai identiškas GDPR: laisvai duotas, konkretus, informuotas, nedviprasmiškas ir galintis būti atšauktas taip pat lengvai, kaip buvo duotas.

Perėjimas nuo NDPR prie NDPA

Trys pokyčiai tarp senojo NDPR režimo ir naujojo NDPA svarbiausi internetiniams leidėjams.

Statutiniai vykdymo įgaliojimai

NITDA įgaliojimai pagal NDPR rėmėsi antriniu reglamentu, kas ribojo agentūros galimų siekti gynybos priemonių stiprumą. NDPC veikia pagal pirminę teisę ir gali išduoti atitikties įsakymus, skirti administracines baudas, susijusias su metinių pajamų procentu, bei inicijuoti baudžiamuosius pasiūlymus dėl tyčinių pažeidimų. Perėjimas nuo reguliacinio įtikinėjimo prie statutinio vykdymo yra svarbiausias operacinis pokytis.

Privalomi duomenų apsaugos pareigūno įsipareigojimai

NDPA reikalauja, kad duomenų valdytojai, viršijantys nurodytas tvarkymo ribas, paskirtų duomenų apsaugos pareigūną (DPO) ir užsiregistruotų NDPC. Ribos apima daugelį reikšmingų internetinių leidėjų ir SaaS operatorių, aptarnaujančių Nigerijos naudotojus.

Tarpvalstybinių perdavimų sistema

NDPA kodifikavo tarpvalstybinių perdavimų taisykles, kurias NDPR buvo traktavęs tik laisvai. Sections 41-43 reikalauja, kad perdavimai į nepakankamai apsaugotas jurisdikcijas vyktų pagal vieną iš kelių išvardytų mechanizmų — pakankamumo paskyrimas, privalomos įmonių taisyklės, sutartinės apsaugos priemonės arba specialios leidžiamosios išimtys — NDPC skelbia patvirtintų priemonių sąrašą.

Kaip NDPA vertina slapukus ir internetinį sekimą

NDPA neturi konkretaus slapukams skirto nuostatos; sutikimo ir informavimo prievolės kyla iš bendros sistemos. NDPC GAID ir viešųjų gairių pastabų serija, paskelbta 2024 ir 2025 metais, suformulavo konkrečius lūkesčius internetinio sekimo atžvilgiu.

Patvirtinantis sutikimas neesmininiams slapukams

NDPC pozicija atitinka EDPB slapukų juostų darbo grupę ir lygiavertes panašių African reguliuotojų pozicijas (Kenijos ODPC, Pietų Africa informacijos reguliuotojas). Slinkimas kaip sutikimas, tęstinis naudojimas kaip sutikimas ir iš anksto pažymėti langeliai yra aiškūs trūkumai.

Detali kategorijų valdymo kontrolė

Juostose turi būti atskirti griežtai būtini slapukai nuo analitinių ir rinkodaros, kiekvienai kategorijai suteikiant nepriklausomą valdymą. Bendrinis „priimti viską” be detalizacijos laikomas nesėkme sutikimo standarto „konkretaus” aspekto atžvilgiu.

Dokumentuotas teisinis pagrindas

NDPA Section 26 kodifikuoja atskaitomybę — valdytojai turi galėti pareikalavus įrodyti savo teisinį pagrindą kiekvienai tvarkymo veiklai. Slapukų diegimui tai reiškia audito lygio sutikimo registravimą: laiko žyma, juostos versija, naudotojo pasirinkimas ir kiekvienos aktyvinamos kategorijos teisinis pagrindas.

Tarpvalstybinių perdavimų atskleidimas

Slapukams, nukreipiantiems duomenis į tiekėjus už Nigerijos ribų — daugumą JAV įsikūrusių reklamos technologijų tiekėjų, EU įsikūrusių analitikos platformų — privatumo pranešimas turi nurodyti perdavimo gavėją ir apsaugos priemonę, pagal kurią perdavimas vyksta. Bendrinė kalba apie tai, kad „naudojame trečiąsias šalis”, netenkina NDPC lūkesčių.

Nigerijos duomenų apsaugos komisijos vykdymo laikysena

NDPC nuo įsteigimo 2023 metais tyčia pozicionuoja save viešojoje erdvėje. Jos vykdymo laikysena atitinka tris stebimus modelius.

Didelio atgarsio pradinės bylos

NDPC teikė pirmenybę matomoms pradinėms byloms prieš žinomus operatorius, siekdama nustatyti precedentą ir perteikti rimtumą. Keli fintech ir telekomunikacijų operatoriai 2024 ir 2025 metais gavo atitikties įsakymus su viešaisiais pranešimais dėl taisomųjų priemonių.

Sektoriniai patikrinimai

Be skundais grindžiamų bylų, NDPC atliko fintech, sveikatos priežiūros ir el. prekybos operatorių sektorinius patikrinimus. Patikrinimai paprastai pradedami dokumentų prašymu (privatumo pranešimai, sutikimo žurnalai, tiekėjų sąrašai) ir eskaluojami atsižvelgiant į tai, ką atskleidžia dokumentai.

Koordinavimas su African ir European reguliuotojais

NDPC dalyvauja African Union Continental Free Trade Area duomenų srautų darbo sraute ir palaiko darbinius ryšius su EDPB ir pagrindinėmis nacionalinėmis DPA. Tarpvalstybiniai tyrimai, susiję su Nigerijos ir Europos srautu, vis dažniau sprendžiami koordinuotomis procedūromis.

Praktinis atitikties kontrolinis sąrašas

Šeši konkretūs klausimai, į kuriuos reikia atsakyti dėl bet kurios slapukų juostos, aptarnaujančios Nigerijos srautą.

Nigerijos vieta kelių jurisdikciją apimančioje sistemoje

Nigeria yra didžiausia skaitmeninė rinka Africa naudotojų skaičiumi, o NDPA vis labiau tampa šablonu, į kurį remiasi kitos African jurisdikcijos modernizuodamos savo sistemas. Pagal Europos standartus sukurta atitikties architektūra tvarko Nigerijos atitiktį su tokiais pat nedideliais konfigūracijos koregavimais, kokių reikia Naujajai Zelandijai: DPO paskyrimas tais atvejais, kai taikomos ribos, NDPC stiliaus perdavimų dokumentavimas ir anglų kalba surašytos atskleidimų, kurios gerbia Nigerijos kalbines konvencijas. Leidėjams, kurie kuria veiklą pan-Afrikos mastu, NDPA yra šalia Kenya DPA 2019, Pietų Africa POPIA ir besiformuojančios Egipto sistemos kaip keturios operacine prasme svarbiausios African sistemos. Tinkamas Nigerijos atitikties užtikrinimas yra reikšmingas nuosavoje rinkoje ir signalizuoja žemynų pasirengimą kitiems.

← Tinkladevlaraderegistris Skaityti viską →