Efterlevnadsguide för cookiesamtycke enligt Nigerias dataskyddslag 2023 för utgivare 2026

Nigeria verkade i många år under Nigerias dataskyddsförordning 2019 (NDPR), en underordnad förordning utfärdad av NITDA som lade GDPR-liknande skyldigheter utan den fulla lagstadgade auktoriteten hos en ordentlig dataskyddslag. Nigerias dataskyddslag 2023 (NDPA) förändrade det. Antagen av nationalförsamlingen och undertecknad i June 2023 är lagen Nigerias första heltäckande dataskyddslag och inrättade Nigeria Data Protection Commission (NDPC) som en fristående tillsynsmyndighet med verkställighetsbefogenheter som är väsentligt starkare än NITDA:s under det äldre systemet. För utgivare, SaaS-operatörer och annonsteknikförsäljare som servar nigeriansk trafik lade NDPA om efterlevnadsstaketet. Den här guiden går igenom vad lagen kräver, hur NDPC har tolkat den för onlinespårning och hur det praktiska efterlevnadsarbetet ser ut 2026.

NDPA i korthet

NDPA är strukturerad kring sex kärnprinciper som tydligt motsvarar GDPR:s Article 5: laglighet, rättvisa och öppenhet, ändamålsbegränsning, dataminimering, riktighet, lagringsbegränsning och säkerhet. Lagen gäller varje personuppgiftsansvarig eller personuppgiftsbiträde som behandlar personuppgifter om personer belägna i Nigeria, med extraterritoriell räckvidd som speglar GDPR Article 3. En utländsk utgivare som servar nigerianska besökare omfattas tydligt av tillämpningsområdet oavsett var utgivaren är etablerad.

Lagens rättsliga grunder enligt Section 25 är också bekanta: samtycke, fullgörande av avtal, rättslig förpliktelse, vitala intressen, allmänt intresse och berättigat intresse. För onlinespårning är de relevanta grunderna samtycke och, i snäva, väldokumenterade omständigheter, berättigat intresse. NDPC:s GAID från 2025 klargjorde att samtyckesstandarden för icke-nödvändiga cookies är funktionellt identisk med GDPR:s: frivilligt lämnat, specifikt, informerat, otvetydigt och möjligt att återkalla lika enkelt som det gavs.

Övergången från NDPR till NDPA

Tre förändringar mellan det gamla NDPR-systemet och det nya NDPA har störst betydelse för onlineutgivare.

Lagstadgade verkställighetsbefogenheter

NITDA:s auktoritet under NDPR vilade på en underordnad förordning, vilket begränsade styrkan hos de åtgärder som myndigheten kunde vidta. NDPC verkar under primär lagstiftning och kan utfärda efterlevnadsförelägganden, förelägga administrativa böter knutna till en procentandel av den årliga omsättningen och begära straffrättsliga hänvisningar för avsiktliga överträdelser. Skiftet från regulatorisk övertygelse till lagstadgad verkställighet är den mest avgörande operativa förändringen.

Obligatoriska skyldigheter för dataskyddsombud

NDPA kräver att personuppgiftsansvariga över angivna behandlingsgränser utser ett dataskyddsombud (DPO) och registrerar sig hos NDPC. Gränserna fångar upp de flesta betydande onlineutgivare och SaaS-operatörer som servar nigerianska användare.

Ramverk för gränsöverskridande överföringar

NDPA kodifierade regler för gränsöverskridande överföringar som NDPR bara behandlat löst. Sections 41-43 kräver att överföringar till icke-adekvata jurisdiktioner sker under ett av flera uppräknade mekanismer: adekvansbestämmelse, bindande företagsregler, avtalsliga skyddsåtgärder eller specifika undantag, med NDPC som publicerar en lista över godkända instrument.

Hur NDPA behandlar cookies och onlinespårning

NDPA innehåller ingen cookie-specifik bestämmelse; skyldigheterna om samtycke och information följer av det allmänna ramverket. NDPC:s GAID och en rad offentliga vägledningar publicerade under 2024 och 2025 formulerade specifika förväntningar på onlinespårning.

Aktivt samtycke för icke-nödvändiga cookies

NDPC:s ståndpunkt är i linje med EDPB Cookie Banner Taskforce och motsvarande ståndpunkter från jämförbara African tillsynsmyndigheter (Kenyas ODPC, Sydafrikas informationsregulator). Rullning-som-samtycke, fortsatt-användning-som-samtycke och förkryssade rutor är uttryckliga brister.

Granulära kategoriinställningar

Banners måste separera strikt nödvändiga cookies från analys och från marknadsföring, med varje kategori oberoende kontrollerbar. Samlat acceptera-allt utan granularitet behandlas som ett misslyckande av det "specifika" kravet i samtyckesstandarden.

Dokumenterad rättslig grund

Section 26 i NDPA kodifierar ansvarsskyldighet: den personuppgiftsansvarige måste på begäran kunna visa sin rättsliga grund för varje behandlingsaktivitet. För cookie-driftsättningar innebär detta samtyckesloggning på revisionsnivå: tidsstämpel, bannerversion, användarens val och åberopad rättslig grund för varje kategori som aktiveras.

Upplysning om gränsöverskridande överföring

För cookies som skickar data till leverantörer utanför Nigeria, inklusive de flesta annonstekleverantörer med bas i USA och analysplattformar med bas i EU, måste integritetspolicyn identifiera överföringsmottagaren och den skyddsåtgärd under vilken överföringen sker. Generiska formuleringar om att operatören använder tredje parter uppfyller inte NDPC:s förväntningar.

Nigeria Data Protection Commissions verkställighetsställning

NDPC har avsiktligt vänt sig mot allmänheten sedan det inrättades 2023. Dess verkställighetsställning följer tre iakttagbara mönster.

Tidiga högt profilerade ärenden

NDPC har prioriterat synliga tidiga ärenden mot välkända operatörer för att etablera prejudikat och signalera allvar. Flera fintech- och telekomoperatörer fick efterlevnadsförelägganden 2024 och 2025 med offentliga kommunikationer om åtgärdande.

Sektoriella granskningar

Utöver klagomålsdrivna ärenden har NDPC genomfört sektoriella granskningar av fintech-, hälso- och e-handelsoperatörer. Granskningarna börjar vanligtvis med en begäran om dokumentation (integritetspolicyer, samtyckesloggar, leverantörslistor) och eskalerar baserat på vad dokumentationen avslöjar.

Samordning med African och europeiska tillsynsmyndigheter

NDPC deltar i African Union Continental Free Trade Area:s arbetsflöde för dataflöden och upprätthåller arbetsrelationer med EDPB och de viktigaste nationella dataskyddsmyndigheterna. Gränsöverskridande utredningar som involverar nigeriansk och europeisk trafik hanteras i allt högre grad genom samordnade förfaranden.

Praktisk efterlevnadschecklista

Sex konkreta frågor att besvara för varje cookie-banner som servar nigeriansk trafik.

Nigerias plats i en flerstatsjurisdiktion

Nigeria är Africas största digitala marknad räknat i antal användare, och NDPA är alltmer den mall som andra African jurisdiktioner pekar på när de moderniserar sina egna regelverk. En efterlevnadsarkitektur byggd till europeiska standarder hanterar nigeriansk efterlevnad med samma typ av mindre konfigurationsjusteringar som Nya Zeeland kräver: DPO-utnämning där gränser gäller, NDPC-stil överföringsdokumentation och engelskspråkiga upplysningar som respekterar nigerianska språkliga konventioner. För utgivare som bygger mot pan-African verksamhet står NDPA bredvid Kenyas DPA 2019, Sydafrikas POPIA och Egyptens framväxande ramverk som de fyra operativt mest konsekventa African regelverken. Att få nigeriansk efterlevnad rätt är meningsfullt på den egna marknaden och signalerar kontinental beredskap för resten.

← Blogg Läs allt →