Nijerya Veri Koruma Yasası 2023 Çerez Onayı Uyum Kılavuzu: 2026'da Yayıncılar İçin

Nijerya, yıllar boyunca NITDA tarafından çıkarılan ve tam bir veri koruma kanununun sağlayacağı yasal dayanaktan yoksun biçimde GDPR benzeri yükümlülükler getiren ikincil bir düzenleme olan Nijerya Veri Koruma Yönetmeliği 2019 (NDPR) kapsamında faaliyet gösterdi. Nijerya Veri Koruma Yasası 2023 (NDPA) bunu değiştirdi. Ulusal Meclis tarafından kabul edilen ve June 2023 tarihinde imzalanan bu Yasa, Nijerya'nın ilk kapsamlı veri koruma mevzuatıdır ve eski rejimde NITDA'ya kıyasla çok daha güçlü yaptırım yetkilerine sahip bağımsız bir denetim otoritesi olarak Nijerya Veri Koruma Komisyonu'nu (NDPC) kurmuştur. Fintech, e-ticaret ve daha geniş Batı Afrika dijital ekonomisinin büyümesiyle hızla genişleyen bu pazarda Nijerya trafiğine hizmet veren yayıncılar, SaaS operatörleri ve reklam teknolojisi satıcıları için NDPA uyum standartlarını yeniden belirledi. Bu kılavuz, Yasanın gerektirdiklerini, NDPC'nin çevrimiçi izleme için bu gereklilikleri nasıl yorumladığını ve 2026'daki pratik uyum çalışmalarının nasıl göründüğünü ele almaktadır.

NDPA'ya Genel Bakış

NDPA, GDPR'ın Article 5 ile örtüşen altı temel ilke etrafında yapılandırılmıştır: yasallık, adillik ve şeffaflık, amaç sınırlaması, veri minimizasyonu, doğruluk, saklama sınırlaması ve güvenlik. Yasa; Nigeria sınırları içindeki bireylerin kişisel verilerini işleyen her veri sorumlusu veya işleyicisine, GDPR Article 3'ü yansıtan ülke dışı kapsam dahilinde uygulanır. Nijerya ziyaretçilerine hizmet veren yurt dışı bir yayıncı, nerede kurulu olduğundan bağımsız olarak tamamen kapsam dahilindedir.

Section 25 kapsamındaki hukuki gerekçeler de tanıdık gelecektir: onay, sözleşmenin ifası, hukuki yükümlülük, hayati çıkarlar, kamu yararı ve meşru menfaat. Çevrimiçi izleme için geçerli gerekçeler; dar ve iyi belgelenmiş koşullar altında onay ve meşru menfaattir. NDPC'nin 2025 Genel Uygulama ve Yürütme Direktifi (GAID), zorunlu olmayan çerezler için onay standardının GDPR'ınkiyle işlevsel olarak özdeş olduğunu netleştirdi: özgürce verilmiş, belirli, bilgilendirilmiş, açık ve verilen onayın geri alınması kadar kolaylıkla yapılabilir olmalıdır.

NDPR'den NDPA'ya Geçiş

Eski NDPR rejimi ile yeni NDPA arasındaki üç değişiklik, çevrimiçi yayıncılar açısından en kritik öneme sahiptir.

Yasal yaptırım yetkileri

NITDA'nın NDPR kapsamındaki yetkisi, kurumun uygulayabileceği çarelerin gücünü sınırlayan ikincil bir düzenlemeye dayanıyordu. NDPC, birincil mevzuat kapsamında faaliyet göstermekte; uyum emirleri verebilmekte, yıllık gelirin belirli bir yüzdesine bağlı idari para cezaları uygulayabilmekte ve kasıtlı ihlaller için cezai yaptırım yoluna başvurabilmektedir. Düzenleyici ikna yetkisinden yasal yaptırım yetkisine geçiş, operasyonel açıdan en belirleyici değişikliktir.

Zorunlu veri koruma görevlisi yükümlülükleri

NDPA, belirlenmiş işleme eşiklerini aşan veri sorumlularının bir Veri Koruma Görevlisi (DPO) atamasını ve NDPC'ye kaydolmasını zorunlu kılmaktadır. Bu eşikler, Nijerya kullanıcılarına hizmet veren önemli çevrimiçi yayıncıların ve SaaS operatörlerinin büyük çoğunluğunu kapsamaktadır.

Sınır ötesi veri aktarımı çerçevesi

NDPA, NDPR'nin yalnızca genel hatlarıyla ele aldığı sınır ötesi aktarım kurallarını hukuki zemine oturttu. Sections 41-43, yeterli güvencenin tanınmadığı yargı bölgelerine yapılacak aktarımların çeşitli mekanizmalardan biri kapsamında gerçekleştirilmesini zorunlu kılmaktadır: yeterlilik kararı, bağlayıcı kurumsal kurallar, sözleşmesel güvenceler veya belirli istisnalar. NDPC, onaylı belgelerin bir listesini yayımlamaktadır.

NDPA'nın Çerezler ve Çevrimiçi İzlemeye Yaklaşımı

NDPA, çerezlere özgü bir hüküm içermemektedir; onay ve bilgilendirme yükümlülükleri genel çerçeveden kaynaklanmaktadır. NDPC'nin GAID'i ve 2024 ile 2025 yılları boyunca yayımlanan bir dizi kamuoyu rehberi, çevrimiçi izleme konusundaki somut beklentileri ortaya koymuştur.

Zorunlu olmayan çerezler için açık onay

NDPC'nin tutumu, EDPB Çerez Afişi Görev Grubu'nun ve karşılaştırılabilir Africa düzenleyicilerinin (Kenya'nın ODPC, Güney Afrika Bilgi Düzenleyicisi) eşdeğer tutumlarıyla örtüşmektedir. Kaydırma yoluyla onay, kullanmaya devam etme yoluyla onay ve önceden işaretlenmiş kutular açık kusurlar olarak değerlendirilmektedir.

Ayrıntılı kategori kontrolleri

Afişler; zorunlu çerezleri, analitik çerezleri ve pazarlama çerezlerini birbirinden ayırmalı ve her kategori bağımsız olarak kontrol edilebilir olmalıdır. Ayrıntı sağlanmadan sunulan toplu kabul seçeneği, onay standardının belirlilik ölçütünün ihlali olarak değerlendirilmektedir.

Belgelenmiş hukuki dayanak

NDPA'nın Section 26'sı hesap verebilirliği yasal güvence altına almaktadır: sorumlular, talep üzerine her işleme faaliyeti için hukuki dayanaklarını kanıtlayabilmelidir. Çerez kullanımları açısından bu durum, denetim düzeyinde onay kaydı tutmayı gerektirmektedir: zaman damgası, afiş sürümü, kullanıcının tercihi ve çalışmaya başlayan her kategori için ileri sürülen hukuki dayanak.

Sınır ötesi veri aktarımı açıklaması

Verileri Nigeria dışındaki satıcılara yönlendiren çerezler için — çoğunlukla ABD merkezli reklam teknolojisi satıcıları ve EU merkezli analitik platformlar — gizlilik bildirimi, aktarımın yapıldığı alıcıyı ve aktarımın hangi güvenceye dayandığını açıkça belirtmelidir. Üçüncü taraflar kullandığımıza dair genel ifadeler NDPC'nin beklentilerini karşılamamaktadır.

Nijerya Veri Koruma Komisyonu'nun Yaptırım Tutumu

NDPC, 2023'te kurulduğundan bu yana kamuoyuna karşı kasıtlı olarak açık bir tutum sergilemiştir. Yaptırım tutumu üç gözlemlenebilir örüntü izlemektedir.

Yüksek profilli erken dönem davalar

NDPC, emsal oluşturmak ve ciddi bir tutum sergilemek amacıyla tanınmış operatörlere yönelik kamuoyunda görünür ilk davaları önceliklendirmiştir. 2024 ve 2025 yıllarında çok sayıda fintech ve telekomünikasyon operatörü, iyileştirmeye ilişkin kamuoyu bildirileriyle birlikte uyum emirleri almıştır.

Sektörel taramalar

NDPC, şikayete dayalı davaların ötesinde fintech, sağlık ve e-ticaret operatörlerine yönelik sektörel incelemeler yürütmüştür. Taramalar genellikle belge talebiyle (gizlilik bildirimleri, onay kayıtları, satıcı listeleri) başlamakta ve belgelerin ortaya koyduklarına göre tırmanmaktadır.

Africa ve Avrupa düzenleyicileriyle koordinasyon

NDPC, African Union'ın Continental Free Trade Area veri akışı çalışma grubuna katılmakta ve EDPB ile başlıca ulusal veri koruma otoriteleriyle çalışma ilişkileri sürdürmektedir. Nijerya ve Avrupa trafiğini kapsayan sınır ötesi soruşturmalar giderek daha fazla koordineli prosedürler aracılığıyla yürütülmektedir.

Pratik Bir Uyum Denetim Listesi

Nijerya trafiğine hizmet veren herhangi bir çerez afişi için yanıtlanması gereken altı somut soru.

Nijerya'nın Çok Yargılı Yapıda Konumu

Nijerya, kullanıcı sayısı bakımından Africa'nın en büyük dijital pazarıdır ve NDPA, diğer Africa yargı bölgelerinin kendi çerçevelerini modernize ederken giderek daha fazla örnek aldıkları bir şablon haline gelmektedir. Avrupa standartlarına göre inşa edilmiş bir uyum mimarisi, Nijerya uyumunu Yeni Zelanda'nın gerektirdiği türden küçük yapılandırma ayarlamalarıyla karşılar: eşiklerin uygulandığı yerlerde DPO ataması, NDPC stilinde aktarım belgesi ve Nijerya dilsel geleneklerine saygı gösteren İngilizce açıklamalar. Africa genelinde faaliyetlerini genişletmeye çalışan yayıncılar için NDPA, Kenya'nın DPA 2019'u, Güney Afrika'nın POPIA'sı ve Mısır'ın gelişmekte olan çerçevesiyle birlikte operasyonel açıdan en belirleyici dört Africa rejiminden biri olarak öne çıkmaktadır. Nijerya uyumunu doğru bir şekilde sağlamak, kendi pazarında anlamlı olduğu kadar geri kalanı için de kıtalararası hazırlığın bir işareti niteliğindedir.

← Blog Tümünü Oku →