Закон Nigeria про захист персональних даних 2023: посібник із відповідності вимогам щодо файлів cookie для видавців у 2026 році
Протягом багатьох років Nigeria функціонувала відповідно до Регламенту про захист персональних даних 2019 року (NDPR) — підзаконного нормативного акта, виданого NITDA, який запроваджував зобов'язання у стилі GDPR без повноцінної законодавчої сили належного закону про захист даних. Закон про захист персональних даних Nigeria 2023 року (NDPA) змінив цю ситуацію. Прийнятий Національними зборами та підписаний у June 2023 року, цей Закон є першим комплексним статутом про захист даних у Nigeria і заснував Комісію з захисту персональних даних Nigeria (NDPC) як самостійний наглядовий орган із повноваженнями щодо правозастосування, суттєво ширшими, ніж ті, що мала NITDA за попереднього режиму. Для видавців, операторів SaaS та постачальників рекламних технологій, що обслуговують нігерійський трафік, — ринок якого стрімко розширився завдяки зростанню фінтеху, електронної комерції та ширшої цифрової економіки Західної Africa, — NDPA переглянула планку відповідності вимогам. Цей посібник розглядає вимоги Закону, підхід NDPC до їх тлумачення щодо онлайн-відстеження та практичний зміст роботи з дотримання вимог у 2026 році.
Огляд NDPA
NDPA побудована навколо шести основних принципів, що відповідають Article 5 GDPR: законність, справедливість і прозорість, обмеження мети, мінімізація даних, точність, обмеження зберігання та безпека. Закон поширюється на будь-якого контролера або обробника даних, що обробляє персональні дані фізичних осіб, які перебувають у Nigeria, з екстериторіальним охопленням, яке відображає GDPR Article 3. Закордонний видавець, що обслуговує нігерійських відвідувачів, повністю підпадає під дію Закону незалежно від місця свого заснування.
Правові підстави за Section 25 також є знайомими: згода, виконання договору, юридичний обов'язок, життєво важливі інтереси, суспільний інтерес та законний інтерес. Для онлайн-відстеження відповідними підставами є згода та — за вузьких і добре задокументованих обставин — законний інтерес. Загальна директива щодо застосування та впровадження NDPC 2025 року (GAID) уточнила, що стандарт згоди для необов'язкових файлів cookie функціонально ідентичний стандарту GDPR: вільно надана, конкретна, поінформована, однозначна та така, що може бути відкликана так само легко, як і надана.
Перехід від NDPR до NDPA
Три зміни між старим режимом NDPR і новим NDPA мають найбільше значення для онлайн-видавців.
Законодавчі повноваження щодо правозастосування
Повноваження NITDA за NDPR ґрунтувалися на підзаконному регуляторному акті, що обмежувало силу засобів захисту, які агентство могло застосовувати. NDPC діє на підставі первинного законодавства та може видавати приписи про усунення порушень, накладати адміністративні штрафи, прив'язані до відсотка річного доходу, та ініціювати кримінальне переслідування за навмисні порушення. Перехід від регуляторного переконання до законодавчого правозастосування є найбільш суттєвою операційною зміною.
Обов'язкові вимоги щодо відповідального за захист даних
NDPA зобов'язує контролерів даних, що перевищують визначені порогові значення обробки, призначити Відповідального за захист даних (DPO) та зареєструватися в NDPC. Порогові значення охоплюють більшість значущих онлайн-видавців і операторів SaaS, що обслуговують нігерійських користувачів.
Рамки транскордонної передачі
NDPA закріпила правила транскордонної передачі, які NDPR розглядала лише в загальних рисах. Sections 41-43 вимагають, щоб передачі до юрисдикцій без відповідного рівня захисту здійснювалися за одним із кількох перелічених механізмів: рішення про адекватність, обов'язкові корпоративні правила, договірні гарантії або конкретні відступи, при цьому NDPC публікує перелік затверджених інструментів.
Як NDPA регулює файли cookie та онлайн-відстеження
NDPA не містить окремого положення щодо файлів cookie; зобов'язання щодо згоди та інформування випливають із загальних рамок. Директива GAID NDPC та низка публічних керівних документів, опублікованих протягом 2024 і 2025 років, сформулювали конкретні очікування щодо онлайн-відстеження.
Підтверджуюча згода на необов'язкові файли cookie
Позиція NDPC узгоджується з позицією Оперативної групи EDPB з банерів файлів cookie та еквівалентними позиціями порівнянних регуляторів African (ODPC Кенії, Регулятор з питань інформації Південної Africa). Прокрутка як згода, продовження використання як згода та попередньо позначені поля є явними порушеннями.
Деталізовані елементи керування категоріями
Банери повинні відокремлювати строго необхідні файли cookie від аналітичних та маркетингових, причому кожна категорія має бути незалежно керованою. Пакетна кнопка «прийняти все» без деталізації розглядається як порушення критерію «конкретності» стандарту згоди.
Задокументована правова підстава
Section 26 NDPA закріплює підзвітність: контролери повинні бути здатні продемонструвати свою правову підставу для кожного виду діяльності з обробки на вимогу. Для розгортання файлів cookie це означає ведення журналу згоди на рівні аудиту: мітка часу, версія банера, вибір користувача та правова підстава для кожної категорії, що активується.
Розкриття інформації про транскордонну передачу
Для файлів cookie, що передають дані постачальникам за межами Nigeria — переважно американських постачальників рекламних технологій, аналітичних платформ EU — повідомлення про конфіденційність повинно визначати одержувача передачі та гарантію, відповідно до якої здійснюється передача. Загальні формулювання про «використання третіх сторін» не відповідають очікуванням NDPC.
Правозастосовна позиція Комісії з захисту персональних даних Nigeria
NDPC цілеспрямовано дотримується відкритості перед громадськістю з моменту свого заснування у 2023 році. Її правозастосовна позиція відповідає трьом спостережуваним моделям.
Гучні ранні справи
NDPC надала пріоритет помітним раннім справам проти відомих операторів із метою встановлення прецеденту та демонстрації серйозності намірів. Кілька операторів фінтеху та телекомунікаційних компаній отримали приписи про усунення порушень у 2024 та 2025 роках з публічними повідомленнями щодо усунення недоліків.
Галузеві перевірки
Окрім справ, що ініціюються на підставі скарг, NDPC провела галузеві огляди операторів фінтеху, охорони здоров'я та електронної комерції. Перевірки, як правило, розпочинаються із запиту документації (повідомлення про конфіденційність, журнали згоди, переліки постачальників) і посилюються залежно від того, що виявляє документація.
Координація з African та European регуляторами
NDPC бере участь у робочому потоці щодо потоків даних Continental Free Trade Area Африканського союзу та підтримує робочі відносини з EDPB і провідними національними органами із захисту даних. Транскордонні розслідування, що стосуються нігерійського та European трафіку, дедалі частіше здійснюються через скоординовані процедури.
Практичний контрольний список відповідності
Шість конкретних питань, на які потрібно відповісти для будь-якого банера файлів cookie, що обслуговує нігерійський трафік.
- Чи є явна кнопка відмови на першому рівні? Підтверджуюча згода є обов'язковою; прокрутка як згода та попередньо позначені поля є неприйнятними відповідно до GAID.
- Чи є категорії деталізованими? Необхідні, аналітичні та маркетингові категорії повинні керуватися окремо.
- Чи призначено DPO та проведено реєстрацію? Якщо обробка перевищує порогове значення реєстрації NDPC, підтвердьте призначення DPO та реєстрацію в NDPC.
- Чи задокументовані транскордонні передачі? Визначте кожен пункт призначення за межами Nigeria та гарантію за Section 41-43, що дозволяє передачу.
- Чи відповідає повідомлення про конфіденційність NDPA? Підтвердьте, що повідомлення містить контролера, цілі, одержувачів, строки зберігання та рамки прав за Section 33.
- Чи ведеться журнал згоди на рівні аудиту? Мітка часу, версія банера, вибір та правова підстава повинні бути відновлювані на вимогу.
Місце Nigeria у мультиюрисдикційному стеку
Nigeria є найбільшим цифровим ринком Africa за кількістю користувачів, а NDPA дедалі частіше стає шаблоном, на який орієнтуються інші африканські юрисдикції при модернізації власних рамок. Архітектура відповідності, побудована відповідно до European стандартів, дозволяє виконати вимоги щодо відповідності в Nigeria за допомогою незначних налаштувань конфігурації, подібних до тих, що вимагає Нова Зеландія: призначення DPO там, де застосовуються порогові значення, документація передачі у стилі NDPC та англомовні розкриття, що поважають нігерійські мовні умовності. Для видавців, які розбудовують паназдійські операції, NDPA стоїть поряд із Законом про захист даних Кенії 2019 року, POPIA Південної Africa та перспективною рамкою Єгипту як чотири найбільш операційно значущі африканські режими. Правильне дотримання нігерійських вимог є важливим на власному ринку та свідчить про готовність до роботи на континенті загалом.