คู่มือการปฏิบัติตามกฎเกี่ยวกับความยินยอมคุกกี้ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไนจีเรีย 2023 สำหรับผู้เผยแพร่ในปี 2569

Nigeria ดำเนินงานมาหลายปีภายใต้ระเบียบการคุ้มครองข้อมูลไนจีเรีย 2019 (NDPR) ซึ่งเป็นระเบียบย่อยที่ออกโดย NITDA ที่กำหนดภาระผูกพันในรูปแบบ GDPR โดยไม่มีอำนาจตามกฎหมายอย่างเต็มที่ ของกฎหมายคุ้มครองข้อมูลที่เหมาะสม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไนจีเรีย 2023 (NDPA) ได้เปลี่ยนแปลงสิ่งนั้น ผ่านสภานิติบัญญัติแห่งชาติและลงนามในเดือน June 2023 พระราชบัญญัตินี้เป็นกฎหมายคุ้มครองข้อมูลฉบับแรกที่ครอบคลุมของ Nigeria และได้จัดตั้ง Nigeria Data Protection Commission (NDPC) ในฐานะหน่วยงานกำกับดูแลอิสระที่มีอำนาจบังคับใช้ที่เข้มแข็งกว่า NITDA อย่างมีนัยสำคัญภายใต้ระบอบเก่า สำหรับผู้เผยแพร่ ผู้ให้บริการ SaaS และผู้จำหน่ายเทคโนโลยีโฆษณาที่ให้บริการ การรับส่งข้อมูลของไนจีเรีย NDPA ได้กำหนดมาตรฐานการปฏิบัติตามใหม่ คู่มือนี้อธิบายสิ่งที่พระราชบัญญัติกำหนด วิธีที่ NDPC ตีความสำหรับการติดตามออนไลน์ และงานการปฏิบัติตามกฎในทางปฏิบัติมีลักษณะอย่างไรในปี 2569

NDPA โดยสังเขป

NDPA มีโครงสร้างอยู่บนหลักการหลักหกประการที่สอดคล้องกับ Article 5 ของ GDPR อย่างชัดเจน ได้แก่ ความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใส การจำกัดวัตถุประสงค์ การลดข้อมูลให้น้อยที่สุด ความถูกต้อง การจำกัดการจัดเก็บ และความปลอดภัย พระราชบัญญัตินี้ใช้บังคับกับผู้ควบคุมข้อมูลหรือผู้ประมวลผลทุกรายที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ใน Nigeria โดยมีการบังคับใช้นอกอาณาเขตที่สะท้อน GDPR Article 3 ผู้เผยแพร่ต่างประเทศที่ให้บริการผู้เยี่ยมชมชาวไนจีเรีย ตกอยู่ในขอบเขตการบังคับใช้อย่างชัดเจนไม่ว่าผู้เผยแพร่จะจัดตั้งอยู่ที่ใด

ฐานทางกฎหมายของพระราชบัญญัติภายใต้ Section 25 ก็เป็นที่คุ้นเคยเช่นกัน ได้แก่ ความยินยอม การปฏิบัติตามสัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์สำคัญ ผลประโยชน์สาธารณะ และผลประโยชน์โดยชอบด้วยกฎหมาย สำหรับการติดตามออนไลน์ ฐานที่เกี่ยวข้องคือความยินยอมและในสถานการณ์ที่แคบและมีเอกสารครบถ้วนผลประโยชน์โดยชอบด้วยกฎหมาย GAID ของ NDPC ปี 2025 ชี้แจงว่ามาตรฐานความยินยอมสำหรับคุกกี้ที่ไม่จำเป็นมีความเหมือนกันในทางหน้าที่กับมาตรฐานของ GDPR คือ ให้อย่างอิสระ เฉพาะเจาะจง ได้รับแจ้ง ชัดเจน และสามารถถอนได้ง่ายเท่ากับที่ให้ไป

การเปลี่ยนผ่านจาก NDPR ไปสู่ NDPA

การเปลี่ยนแปลงสามประการระหว่างระบอบ NDPR เก่าและ NDPA ใหม่มีความสำคัญมากที่สุดสำหรับผู้เผยแพร่ออนไลน์

อำนาจบังคับใช้ตามกฎหมาย

อำนาจของ NITDA ภายใต้ NDPR อาศัยระเบียบย่อย ซึ่งจำกัดความเข้มแข็งของมาตรการที่หน่วยงานสามารถดำเนินการได้ NDPC ทำงานภายใต้กฎหมายหลักและสามารถออกคำสั่งการปฏิบัติตาม กำหนดค่าปรับทางปกครองที่เชื่อมโยงกับเปอร์เซ็นต์ ของรายได้ประจำปี และดำเนินการส่งต่อคดีอาญาสำหรับการละเมิดโดยเจตนา การเปลี่ยนผ่านจากการโน้มน้าวทางกฎหมายไปสู่ การบังคับใช้ตามกฎหมายเป็นการเปลี่ยนแปลงการดำเนินงานที่สำคัญที่สุด

ภาระผูกพันบังคับของเจ้าหน้าที่คุ้มครองข้อมูล

NDPA กำหนดให้ผู้ควบคุมข้อมูลที่เกินเกณฑ์การประมวลผลที่ระบุไว้ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) และลงทะเบียนกับ NDPC เกณฑ์ดังกล่าวครอบคลุมผู้เผยแพร่ออนไลน์ที่มีความหมายและผู้ให้บริการ SaaS ส่วนใหญ่ ที่ให้บริการผู้ใช้ชาวไนจีเรีย

กรอบการโอนข้อมูลข้ามพรมแดน

NDPA ได้บัญญัติกฎการโอนข้อมูลข้ามพรมแดนที่ NDPR ปฏิบัติอย่างหลวม ๆ เท่านั้น Sections 41-43 กำหนดให้ การโอนไปยังเขตอำนาจศาลที่ไม่เหมาะสมต้องดำเนินการภายใต้กลไกที่ระบุไว้หนึ่งในหลายกลไก ได้แก่ การกำหนดความเหมาะสม กฎบรรษัทที่มีผลผูกพัน การคุ้มครองตามสัญญา หรือการยกเว้นเฉพาะ โดย NDPC เผยแพร่รายการเครื่องมือที่ได้รับอนุมัติ

วิธีที่ NDPA ปฏิบัติต่อคุกกี้และการติดตามออนไลน์

NDPA ไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ภาระผูกพันด้านความยินยอมและข้อมูลเกิดจากกรอบทั่วไป GAID ของ NDPC และชุดแนวทางสาธารณะที่เผยแพร่ตลอดปี 2024 และ 2025 ได้กำหนดความคาดหวังเฉพาะ สำหรับการติดตามออนไลน์

ความยินยอมยืนยันสำหรับคุกกี้ที่ไม่จำเป็น

ท่าทีของ NDPC สอดคล้องกับ EDPB Cookie Banner Taskforce และท่าทีเทียบเท่าจากหน่วยงานกำกับดูแล African ที่เทียบได้ (ODPC ของเคนยา หน่วยงานกำกับดูแลข้อมูลของแอฟริกาใต้) การเลื่อน-เป็นความยินยอม การใช้งานต่อเนื่อง-เป็นความยินยอม และช่องที่ถูกทำเครื่องหมายไว้ล่วงหน้าเป็นข้อบกพร่องที่ชัดเจน

การควบคุมหมวดหมู่อย่างละเอียด

แบนเนอร์ต้องแยกคุกกี้ที่จำเป็นอย่างเคร่งครัดออกจากการวิเคราะห์และการตลาด โดยแต่ละหมวดหมู่ ต้องควบคุมได้อย่างอิสระ การยอมรับทั้งหมดแบบรวมกันโดยไม่มีความละเอียดถือเป็นความล้มเหลว ของเกณฑ์ "เฉพาะเจาะจง" ของมาตรฐานความยินยอม

ฐานทางกฎหมายที่มีเอกสาร

Section 26 ของ NDPA บัญญัติเรื่องความรับผิดชอบ โดยผู้ควบคุมต้องสามารถแสดงฐานทางกฎหมายของตน สำหรับกิจกรรมการประมวลผลแต่ละรายการตามคำขอ สำหรับการติดตั้งคุกกี้ นี่หมายถึงการบันทึกความยินยอม ในระดับการตรวจสอบ ได้แก่ การประทับเวลา เวอร์ชันแบนเนอร์ ทางเลือกของผู้ใช้ และฐานทางกฎหมายที่อ้างสิทธิ์ สำหรับแต่ละหมวดหมู่ที่เปิดใช้งาน

การเปิดเผยการโอนข้ามพรมแดน

สำหรับคุกกี้ที่ส่งข้อมูลไปยังผู้จำหน่ายนอก Nigeria รวมถึงผู้จำหน่ายเทคโนโลยีโฆษณาส่วนใหญ่ที่มีฐาน ในสหรัฐอเมริกาและแพลตฟอร์มการวิเคราะห์ที่มีฐานใน EU ประกาศความเป็นส่วนตัวต้องระบุผู้รับการโอน และการป้องกันที่การโอนดำเนินการภายใต้นั้น ภาษาทั่วไปเกี่ยวกับการที่ผู้ดำเนินการใช้บุคคลที่สาม ไม่ตอบสนองความคาดหวังของ NDPC

ท่าทีการบังคับใช้ของ Nigeria Data Protection Commission

NDPC มุ่งเน้นสาธารณะโดยตั้งใจตั้งแต่จัดตั้งในปี 2566 ท่าทีการบังคับใช้ดำเนินตามรูปแบบสามประการ ที่สังเกตได้

คดีต้น ๆ ที่มีชื่อเสียง

NDPC ให้ความสำคัญกับคดีต้น ๆ ที่มองเห็นได้ชัดเจนต่อผู้ดำเนินการที่รู้จักกันดีเพื่อสร้างบรรทัดฐาน และส่งสัญญาณความจริงจัง ผู้ดำเนินการ fintech และโทรคมนาคมหลายรายได้รับคำสั่งการปฏิบัติตามในปี 2024 และ 2025 พร้อมกับการสื่อสารสาธารณะเกี่ยวกับการแก้ไข

การตรวจสอบรายสาขา

นอกเหนือจากคดีที่ขับเคลื่อนโดยการร้องเรียน NDPC ได้ดำเนินการตรวจสอบรายสาขาของผู้ดำเนินการ fintech การดูแลสุขภาพ และ e-commerce การตรวจสอบมักเริ่มต้นด้วยคำขอเอกสาร (ประกาศความเป็นส่วนตัว บันทึก ความยินยอม รายชื่อผู้จำหน่าย) และเพิ่มระดับตามที่เอกสารเปิดเผย

การประสานงานกับหน่วยงานกำกับดูแล African และยุโรป

NDPC เข้าร่วมในขั้นตอนการไหลของข้อมูลของ African Union Continental Free Trade Area และรักษาความสัมพันธ์ การทำงานกับ EDPB และหน่วยงานคุ้มครองข้อมูลแห่งชาติหลัก การสืบสวนข้ามพรมแดนที่เกี่ยวข้องกับการรับส่งข้อมูล ของไนจีเรียและยุโรปได้รับการจัดการผ่านขั้นตอนที่ประสานงานกันมากขึ้นเรื่อย ๆ

รายการตรวจสอบการปฏิบัติตามกฎในทางปฏิบัติ

คำถามหกข้อที่เป็นรูปธรรมสำหรับตอบสำหรับแบนเนอร์คุกกี้ทุกรายการที่ให้บริการการรับส่งข้อมูลของไนจีเรีย

ตำแหน่งของไนจีเรียในกลุ่มหลายเขตอำนาจศาล

Nigeria เป็นตลาดดิจิทัลที่ใหญ่ที่สุดใน Africa ตามจำนวนผู้ใช้ และ NDPA กำลังกลายเป็นต้นแบบที่เขตอำนาจศาล African อื่น ๆ ชี้ให้เห็นเมื่อปรับปรุงกรอบของตนเอง สถาปัตยกรรมการปฏิบัติตามที่สร้างตามมาตรฐานยุโรป จัดการการปฏิบัติตามของไนจีเรียด้วยการปรับแต่งการกำหนดค่าเล็กน้อยประเภทเดียวกับที่นิวซีแลนด์กำหนด ได้แก่ การแต่งตั้ง DPO ที่เกณฑ์ใช้บังคับ เอกสารการโอนในรูปแบบ NDPC และการเปิดเผยภาษาอังกฤษที่เคารพ ข้อตกลงทางภาษาของไนจีเรีย สำหรับผู้เผยแพร่ที่สร้างสู่การดำเนินงาน pan-African NDPA ยืนอยู่ควบคู่กับ DPA 2019 ของเคนยา POPIA ของแอฟริกาใต้ และกรอบที่กำลังเกิดขึ้นของอียิปต์ในฐานะระบอบ African สี่ระบอบที่มีความสำคัญในการดำเนินงานมากที่สุด การทำให้การปฏิบัติตามของไนจีเรียถูกต้องมีความหมาย ในตลาดของตัวเองและส่งสัญญาณความพร้อมในระดับทวีปสำหรับส่วนที่เหลือ

← บล็อก อ่านทั้งหมด →