Водич за усклађеност са Нигеријским законом о заштити података 2023 у вези са сагласношћу за колачиће за издаваче у 2026.
Nigeria је годинама деловала у оквиру Нигеријске уредбе о заштити података из 2019. (NDPR), подзаконског акта које је издало NITDA и које је наметало обавезе у GDPR стилу без пуног законског ауторитета одговарајућег закона о заштити података. Нигеријски закон о заштити података 2023. (NDPA) то је променио. Усвојен у Народној скупштини и потписан у June 2023, Закон је први свеобухватни прopis Nigeria о заштити података и успоставио је Нигеријску комисију за заштиту података (NDPC) као самостални надзорни орган са овлашћењима за спровођење материјално јачим него NITDA под старим режимом. За издаваче, SaaS оператере и добављаче рекламних технологија који опслужују нигеријски саобраћај, NDPA је редефинисао захтеве усклађености. Овај водич разматра шта Закон захтева, како га је NDPC тумачио за онлајн праћење и како изгледа практичан рад на усклађености у 2026.
NDPA у основним цртама
NDPA је структуриран око шест основних принципа који се јасно пресликавају на Article 5 GDPR-а: законитост, поштење и транспарентност, ограничење сврхе, минимизација података, тачност, ограничење чувања и безбедност. Закон се примењује на сваког руковаоца или обрађивача података који обрађује личне податке лица која се налазе у Nigeria, са екстериторијалном применом која одражава GDPR Article 3. Страни издавач који опслужује нигеријске посетиоце јасно потпада под обим примене без обзира на то где је издавач основан.
Правне основе Закона у складу са Section 25 такође су познате: сагласност, извршење уговора, правна обавеза, витални интереси, јавни интерес и легитимни интерес. За онлајн праћење релевантне основе су сагласност и, у уским, добро документованим околностима, легитимни интерес. GAID NDPC-а из 2025. разјаснио је да је стандард сагласности за нееесенцијалне колачиће функционално идентичан GDPR стандарду: слободно дат, специфичан, информисан, недвосмислен и способан да се повуче исто тако лако као што је дат.
Прелаз са NDPR на NDPA
Три измене између старог NDPR режима и новог NDPA-а највише су битне за онлајн издаваче.
Законска овлашћења за спровођење
Ауторитет NITDA-е у оквиру NDPR-а почивао је на подзаконском акту, што је ограничило снагу мера које је агенција могла да предузима. NDPC делује на основу примарног законодавства и може да издаје налоге за усклађеност, изриче административне казне повезане са процентом годишњег прихода и покреће кривичне пријаве за намерне прекршаје. Прелаз са регулаторног убеђивања на законско спровођење је најзначајнија оперативна промена.
Обавезне обавезе службеника за заштиту података
NDPA захтева да руковаоци података изнад одређених прагова обраде именују Службеника за заштиту података (DPO) и да се региструју код NDPC-а. Прагови обухватају већину значајних онлајн издавача и SaaS оператера који опслужују нигеријске кориснике.
Оквир прекограничног преноса
NDPA је кодификовао правила прекограничног преноса која је NDPR третирао само површно. Sections 41-43 захтевају да се преноси у неадекватне јурисдикције врше у оквиру једног од неколико набројаних механизама: одређивање адекватности, обавезујућа корпоративна правила, уговорне заштите или специфичне дерогације, а NDPC објављује листу одобрених инструмената.
Како NDPA третира колачиће и онлајн праћење
NDPA не садржи одредбу специфичну за колачиће; обавезе сагласности и информисања произлазе из општег оквира. GAID NDPC-а и низ јавних смерница објављених током 2024. и 2025. дефинисали су конкретна очекивања у вези са онлајн праћењем.
Афирмативна сагласност за нееесенцијалне колачиће
Став NDPC-а је усклађен са EDPB Cookie Banner Taskforce и еквивалентним ставовима упоредивих African регулатора (ODPC Кеније, Регулатор информација Јужне Африке). Скровање-као-сагласност, наставак-употребе-као-сагласност и унапред означени оквири су изричите мане.
Грануларне контроле категорија
Банери морају да одвоје строго неопходне колачиће од аналитике и маркетинга, при чему свака категорија мора бити независно контролисана. Скупљено прихватање свега без грануларности третира се као неуспех у испуњавању критеријума специфичности стандарда сагласности.
Документована правна основа
Section 26 NDPA-а кодификује одговорност: руковаоци морају бити у стању да на захтев демонстрирају правну основу за сваку активност обраде. За примену колачића то се преводи у евидентирање сагласности на нивоу ревизије: временска ознака, верзија банера, избор корисника и правна основа за сваку категорију која се активира.
Обелодањивање прекограничног преноса
За колачиће који усмеравају податке добављачима ван Nigeria, укључујући већину добављача рекламних технологија са седиштем у САД и аналитичке платформе са седиштем у EU, обавештење о приватности мора да идентификује примаоца преноса и заштитну меру на основу које се пренос врши. Генерички језик о томе да оператер користи треће стране не задовољава очекивања NDPC-а.
Став Нигеријске комисије за заштиту података у вези са спровођењем
NDPC је намерно окренут јавности откако је основан 2023. Његов став у вези са спровођењем прати три уочљива обрасца.
Значајни рани случајеви
NDPC је приоритизовао видљиве ране случајеве против познатих оператера ради успостављања преседана и сигнализирања озбиљности. Неколико fintech и телекомуникацијских оператера добило је налоге за усклађеност у 2024. и 2025. са јавним саопштењима о отклањању недостатака.
Секторске провере
Осим случајева по притужбама, NDPC је спровео секторске прегледе fintech, здравственских и e-commerce оператера. Провере обично почињу захтевом за документацију (обавештења о приватности, евиденције сагласности, листе добављача) и ескалирају на основу оног што документација открије.
Координација са African и европским регулаторима
NDPC учествује у радном току за токове података African Union Continental Free Trade Area и одржава радне односе са EDPB и главним националним органима за заштиту података. Прекогранични истраге које укључују нигеријски и европски саобраћај све чешће се решавају кроз координисане процедуре.
Практична контролна листа усклађености
Шест конкретних питања на која треба одговорити за сваки банер колачића који опслужује нигеријски саобраћај.
- Да ли постоји изричито одбијање у првом слоју? Афирмативно пристајање је обавезно; скровање-као-сагласност и унапред означени оквири не задовољавају GAID.
- Да ли су категорије грануларне? Неопходни колачићи, аналитика и маркетинг морају бити одвојено контролисани.
- Да ли је DPO именован и регистрован? Ако обрада прелази праг регистрације NDPC-а, потврдите да су именовање DPO-а и регистрација код NDPC-а завршени.
- Да ли су прекогранични преноси документовани? Идентификујте сваку ненигеријску дестинацију и заштитну меру из Section 41-43 која овлашћује пренос.
- Да ли је обавештење о приватности усклађено са NDPA? Потврдите да обавештење идентификује руковаоца, сврхе, примаоце, период чувања и оквир права у складу са Section 33.
- Да ли је евидентирање сагласности на нивоу ревизије? Временска ознака, верзија банера, избор и правна основа морају бити обновљиви на захтев.
Место Nigeria у вишејурисдикцијском приступу
Nigeria је највеће дигитално тржиште у Africa по броју корисника, а NDPA је све чешће шаблон на који се друге African јурисдикције позивају приликом модернизације сопствених оквира. Архитектура усклађености изграђена по европским стандардима обрађује нигеријску усклађеност уз исту врсту малих конфигурацијских прилагођавања које захтева Нови Зеланд: именовање DPO-а где се прагови примењују, документација о преносу у NDPC стилу и обелодањивања на енглеском језику која поштују нигеријске језичке конвенције. За издаваче који граде паневропске операције, NDPA стоји поред DPA 2019 Кеније, POPIA Јужне Африке и настајућег оквира Египта као четири оперативно најзначајнија African режима. Исправна нигеријска усклађеност је значајна на сопственом тржишту и сигнализира спремност на континенталном нивоу за остатак.