हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंनाइजीरिया एनडीपीआर: डेटा सुरक्षा विनियमन अनुपालन
नाइजीरिया अफ्रीका की सबसे बड़ी अर्थव्यवस्था और सबसे अधिक आबादी वाला देश है, जो इसे पूरे महाद्वीप में व्यवसायों के लिए एक महत्वपूर्ण बाजार बनाता है। नाइजीरिया के डेटा संरक्षण ढांचे में महत्वपूर्ण विकास हुआ है: जनवरी 2019 में राष्ट्रीय सूचना प्रौद्योगिकी विकास एजेंसी (एनआईटीडीए) द्वारा जारी नाइजीरिया डेटा संरक्षण विनियमन (एनडीपीआर) से लेकर नाइजीरिया डेटा संरक्षण अधिनियम 2023 (एनडीपीए) तक - 14 जून, 2023 को कानून में हस्ताक्षरित - जिसने नाइजीरिया डेटा संरक्षण आयोग (एनडीपीसी) को एक स्वतंत्र डेटा संरक्षण प्राधिकरण के रूप में स्थापित किया और डेटा संरक्षण को वैधानिक कानून में बदल दिया।
एनडीपीआर (जो संक्रमणकालीन अनुपालन के लिए प्रासंगिक रहता है) और नए एनडीपीए 2023 ढांचे दोनों को समझना नाइजीरियाई संचालन, कर्मचारियों या ग्राहकों वाले किसी भी संगठन के लिए आवश्यक है।
मुख्य बातें
- नाइजीरिया डेटा संरक्षण अधिनियम 2023 (एनडीपीए) एनडीपीआर को हटा देता है और एनडीपीसी को स्वतंत्र पर्यवेक्षी प्राधिकरण के रूप में स्थापित करता है
- एनडीपीए नाइजीरिया में व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है और बाहरी तौर पर जहां नाइजीरियाई लोगों को सामान/सेवाएं पेश की जाती हैं या नाइजीरियाई व्यक्तियों के व्यवहार की निगरानी की जाती है
- उपभोक्ता डेटा के लिए प्राथमिक आधार के रूप में सहमति के साथ प्रसंस्करण के लिए छह वैध आधार मौजूद हैं
- संवेदनशील व्यक्तिगत डेटा (स्वास्थ्य, बायोमेट्रिक्स, जाति, धर्म, राजनीतिक राय, यौन अभिविन्यास) के लिए सीमित अपवादों के साथ स्पष्ट सहमति की आवश्यकता होती है
- "डेटा प्रोसेसर" और "प्रमुख महत्व के डेटा नियंत्रक" ऑडिट और अनुपालन फाइलिंग आवश्यकताओं सहित विशिष्ट अतिरिक्त दायित्वों का सामना करते हैं
- सीमा पार स्थानांतरण प्रतिबंधों के लिए पर्याप्तता, उचित सुरक्षा उपाय या सहमति की आवश्यकता होती है
- एनडीपीसी सामान्य उल्लंघनों के लिए वार्षिक सकल राजस्व का 2% या ₦10 मिलियन, जो भी अधिक हो, तक जुर्माना लगा सकती है; गंभीर उल्लंघनों के लिए ₦50 मिलियन तक
- सभी डेटा नियंत्रकों को एनआईटीडीए-लाइसेंस प्राप्त ऑडिटरों के साथ वार्षिक डेटा सुरक्षा ऑडिट करना होगा
नाइजीरिया का डेटा सुरक्षा ढांचा
एनडीपीआर से एनडीपीए तक
एनडीपीआर 2019 (नाइजीरिया डेटा संरक्षण विनियमन): एनआईटीडीए के अधिदेश के तहत जारी किया गया, न कि संसद के औपचारिक अधिनियम के तहत। नाइजीरियाई निवासियों के व्यक्तिगत डेटा को संभालने वाले प्राकृतिक व्यक्तियों और संस्थाओं पर लागू। एनआईटीडीए-लाइसेंस प्राप्त लेखा परीक्षकों द्वारा अनिवार्य वार्षिक ऑडिट सहित बुनियादी डेटा सुरक्षा सिद्धांत, व्यक्तिगत अधिकार और अनुपालन आवश्यकताएं स्थापित की गईं।
एनडीपीए 2023 (नाइजीरिया डेटा संरक्षण अधिनियम): नेशनल असेंबली द्वारा अधिनियमित और 14 जून, 2023 को राष्ट्रपति द्वारा हस्ताक्षरित। एनडीपीसी को एक स्वतंत्र वैधानिक निकाय के रूप में स्थापित करता है; डेटा सुरक्षा दायित्वों को प्राथमिक कानून तक बढ़ाता है; नए अधिकारों और दायित्वों का परिचय देता है; जीडीपीआर के साथ अधिक निकटता से संरेखित होता है; एनडीपीआर के परस्पर विरोधी प्रावधानों का स्थान लेता है।
संक्रमण: एनडीपीसी ने संकेत दिया है कि संक्रमण अवधि के दौरान एनडीपीआर अनुपालन तंत्र और मार्गदर्शन लागू रहेंगे। जो संगठन एनडीपीआर-अनुपालक थे, उन्हें अतिरिक्त दायित्वों के लिए एनडीपीए की समीक्षा करनी चाहिए।
एनडीपीए दायरा
एनडीपीए इन पर लागू होता है:
- नाइजीरिया में व्यक्तिगत डेटा का प्रसंस्करण
- नाइजीरियाई संस्थाओं द्वारा व्यक्तिगत डेटा का प्रसंस्करण, चाहे प्रसंस्करण कहीं भी हो
- विदेशी संस्थाओं द्वारा प्रसंस्करण जहां नाइजीरिया में व्यक्तियों को सामान/सेवाएं पेश की जाती हैं, या जहां नाइजीरिया में व्यक्तियों के व्यवहार की निगरानी की जाती है
मुख्य परिभाषाएँ और डेटा श्रेणियाँ
व्यक्तिगत डेटा: किसी पहचाने जाने योग्य व्यक्ति से संबंधित कोई भी जानकारी - नाम, पहचान संख्या, स्थान डेटा, या शारीरिक, शारीरिक, आनुवंशिक, मानसिक, आर्थिक, सांस्कृतिक या सामाजिक पहचान के लिए विशिष्ट एक या अधिक कारकों के संदर्भ में प्रत्यक्ष या अप्रत्यक्ष रूप से पहचानी जाने योग्य।
संवेदनशील व्यक्तिगत डेटा (एनडीपीए की अनुसूची 1): अधिक सुरक्षा और स्पष्ट सहमति की आवश्यकता है। श्रेणियों में शामिल हैं:
- आनुवंशिक या बायोमेट्रिक डेटा
- स्वास्थ्य या चिकित्सा रिकॉर्ड
- नस्ल या जातीय मूल
- धार्मिक या राजनीतिक मान्यताएँ
- ट्रेड यूनियन सदस्यता
- यौन रुझान या गतिविधियाँ
- एक बच्चे से संबंधित डेटा
बाल डेटा: विशिष्ट सुरक्षा बच्चों के डेटा पर लागू होती है (नाइजीरियाई कानून के तहत 18 वर्ष से कम आयु के व्यक्तियों के रूप में परिभाषित)। बच्चों के व्यक्तिगत डेटा के प्रसंस्करण के लिए माता-पिता या अभिभावक की सहमति आवश्यक है। बच्चों के लिए निर्देशित ऑनलाइन सेवाओं के लिए सत्यापित अभिभावक सहमति तंत्र लागू किया जाना चाहिए।
प्रसंस्करण के लिए वैध आधार
एनडीपीए की धारा 25 छह वैध आधार स्थापित करती है:
-
सहमति: स्वतंत्र रूप से दिया गया, विशिष्ट, सूचित और समझौते का स्पष्ट संकेत। बिना किसी नुकसान के किसी भी समय वापस लिया जाना चाहिए।
-
अनुबंध: डेटा विषय के साथ अनुबंध के निष्पादन के लिए, या अनुबंध में प्रवेश करने से पहले डेटा विषय के अनुरोध पर कदम उठाने के लिए आवश्यक प्रसंस्करण।
-
कानूनी दायित्व: नियंत्रक के कानूनी दायित्व का पालन करने के लिए प्रसंस्करण आवश्यक है।
-
महत्वपूर्ण हित: डेटा विषय या किसी अन्य व्यक्ति के महत्वपूर्ण हितों की रक्षा के लिए आवश्यक प्रसंस्करण।
-
सार्वजनिक हित: सार्वजनिक हित में किए गए किसी कार्य के निष्पादन के लिए, या नियंत्रक में निहित आधिकारिक सार्वजनिक जनादेश के अभ्यास के लिए आवश्यक प्रसंस्करण।
-
वैध हित: नियंत्रक या किसी तीसरे पक्ष द्वारा अपनाए गए वैध हितों के प्रयोजनों के लिए आवश्यक प्रसंस्करण - सिवाय इसके कि जहां डेटा विषय के मौलिक अधिकारों और स्वतंत्रता द्वारा ओवरराइड किया गया हो। (नोट: किसी सार्वजनिक प्राधिकरण द्वारा अपने कार्यों के निष्पादन में इस आधार पर भरोसा नहीं किया जा सकता है।)
सहमति आवश्यकताएँ: प्रत्येक प्रसंस्करण उद्देश्य के लिए विशिष्ट होनी चाहिए; स्वतंत्र रूप से दिया गया (गैर-आवश्यक प्रसंस्करण के लिए सहमति पर अनुबंध की कोई शर्त नहीं); रिकॉर्ड किया गया और प्रदर्शित किया जा सकने वाला; वापस लेना उतना ही आसान जितना देना। पहले से टिक किए गए बॉक्स, चुप्पी, या निष्क्रियता वैध सहमति नहीं है।
डेटा विषय अधिकार
एनडीपीए व्यक्तियों को निम्नलिखित अधिकार प्रदान करता है, जिनका प्रयोग नियंत्रक से अनुचित देरी के बिना किया जा सकता है:
| सही है | मानक | नोट्स |
|---|---|---|
| सूचित होने का अधिकार | संग्रह पर या उससे पहले | संग्रहण नोटिस आवश्यक |
| पहुंच का अधिकार | बिना किसी देरी के | धारित डेटा की प्रतिलिपि का अनुरोध कर सकते हैं |
| सुधार का अधिकार | बिना किसी देरी के | ग़लत या अधूरे डेटा को सही करें |
| मिटाने का अधिकार | बिना किसी देरी के | जहां प्रसंस्करण की शर्तें अब लागू नहीं होती हैं |
| प्रसंस्करण को प्रतिबंधित करने का अधिकार | बिना किसी देरी के | जहां सटीकता पर विवाद हो या आपत्ति लंबित हो |
| डेटा पोर्टेबिलिटी का अधिकार | बिना किसी देरी के | मशीन-पठनीय प्रारूप, तकनीकी रूप से व्यवहार्य |
| आपत्ति करने का अधिकार | बिना किसी देरी के | वैध हितों या सार्वजनिक हित के आधार पर प्रसंस्करण पर आपत्ति |
| अधिकार पुनः. स्वचालित निर्णय | बिना किसी देरी के | महत्वपूर्ण स्वचालित निर्णयों पर आपत्ति; मानवीय समीक्षा का अनुरोध करें |
प्रतिक्रिया समयसीमा: एनडीपीए को "बिना अनुचित देरी के" प्रतिक्रियाओं की आवश्यकता होती है - एनडीपीसी मार्गदर्शन उचित मानक के रूप में 30 दिनों को इंगित करता है, जटिल अनुरोधों के लिए 60 दिनों के विस्तार के साथ, यदि डेटा विषय को पहले 30 दिनों के भीतर अधिसूचित किया जाता है।
नियंत्रक दायित्व
गोपनीयता सूचना
नियंत्रकों को संग्रह के समय या उससे पहले गोपनीयता जानकारी प्रदान करनी होगी:
- नियंत्रक की पहचान और संपर्क विवरण
- डेटा संरक्षण अधिकारी का संपर्क विवरण (यदि लागू हो)
- प्रसंस्करण के उद्देश्य और वैध आधार
- व्यक्तिगत डेटा के प्राप्तकर्ता या प्राप्तकर्ताओं की श्रेणियां
- तीसरे देशों में स्थानांतरण और सुरक्षा उपाय
- अवधारण अवधि या उन्हें निर्धारित करने के लिए मानदंड
- डेटा विषय अधिकार और उनका प्रयोग कैसे करें
- सहमति वापस लेने का अधिकार (जहां सहमति आधार हो)
- एनडीपीसी के पास शिकायत दर्ज करने का अधिकार
भाषा: नाइजीरियाई परिचालन के लिए गोपनीयता सूचनाएं अंग्रेजी (नाइजीरिया की आधिकारिक भाषा) में होनी चाहिए और महत्वपूर्ण गैर-अंग्रेजी भाषी आबादी वाले क्षेत्रों में उपभोक्ता-सामना वाले उत्पादों के लिए स्थानीय अनुवाद को शामिल करने की आवश्यकता हो सकती है।
डेटा संरक्षण अधिकारी (डीपीओ)
एनडीपीए को निम्नलिखित के लिए एक डीपीओ की नियुक्ति की आवश्यकता है:
- प्रमुख महत्व के डेटा नियंत्रक या प्रोसेसर (प्रति माह 10,000 से अधिक डेटा विषयों के डेटा को संसाधित करने वाले, या संवेदनशील डेटा को मुख्य गतिविधि के रूप में संसाधित करने वाले के रूप में परिभाषित)
- सार्वजनिक प्राधिकारी
डीपीओ जिम्मेदारियां:
- डेटा सुरक्षा दायित्वों के बारे में सूचित करें और सलाह दें
- एनडीपीए और आंतरिक नीतियों के अनुपालन की निगरानी करें
- डेटा विषयों और एनडीपीसी के लिए संपर्क बिंदु के रूप में कार्य करें
- एनडीपीसी जांच में सहयोग करें
वार्षिक डेटा सुरक्षा ऑडिट
नाइजीरिया की सबसे विशिष्ट अनुपालन आवश्यकताओं में से एक: **सभी डेटा नियंत्रकों को एनडीपीसी (एनडीपीआर के तहत पूर्व में एनआईटीडीए) के साथ वार्षिक डेटा सुरक्षा ऑडिट करना और दाखिल करना होगा। ऑडिट एनआईटीडीए-लाइसेंस प्राप्त डेटा सुरक्षा अनुपालन संगठन (डीपीसीओ) द्वारा आयोजित किया जाना चाहिए। डीपीसीओ नियंत्रक की डेटा सुरक्षा प्रथाओं, अनुपालन अंतराल और सुधारात्मक सिफारिशों को कवर करते हुए एक ऑडिट रिपोर्ट जारी करता है। इसे सालाना एनडीपीसी के पास दाखिल किया जाना चाहिए।
ऑडिट का दायरा शामिल है:
- डेटा सूची और प्रवाह मानचित्रण
- वैध आधार दस्तावेज़ीकरण
- गोपनीयता सूचना पर्याप्तता
- सुरक्षा उपाय
- डेटा विषय अधिकार प्रक्रियाएँ
- सीमा पार स्थानांतरण अनुपालन
- अधिसूचना प्रक्रियाओं का उल्लंघन
- स्टाफ प्रशिक्षण
लागत: ऑडिट शुल्क डीपीसीओ के अनुसार अलग-अलग होता है; संगठन के आकार और जटिलता के आधार पर ₦500,000–₦5,000,000+ की अपेक्षा करें।
डेटा सुरक्षा प्रभाव आकलन (डीपीआईए)
धारा 30 में उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए डीपीआईए की आवश्यकता है, जिनमें शामिल हैं:
- स्वचालित प्रसंस्करण, प्रोफाइलिंग या भविष्यवाणियों का उपयोग करके व्यक्तिगत पहलुओं का व्यवस्थित मूल्यांकन
- संवेदनशील व्यक्तिगत डेटा का बड़े पैमाने पर प्रसंस्करण
- बड़े पैमाने पर सार्वजनिक पहुंच वाले क्षेत्रों की व्यवस्थित निगरानी
सुरक्षा आवश्यकताएँ
एनडीपीए की धारा 38 में जोखिम के लिए उपयुक्त तकनीकी और संगठनात्मक सुरक्षा उपायों की आवश्यकता है। एनडीपीसी और एनआईटीडीए ने निर्दिष्ट करते हुए तकनीकी मार्गदर्शन जारी किया है:
न्यूनतम तकनीकी उपाय:
- भंडारण और ट्रांसमिशन में व्यक्तिगत डेटा का एन्क्रिप्शन (ट्रांसमिशन के लिए टीएलएस, संवेदनशील डेटा के लिए एईएस-256)
- प्रमाणीकरण और न्यूनतम विशेषाधिकार के साथ अभिगम नियंत्रण
- जहां संभव हो छद्म नामकरण
- सिस्टम ऑडिट ट्रेल्स और एक्सेस लॉग
- नियमित सुरक्षा परीक्षण (कम से कम वार्षिक)
- घटना का पता लगाने और प्रतिक्रिया क्षमताएं
- सुरक्षित बैकअप और पुनर्प्राप्ति
न्यूनतम संगठनात्मक उपाय:
- प्रलेखित गोपनीयता और सुरक्षा नीतियां
- डेटा सुरक्षा दायित्वों पर कर्मचारियों को प्रशिक्षण
- डेटा वर्गीकरण ढांचा
- विक्रेता/प्रोसेसर सुरक्षा आकलन
- डेटा प्रोसेसिंग सुविधाओं के लिए भौतिक सुरक्षा नियंत्रण
सीमा पार डेटा स्थानांतरण
एनडीपीए की धारा 43 नाइजीरिया के बाहर व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित करती है। अनुमत तंत्र:
- एनडीपीसी पर्याप्तता निर्णय: पर्याप्त डेटा सुरक्षा के लिए एनडीपीसी द्वारा निर्धारित देश में स्थानांतरण
- उचित सुरक्षा उपाय: डेटा विषयों को लागू करने योग्य अधिकार प्रदान करने वाले सुरक्षा उपायों के तहत स्थानांतरण, जिसमें शामिल हैं:
- सार्वजनिक प्राधिकरणों के बीच कानूनी रूप से बाध्यकारी साधन
- कॉर्पोरेट नियमों को बाध्य करना
- एनडीपीसी द्वारा अनुमोदित मानक संविदात्मक धाराएँ
- बाध्यकारी प्रतिबद्धताओं के साथ प्रमाणन तंत्र
- स्पष्ट सहमति: प्रस्तावित हस्तांतरण, जोखिम और पर्याप्त निर्णय या सुरक्षा उपायों की अनुपस्थिति के बारे में डेटा विषय की सूचित सहमति
- अनुबंध आवश्यकता: डेटा विषय और नियंत्रक के बीच अनुबंध के लिए स्थानांतरण आवश्यक है
- महत्वपूर्ण हित: महत्वपूर्ण हितों की सुरक्षा जहां सहमति प्राप्त नहीं की जा सकती
- जनहित: महत्वपूर्ण जनहित के लिए स्थानांतरण आवश्यक
एनडीपीसी पर्याप्तता निर्धारण: आयोग अपनी पर्याप्तता रूपरेखा विकसित कर रहा है। 2026 की शुरुआत तक, कोई औपचारिक पर्याप्तता निर्णय प्रकाशित नहीं किया गया है। पर्याप्तता ढांचा परिपक्व होने के दौरान नियमित सीमा-पार स्थानांतरण के लिए मानक संविदात्मक खंड अनुशंसित तंत्र हैं।
उल्लंघन अधिसूचना
एनडीपीए की धारा 40 में व्यक्तिगत डेटा उल्लंघनों की अधिसूचना की आवश्यकता है:
एनडीपीसी को अधिसूचना: किसी ऐसे उल्लंघन के बारे में पता चलने के 72 घंटों के भीतर, जिसके परिणामस्वरूप व्यक्तियों के अधिकारों और स्वतंत्रता को खतरा होने की संभावना है।
प्रभावित व्यक्तियों को अधिसूचना: अनुचित देरी के बिना, जहां उल्लंघन के परिणामस्वरूप उनके अधिकारों और स्वतंत्रता के लिए उच्च जोखिम होने की संभावना है।
एनडीपीसी को अधिसूचना सामग्री:
- उल्लंघन की प्रकृति और प्रभावित डेटा विषयों की श्रेणियां/अनुमानित संख्या
- प्रभावित व्यक्तिगत डेटा रिकॉर्ड की श्रेणियाँ और अनुमानित संख्या
- डीपीओ का संपर्क विवरण
- उल्लंघन के संभावित परिणाम
- उल्लंघन को संबोधित करने के लिए उठाए गए या प्रस्तावित उपाय, जिसमें प्रतिकूल प्रभावों को कम करने के उपाय भी शामिल हैं
दस्तावेज़ीकरण: सभी उल्लंघनों (यहां तक कि जिनके लिए अधिसूचना की आवश्यकता नहीं है) को तथ्यों, प्रभावों और सुधारात्मक कार्रवाइयों के साथ आंतरिक रूप से प्रलेखित किया जाना चाहिए।
एनडीपीसी प्रवर्तन और दंड
नाइजीरिया डेटा संरक्षण आयोग (एनडीपीसी) एनडीपीए 2023 के तहत स्थापित एक स्वतंत्र सरकारी एजेंसी है। शक्तियों में शामिल हैं:
- शिकायतें प्राप्त करना और उनकी जांच करना
- ऑडिट आयोजित करना (योजनाबद्ध और अघोषित)
- अनुपालन नोटिस जारी करना
- प्रशासनिक प्रतिबंध लगाना
- अटॉर्नी जनरल को आपराधिक उल्लंघनों का जिक्र करना
प्रशासनिक दंड:
| उल्लंघन श्रेणी | अधिकतम जुर्माना |
|---|---|
| एनडीपीए दायित्वों का सामान्य उल्लंघन | वार्षिक सकल राजस्व का 2% या ₦10 मिलियन, जो भी अधिक हो |
| गंभीर उल्लंघन (संवेदनशील डेटा, बच्चों का डेटा, सीमा पार स्थानांतरण) | वार्षिक सकल राजस्व का 2% या ₦50 मिलियन, जो भी अधिक हो |
| 24 महीने के भीतर बार-बार उल्लंघन | दोगुना जुर्माना |
आपराधिक दंड: एनडीपीए व्यक्तिगत डेटा में गैरकानूनी व्यापार सहित कुछ उल्लंघनों के लिए आपराधिक दायित्व प्रदान करता है। एनडीपीए धारा 48 कारावास सहित आपराधिक प्रतिबंधों का प्रावधान करती है।
एनआईटीडीए प्रवर्तन इतिहास: एनडीपीआर के तहत, एनआईटीडीए ने जुर्माना लगाया जिसमें शामिल हैं: स्पेंमो टेक्नोलॉजीज (₦10 मिलियन), जूलियस बर्जर नाइजीरिया (₦10 मिलियन), इंटीग्रेटेड कॉर्पोरेट सर्विसेज लिमिटेड (₦4 मिलियन)। ये नाइजीरिया में कार्यरत घरेलू और अंतर्राष्ट्रीय दोनों कंपनियों तक सक्रिय प्रवर्तन को प्रदर्शित करते हैं।
एनडीपीए अनुपालन चेकलिस्ट
- एनडीपीए प्रयोज्यता की पुष्टि की गई (नाइजीरिया परिचालन, नाइजीरियाई ग्राहक/कर्मचारी)
- व्यक्तिगत डेटा सूची पूरी हो गई
- संवेदनशील व्यक्तिगत डेटा की पहचान की गई - स्पष्ट सहमति प्राप्त की गई
- बच्चों के डेटा की पहचान की गई - माता-पिता की सहमति तंत्र लागू किया गया
- प्रत्येक प्रसंस्करण गतिविधि के लिए वैध आधार प्रलेखित
- गोपनीयता नोटिस सभी आवश्यक खुलासों के साथ अंग्रेजी में तैयार किया गया है
- जहां आवश्यक हो वहां डीपीओ नियुक्त किया गया (10,000+ डेटा विषय/माह या संवेदनशील डेटा कोर गतिविधि)
- एनआईटीडीए-लाइसेंस प्राप्त डीपीसीओ के साथ वार्षिक डेटा सुरक्षा ऑडिट की योजना बनाई गई है
- डेटा विषय अधिकार प्रक्रियाएँ प्रलेखित
- सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया है - एससीसी या अन्य तंत्र मौजूद हैं
- सुरक्षा उपाय लागू किए गए (एन्क्रिप्शन, एक्सेस कंट्रोल, ऑडिट लॉगिंग)
- DPIA उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए आयोजित किया गया
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (72 घंटे की एनडीपीसी अधिसूचना)
- एनडीपीए दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
- प्रोसेसर समझौतों (डेटा प्रोसेसिंग समझौते) की समीक्षा और अद्यतन किया गया
अक्सर पूछे जाने वाले प्रश्न
क्या एनडीपीआर अब भी प्रासंगिक है क्योंकि एनडीपीए 2023 अधिनियमित हो गया है?
एनडीपीए 2023 एनडीपीआर के परस्पर विरोधी प्रावधानों का स्थान लेता है। हालाँकि, एनडीपीसी ने संकेत दिया है कि संक्रमण अवधि के दौरान एनडीपीआर मार्गदर्शन और अनुपालन तंत्र लागू रहेंगे। महत्वपूर्ण बात यह है कि वार्षिक ऑडिट आवश्यकता - एनडीपीआर की सबसे विशिष्ट विशेषताओं में से एक - एनडीपीए के तहत जारी है। जिन संगठनों ने एनडीपीआर के आसपास अपने अनुपालन कार्यक्रम बनाए हैं, उन्हें नए या उन्नत दायित्वों के लिए एनडीपीए की समीक्षा करनी चाहिए, विशेष रूप से डेटा विषय अधिकारों, संवेदनशील डेटा, सीमा पार हस्तांतरण और डीपीओ आवश्यकता के आसपास।
डेटा सुरक्षा अनुपालन संगठन (डीपीसीओ) क्या है और मुझे इसकी आवश्यकता क्यों है?
डीपीसीओ डेटा सुरक्षा ऑडिट और अनुपालन सेवाएं प्रदान करने के लिए एनआईटीडीए/एनडीपीसी द्वारा लाइसेंस प्राप्त एक संगठन है। नाइजीरियाई कानून के तहत आवश्यक वार्षिक डेटा सुरक्षा ऑडिट एक लाइसेंस प्राप्त डीपीसीओ द्वारा आयोजित किया जाना चाहिए - अकेले स्व-मूल्यांकन आवश्यकता को पूरा नहीं करता है। डीपीसीओ आपकी डेटा सुरक्षा प्रथाओं की समीक्षा करते हैं, एक अनुपालन रिपोर्ट जारी करते हैं, और आपकी ओर से एनडीपीसी के पास ऑडिट दाखिल करते हैं। लाइसेंस प्राप्त डीपीसीओ की एक सूची एनआईटीडीए और एनडीपीसी वेबसाइटों पर उपलब्ध है। नाइजीरियाई परिचालन वाली विदेशी कंपनियों के लिए, वार्षिक ऑडिट दायित्व को पूरा करने के लिए डीपीसीओ को नियुक्त करना आवश्यक है।
"प्रमुख महत्व के डेटा नियंत्रक" का क्या अर्थ है और अतिरिक्त दायित्व क्या हैं?
प्रमुख महत्व के डेटा नियंत्रकों को उन लोगों के रूप में परिभाषित किया गया है जो प्रति माह 10,000 से अधिक डेटा विषयों के व्यक्तिगत डेटा को संसाधित करते हैं, या जो संवेदनशील व्यक्तिगत डेटा को मुख्य गतिविधि के रूप में संसाधित करते हैं। इन संस्थाओं के लिए अतिरिक्त दायित्वों में शामिल हैं: अनिवार्य डीपीओ नियुक्ति, एनडीपीसी के साथ पंजीकरण (VERBİS-प्रकार की रजिस्ट्री से अलग), बढ़ी हुई वार्षिक ऑडिट आवश्यकताएं, और संभावित अतिरिक्त अनुपालन फाइलिंग। मध्यम और बड़े ईकॉमर्स व्यवसाय, वित्तीय सेवा कंपनियां, स्वास्थ्य प्लेटफ़ॉर्म और टेलीकॉम ऑपरेटर प्रमुख महत्व के डेटा नियंत्रकों के रूप में अर्हता प्राप्त करने की संभावना रखते हैं।
नाइजीरिया का एनडीपीए जीडीपीआर से कैसे तुलना करता है?
एनडीपीए संरचना और सामग्री में जीडीपीआर पर बहुत अधिक निर्भर करता है - छह वैध आधार, संवेदनशील डेटा की समान श्रेणियां (साथ ही बायोमेट्रिक्स और आनुवंशिक डेटा), समान डेटा विषय अधिकार, डीपीओ आवश्यकताएं, डीपीआईए दायित्व और उल्लंघन अधिसूचना। मुख्य अंतर: (1) नाइजीरिया के अनिवार्य वार्षिक बाहरी ऑडिट का कोई जीडीपीआर समकक्ष नहीं है; (2) एनडीपीसी पर्याप्तता निर्धारण यूरोपीय संघ आयोग के पर्याप्तता ढांचे की तुलना में कम विकसित हैं; (3) नाइजीरिया का प्रवर्तन बुनियादी ढांचा नया है और अभी भी विकसित हो रहा है; (4) एनडीपीए का जुर्माना आम तौर पर बड़ी कंपनियों के लिए जीडीपीआर की अधिकतम सीमा से कम है; (5) नाइजीरिया के सीमा पार स्थानांतरण नियम जीडीपीआर के समान ही संरचित हैं लेकिन कार्यान्वयन में विशिष्ट तंत्र भिन्न हैं।
क्या एनडीपीए विदेश में काम कर रही नाइजीरियाई कंपनियों पर लागू होता है?
हाँ। एनडीपीए नाइजीरियाई संस्थाओं पर लागू होता है, चाहे प्रसंस्करण कहीं भी हो। ऑफशोर क्लाउड इंफ्रास्ट्रक्चर, विदेशी सहायक कंपनियों या अंतरराष्ट्रीय संचालन वाली एक नाइजीरियाई कंपनी नाइजीरियाई व्यक्तियों के डेटा को संसाधित करने के लिए एनडीपीए के अधीन रहती है। इसके विपरीत, नाइजीरिया के भीतर नाइजीरियाई लोगों के डेटा को संसाधित करने वाली या नाइजीरियाई लोगों को सामान/सेवाएं प्रदान करने वाली विदेशी संस्थाएं भी एनडीपीए के अलौकिक प्रावधानों के अधीन हैं। यह नाइजीरियाई बहुराष्ट्रीय कंपनियों के लिए दोहरी बाध्यता पैदा करता है - नाइजीरियाई डेटा के लिए एनडीपीए अनुपालन और प्रत्येक देश में कानूनों का अनुपालन जहां वे काम करते हैं।
अगले चरण
नाइजीरिया का डेटा सुरक्षा परिदृश्य तेजी से परिपक्व हो रहा है, एनडीपीए 2023 एक मजबूत वैधानिक ढांचा स्थापित कर रहा है और एनडीपीसी प्रवर्तन क्षमता का निर्माण कर रहा है। नाइजीरियाई परिचालन वाले व्यवसायों के लिए - चाहे स्थानीय कंपनियां हों या नाइजीरियाई बाजार में सेवा देने वाली अंतर्राष्ट्रीय कंपनियां - एक व्यापक अनुपालन कार्यक्रम बनाना आवश्यक है जो एनडीपीए और एनडीपीआर दोनों की चल रही आवश्यकताओं को पूरा करता हो।
ECOSIRE अफ्रीका में काम करने वाले व्यवसायों को नाइजीरिया की एनडीपीए अनुपालन आवश्यकताओं को पूरा करने, डिज़ाइन द्वारा डेटा सुरक्षा लागू करने और एनडीपीसी द्वारा आवश्यक शासन ढांचे को स्थापित करने में मदद करता है।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। नाइजीरिया का डेटा सुरक्षा ढांचा विकसित हो रहा है क्योंकि एनडीपीसी मार्गदर्शन और विनियमों को लागू कर रहा है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य नाइजीरियाई कानूनी परामर्शदाता से परामर्श लें।
लेखक
ECOSIRE Research and Development Team
ECOSIRE में एंटरप्राइज़-ग्रेड डिजिटल उत्पाद बना रहे हैं। Odoo एकीकरण, ई-कॉमर्स ऑटोमेशन, और AI-संचालित व्यावसायिक समाधानों पर अंतर्दृष्टि साझा कर रहे हैं।
संबंधित लेख
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation से और अधिक
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.