คู่มือการปฏิบัติตามกฎเกี่ยวกับความยินยอมคุกกี้ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไนจีเรีย 2023 สำหรับผู้เผยแพร่ในปี 2569
Nigeria ดำเนินงานมาหลายปีภายใต้ระเบียบการคุ้มครองข้อมูลไนจีเรีย 2019 (NDPR) ซึ่งเป็นระเบียบย่อยที่ออกโดย NITDA ที่กำหนดภาระผูกพันในรูปแบบ GDPR โดยไม่มีอำนาจตามกฎหมายอย่างเต็มที่ ของกฎหมายคุ้มครองข้อมูลที่เหมาะสม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไนจีเรีย 2023 (NDPA) ได้เปลี่ยนแปลงสิ่งนั้น ผ่านสภานิติบัญญัติแห่งชาติและลงนามในเดือน June 2023 พระราชบัญญัตินี้เป็นกฎหมายคุ้มครองข้อมูลฉบับแรกที่ครอบคลุมของ Nigeria และได้จัดตั้ง Nigeria Data Protection Commission (NDPC) ในฐานะหน่วยงานกำกับดูแลอิสระที่มีอำนาจบังคับใช้ที่เข้มแข็งกว่า NITDA อย่างมีนัยสำคัญภายใต้ระบอบเก่า สำหรับผู้เผยแพร่ ผู้ให้บริการ SaaS และผู้จำหน่ายเทคโนโลยีโฆษณาที่ให้บริการ การรับส่งข้อมูลของไนจีเรีย NDPA ได้กำหนดมาตรฐานการปฏิบัติตามใหม่ คู่มือนี้อธิบายสิ่งที่พระราชบัญญัติกำหนด วิธีที่ NDPC ตีความสำหรับการติดตามออนไลน์ และงานการปฏิบัติตามกฎในทางปฏิบัติมีลักษณะอย่างไรในปี 2569
NDPA โดยสังเขป
NDPA มีโครงสร้างอยู่บนหลักการหลักหกประการที่สอดคล้องกับ Article 5 ของ GDPR อย่างชัดเจน ได้แก่ ความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใส การจำกัดวัตถุประสงค์ การลดข้อมูลให้น้อยที่สุด ความถูกต้อง การจำกัดการจัดเก็บ และความปลอดภัย พระราชบัญญัตินี้ใช้บังคับกับผู้ควบคุมข้อมูลหรือผู้ประมวลผลทุกรายที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ใน Nigeria โดยมีการบังคับใช้นอกอาณาเขตที่สะท้อน GDPR Article 3 ผู้เผยแพร่ต่างประเทศที่ให้บริการผู้เยี่ยมชมชาวไนจีเรีย ตกอยู่ในขอบเขตการบังคับใช้อย่างชัดเจนไม่ว่าผู้เผยแพร่จะจัดตั้งอยู่ที่ใด
ฐานทางกฎหมายของพระราชบัญญัติภายใต้ Section 25 ก็เป็นที่คุ้นเคยเช่นกัน ได้แก่ ความยินยอม การปฏิบัติตามสัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์สำคัญ ผลประโยชน์สาธารณะ และผลประโยชน์โดยชอบด้วยกฎหมาย สำหรับการติดตามออนไลน์ ฐานที่เกี่ยวข้องคือความยินยอมและในสถานการณ์ที่แคบและมีเอกสารครบถ้วนผลประโยชน์โดยชอบด้วยกฎหมาย GAID ของ NDPC ปี 2025 ชี้แจงว่ามาตรฐานความยินยอมสำหรับคุกกี้ที่ไม่จำเป็นมีความเหมือนกันในทางหน้าที่กับมาตรฐานของ GDPR คือ ให้อย่างอิสระ เฉพาะเจาะจง ได้รับแจ้ง ชัดเจน และสามารถถอนได้ง่ายเท่ากับที่ให้ไป
การเปลี่ยนผ่านจาก NDPR ไปสู่ NDPA
การเปลี่ยนแปลงสามประการระหว่างระบอบ NDPR เก่าและ NDPA ใหม่มีความสำคัญมากที่สุดสำหรับผู้เผยแพร่ออนไลน์
อำนาจบังคับใช้ตามกฎหมาย
อำนาจของ NITDA ภายใต้ NDPR อาศัยระเบียบย่อย ซึ่งจำกัดความเข้มแข็งของมาตรการที่หน่วยงานสามารถดำเนินการได้ NDPC ทำงานภายใต้กฎหมายหลักและสามารถออกคำสั่งการปฏิบัติตาม กำหนดค่าปรับทางปกครองที่เชื่อมโยงกับเปอร์เซ็นต์ ของรายได้ประจำปี และดำเนินการส่งต่อคดีอาญาสำหรับการละเมิดโดยเจตนา การเปลี่ยนผ่านจากการโน้มน้าวทางกฎหมายไปสู่ การบังคับใช้ตามกฎหมายเป็นการเปลี่ยนแปลงการดำเนินงานที่สำคัญที่สุด
ภาระผูกพันบังคับของเจ้าหน้าที่คุ้มครองข้อมูล
NDPA กำหนดให้ผู้ควบคุมข้อมูลที่เกินเกณฑ์การประมวลผลที่ระบุไว้ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) และลงทะเบียนกับ NDPC เกณฑ์ดังกล่าวครอบคลุมผู้เผยแพร่ออนไลน์ที่มีความหมายและผู้ให้บริการ SaaS ส่วนใหญ่ ที่ให้บริการผู้ใช้ชาวไนจีเรีย
กรอบการโอนข้อมูลข้ามพรมแดน
NDPA ได้บัญญัติกฎการโอนข้อมูลข้ามพรมแดนที่ NDPR ปฏิบัติอย่างหลวม ๆ เท่านั้น Sections 41-43 กำหนดให้ การโอนไปยังเขตอำนาจศาลที่ไม่เหมาะสมต้องดำเนินการภายใต้กลไกที่ระบุไว้หนึ่งในหลายกลไก ได้แก่ การกำหนดความเหมาะสม กฎบรรษัทที่มีผลผูกพัน การคุ้มครองตามสัญญา หรือการยกเว้นเฉพาะ โดย NDPC เผยแพร่รายการเครื่องมือที่ได้รับอนุมัติ
วิธีที่ NDPA ปฏิบัติต่อคุกกี้และการติดตามออนไลน์
NDPA ไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ภาระผูกพันด้านความยินยอมและข้อมูลเกิดจากกรอบทั่วไป GAID ของ NDPC และชุดแนวทางสาธารณะที่เผยแพร่ตลอดปี 2024 และ 2025 ได้กำหนดความคาดหวังเฉพาะ สำหรับการติดตามออนไลน์
ความยินยอมยืนยันสำหรับคุกกี้ที่ไม่จำเป็น
ท่าทีของ NDPC สอดคล้องกับ EDPB Cookie Banner Taskforce และท่าทีเทียบเท่าจากหน่วยงานกำกับดูแล African ที่เทียบได้ (ODPC ของเคนยา หน่วยงานกำกับดูแลข้อมูลของแอฟริกาใต้) การเลื่อน-เป็นความยินยอม การใช้งานต่อเนื่อง-เป็นความยินยอม และช่องที่ถูกทำเครื่องหมายไว้ล่วงหน้าเป็นข้อบกพร่องที่ชัดเจน
การควบคุมหมวดหมู่อย่างละเอียด
แบนเนอร์ต้องแยกคุกกี้ที่จำเป็นอย่างเคร่งครัดออกจากการวิเคราะห์และการตลาด โดยแต่ละหมวดหมู่ ต้องควบคุมได้อย่างอิสระ การยอมรับทั้งหมดแบบรวมกันโดยไม่มีความละเอียดถือเป็นความล้มเหลว ของเกณฑ์ "เฉพาะเจาะจง" ของมาตรฐานความยินยอม
ฐานทางกฎหมายที่มีเอกสาร
Section 26 ของ NDPA บัญญัติเรื่องความรับผิดชอบ โดยผู้ควบคุมต้องสามารถแสดงฐานทางกฎหมายของตน สำหรับกิจกรรมการประมวลผลแต่ละรายการตามคำขอ สำหรับการติดตั้งคุกกี้ นี่หมายถึงการบันทึกความยินยอม ในระดับการตรวจสอบ ได้แก่ การประทับเวลา เวอร์ชันแบนเนอร์ ทางเลือกของผู้ใช้ และฐานทางกฎหมายที่อ้างสิทธิ์ สำหรับแต่ละหมวดหมู่ที่เปิดใช้งาน
การเปิดเผยการโอนข้ามพรมแดน
สำหรับคุกกี้ที่ส่งข้อมูลไปยังผู้จำหน่ายนอก Nigeria รวมถึงผู้จำหน่ายเทคโนโลยีโฆษณาส่วนใหญ่ที่มีฐาน ในสหรัฐอเมริกาและแพลตฟอร์มการวิเคราะห์ที่มีฐานใน EU ประกาศความเป็นส่วนตัวต้องระบุผู้รับการโอน และการป้องกันที่การโอนดำเนินการภายใต้นั้น ภาษาทั่วไปเกี่ยวกับการที่ผู้ดำเนินการใช้บุคคลที่สาม ไม่ตอบสนองความคาดหวังของ NDPC
ท่าทีการบังคับใช้ของ Nigeria Data Protection Commission
NDPC มุ่งเน้นสาธารณะโดยตั้งใจตั้งแต่จัดตั้งในปี 2566 ท่าทีการบังคับใช้ดำเนินตามรูปแบบสามประการ ที่สังเกตได้
คดีต้น ๆ ที่มีชื่อเสียง
NDPC ให้ความสำคัญกับคดีต้น ๆ ที่มองเห็นได้ชัดเจนต่อผู้ดำเนินการที่รู้จักกันดีเพื่อสร้างบรรทัดฐาน และส่งสัญญาณความจริงจัง ผู้ดำเนินการ fintech และโทรคมนาคมหลายรายได้รับคำสั่งการปฏิบัติตามในปี 2024 และ 2025 พร้อมกับการสื่อสารสาธารณะเกี่ยวกับการแก้ไข
การตรวจสอบรายสาขา
นอกเหนือจากคดีที่ขับเคลื่อนโดยการร้องเรียน NDPC ได้ดำเนินการตรวจสอบรายสาขาของผู้ดำเนินการ fintech การดูแลสุขภาพ และ e-commerce การตรวจสอบมักเริ่มต้นด้วยคำขอเอกสาร (ประกาศความเป็นส่วนตัว บันทึก ความยินยอม รายชื่อผู้จำหน่าย) และเพิ่มระดับตามที่เอกสารเปิดเผย
การประสานงานกับหน่วยงานกำกับดูแล African และยุโรป
NDPC เข้าร่วมในขั้นตอนการไหลของข้อมูลของ African Union Continental Free Trade Area และรักษาความสัมพันธ์ การทำงานกับ EDPB และหน่วยงานคุ้มครองข้อมูลแห่งชาติหลัก การสืบสวนข้ามพรมแดนที่เกี่ยวข้องกับการรับส่งข้อมูล ของไนจีเรียและยุโรปได้รับการจัดการผ่านขั้นตอนที่ประสานงานกันมากขึ้นเรื่อย ๆ
รายการตรวจสอบการปฏิบัติตามกฎในทางปฏิบัติ
คำถามหกข้อที่เป็นรูปธรรมสำหรับตอบสำหรับแบนเนอร์คุกกี้ทุกรายการที่ให้บริการการรับส่งข้อมูลของไนจีเรีย
- มีการปฏิเสธอย่างชัดเจนในชั้นแรกหรือไม่? การเลือกเข้าร่วมยืนยันเป็นสิ่งบังคับ การเลื่อน-เป็นความยินยอมและช่องที่ถูกทำเครื่องหมายไว้ล่วงหน้าล้มเหลวภายใต้ GAID
- หมวดหมู่มีความละเอียดหรือไม่? หมวดหมู่ที่จำเป็น การวิเคราะห์ และการตลาด ต้องควบคุมได้แยกจากกัน
- DPO ได้รับการแต่งตั้งและลงทะเบียนหรือไม่? หากการประมวลผลเกินเกณฑ์การลงทะเบียน ของ NDPC ให้ยืนยันว่าการแต่งตั้ง DPO และการลงทะเบียน NDPC อยู่ในที่
- การโอนข้ามพรมแดนมีเอกสารหรือไม่? ระบุปลายทางที่ไม่ใช่ไนจีเรียแต่ละแห่ง และการป้องกัน Section 41-43 ที่อนุมัติการโอน
- ประกาศความเป็นส่วนตัวสอดคล้องกับ NDPA หรือไม่? ยืนยันว่าประกาศระบุผู้ควบคุม วัตถุประสงค์ ผู้รับ ระยะเวลาการเก็บรักษา และกรอบสิทธิ์ภายใต้ Section 33
- การบันทึกความยินยอมอยู่ในระดับการตรวจสอบหรือไม่? การประทับเวลา เวอร์ชันแบนเนอร์ ทางเลือก และฐานทางกฎหมายต้องสามารถกู้คืนได้ตามคำขอ
ตำแหน่งของไนจีเรียในกลุ่มหลายเขตอำนาจศาล
Nigeria เป็นตลาดดิจิทัลที่ใหญ่ที่สุดใน Africa ตามจำนวนผู้ใช้ และ NDPA กำลังกลายเป็นต้นแบบที่เขตอำนาจศาล African อื่น ๆ ชี้ให้เห็นเมื่อปรับปรุงกรอบของตนเอง สถาปัตยกรรมการปฏิบัติตามที่สร้างตามมาตรฐานยุโรป จัดการการปฏิบัติตามของไนจีเรียด้วยการปรับแต่งการกำหนดค่าเล็กน้อยประเภทเดียวกับที่นิวซีแลนด์กำหนด ได้แก่ การแต่งตั้ง DPO ที่เกณฑ์ใช้บังคับ เอกสารการโอนในรูปแบบ NDPC และการเปิดเผยภาษาอังกฤษที่เคารพ ข้อตกลงทางภาษาของไนจีเรีย สำหรับผู้เผยแพร่ที่สร้างสู่การดำเนินงาน pan-African NDPA ยืนอยู่ควบคู่กับ DPA 2019 ของเคนยา POPIA ของแอฟริกาใต้ และกรอบที่กำลังเกิดขึ้นของอียิปต์ในฐานะระบอบ African สี่ระบอบที่มีความสำคัญในการดำเนินงานมากที่สุด การทำให้การปฏิบัติตามของไนจีเรียถูกต้องมีความหมาย ในตลาดของตัวเองและส่งสัญญาณความพร้อมในระดับทวีปสำหรับส่วนที่เหลือ