Efterlevnadsguide för cookiesamtycke enligt Nigerias dataskyddslag 2023 för utgivare 2026
Nigeria verkade i många år under Nigerias dataskyddsförordning 2019 (NDPR), en underordnad förordning utfärdad av NITDA som lade GDPR-liknande skyldigheter utan den fulla lagstadgade auktoriteten hos en ordentlig dataskyddslag. Nigerias dataskyddslag 2023 (NDPA) förändrade det. Antagen av nationalförsamlingen och undertecknad i June 2023 är lagen Nigerias första heltäckande dataskyddslag och inrättade Nigeria Data Protection Commission (NDPC) som en fristående tillsynsmyndighet med verkställighetsbefogenheter som är väsentligt starkare än NITDA:s under det äldre systemet. För utgivare, SaaS-operatörer och annonsteknikförsäljare som servar nigeriansk trafik lade NDPA om efterlevnadsstaketet. Den här guiden går igenom vad lagen kräver, hur NDPC har tolkat den för onlinespårning och hur det praktiska efterlevnadsarbetet ser ut 2026.
NDPA i korthet
NDPA är strukturerad kring sex kärnprinciper som tydligt motsvarar GDPR:s Article 5: laglighet, rättvisa och öppenhet, ändamålsbegränsning, dataminimering, riktighet, lagringsbegränsning och säkerhet. Lagen gäller varje personuppgiftsansvarig eller personuppgiftsbiträde som behandlar personuppgifter om personer belägna i Nigeria, med extraterritoriell räckvidd som speglar GDPR Article 3. En utländsk utgivare som servar nigerianska besökare omfattas tydligt av tillämpningsområdet oavsett var utgivaren är etablerad.
Lagens rättsliga grunder enligt Section 25 är också bekanta: samtycke, fullgörande av avtal, rättslig förpliktelse, vitala intressen, allmänt intresse och berättigat intresse. För onlinespårning är de relevanta grunderna samtycke och, i snäva, väldokumenterade omständigheter, berättigat intresse. NDPC:s GAID från 2025 klargjorde att samtyckesstandarden för icke-nödvändiga cookies är funktionellt identisk med GDPR:s: frivilligt lämnat, specifikt, informerat, otvetydigt och möjligt att återkalla lika enkelt som det gavs.
Övergången från NDPR till NDPA
Tre förändringar mellan det gamla NDPR-systemet och det nya NDPA har störst betydelse för onlineutgivare.
Lagstadgade verkställighetsbefogenheter
NITDA:s auktoritet under NDPR vilade på en underordnad förordning, vilket begränsade styrkan hos de åtgärder som myndigheten kunde vidta. NDPC verkar under primär lagstiftning och kan utfärda efterlevnadsförelägganden, förelägga administrativa böter knutna till en procentandel av den årliga omsättningen och begära straffrättsliga hänvisningar för avsiktliga överträdelser. Skiftet från regulatorisk övertygelse till lagstadgad verkställighet är den mest avgörande operativa förändringen.
Obligatoriska skyldigheter för dataskyddsombud
NDPA kräver att personuppgiftsansvariga över angivna behandlingsgränser utser ett dataskyddsombud (DPO) och registrerar sig hos NDPC. Gränserna fångar upp de flesta betydande onlineutgivare och SaaS-operatörer som servar nigerianska användare.
Ramverk för gränsöverskridande överföringar
NDPA kodifierade regler för gränsöverskridande överföringar som NDPR bara behandlat löst. Sections 41-43 kräver att överföringar till icke-adekvata jurisdiktioner sker under ett av flera uppräknade mekanismer: adekvansbestämmelse, bindande företagsregler, avtalsliga skyddsåtgärder eller specifika undantag, med NDPC som publicerar en lista över godkända instrument.
Hur NDPA behandlar cookies och onlinespårning
NDPA innehåller ingen cookie-specifik bestämmelse; skyldigheterna om samtycke och information följer av det allmänna ramverket. NDPC:s GAID och en rad offentliga vägledningar publicerade under 2024 och 2025 formulerade specifika förväntningar på onlinespårning.
Aktivt samtycke för icke-nödvändiga cookies
NDPC:s ståndpunkt är i linje med EDPB Cookie Banner Taskforce och motsvarande ståndpunkter från jämförbara African tillsynsmyndigheter (Kenyas ODPC, Sydafrikas informationsregulator). Rullning-som-samtycke, fortsatt-användning-som-samtycke och förkryssade rutor är uttryckliga brister.
Granulära kategoriinställningar
Banners måste separera strikt nödvändiga cookies från analys och från marknadsföring, med varje kategori oberoende kontrollerbar. Samlat acceptera-allt utan granularitet behandlas som ett misslyckande av det "specifika" kravet i samtyckesstandarden.
Dokumenterad rättslig grund
Section 26 i NDPA kodifierar ansvarsskyldighet: den personuppgiftsansvarige måste på begäran kunna visa sin rättsliga grund för varje behandlingsaktivitet. För cookie-driftsättningar innebär detta samtyckesloggning på revisionsnivå: tidsstämpel, bannerversion, användarens val och åberopad rättslig grund för varje kategori som aktiveras.
Upplysning om gränsöverskridande överföring
För cookies som skickar data till leverantörer utanför Nigeria, inklusive de flesta annonstekleverantörer med bas i USA och analysplattformar med bas i EU, måste integritetspolicyn identifiera överföringsmottagaren och den skyddsåtgärd under vilken överföringen sker. Generiska formuleringar om att operatören använder tredje parter uppfyller inte NDPC:s förväntningar.
Nigeria Data Protection Commissions verkställighetsställning
NDPC har avsiktligt vänt sig mot allmänheten sedan det inrättades 2023. Dess verkställighetsställning följer tre iakttagbara mönster.
Tidiga högt profilerade ärenden
NDPC har prioriterat synliga tidiga ärenden mot välkända operatörer för att etablera prejudikat och signalera allvar. Flera fintech- och telekomoperatörer fick efterlevnadsförelägganden 2024 och 2025 med offentliga kommunikationer om åtgärdande.
Sektoriella granskningar
Utöver klagomålsdrivna ärenden har NDPC genomfört sektoriella granskningar av fintech-, hälso- och e-handelsoperatörer. Granskningarna börjar vanligtvis med en begäran om dokumentation (integritetspolicyer, samtyckesloggar, leverantörslistor) och eskalerar baserat på vad dokumentationen avslöjar.
Samordning med African och europeiska tillsynsmyndigheter
NDPC deltar i African Union Continental Free Trade Area:s arbetsflöde för dataflöden och upprätthåller arbetsrelationer med EDPB och de viktigaste nationella dataskyddsmyndigheterna. Gränsöverskridande utredningar som involverar nigeriansk och europeisk trafik hanteras i allt högre grad genom samordnade förfaranden.
Praktisk efterlevnadschecklista
Sex konkreta frågor att besvara för varje cookie-banner som servar nigeriansk trafik.
- Finns det ett uttryckligt avvisningsalternativ i första lagret? Aktivt opt-in är obligatoriskt; rullning-som-samtycke och förkryssade rutor godkänns inte enligt GAID.
- Är kategorierna granulära? Nödvändiga, analys och marknadsföring måste vara separat kontrollerbara.
- Är DPO utsedd och registrerad? Om behandlingen överstiger NDPC:s registreringsgräns, bekräfta att DPO-utnämning och NDPC-registrering är på plats.
- Är gränsöverskridande överföringar dokumenterade? Identifiera varje icke-nigeriansk destination och den Section 41-43-skyddsåtgärd som godkänner överföringen.
- Är integritetspolicyn NDPA-kompatibel? Bekräfta att policyn identifierar den personuppgiftsansvarige, ändamål, mottagare, lagringsperiod och rättighetsramverket enligt Section 33.
- Är samtyckesloggningen på revisionsnivå? Tidsstämpel, bannerversion, val och rättslig grund måste vara återvinningsbara på begäran.
Nigerias plats i en flerstatsjurisdiktion
Nigeria är Africas största digitala marknad räknat i antal användare, och NDPA är alltmer den mall som andra African jurisdiktioner pekar på när de moderniserar sina egna regelverk. En efterlevnadsarkitektur byggd till europeiska standarder hanterar nigeriansk efterlevnad med samma typ av mindre konfigurationsjusteringar som Nya Zeeland kräver: DPO-utnämning där gränser gäller, NDPC-stil överföringsdokumentation och engelskspråkiga upplysningar som respekterar nigerianska språkliga konventioner. För utgivare som bygger mot pan-African verksamhet står NDPA bredvid Kenyas DPA 2019, Sydafrikas POPIA och Egyptens framväxande ramverk som de fyra operativt mest konsekventa African regelverken. Att få nigeriansk efterlevnad rätt är meningsfullt på den egna marknaden och signalerar kontinental beredskap för resten.