Nijerya NDPR: Veri Koruma Yönetmeliği Uyumluluğu

Nijerya, Afrika'nın en büyük ekonomisine ve en kalabalık ülkesine sahiptir ve bu da onu kıtadaki işletmeler için kritik bir pazar haline getirmektedir. Nijerya'nın veri koruma çerçevesi, Ocak 2019'da Ulusal Bilgi Teknolojisi Geliştirme Ajansı (NITDA) tarafından yayınlanan Nijerya Veri Koruma Yönetmeliği'nden (NDPR), 14 Haziran 2023'te yasalaşan ve Nijerya Veri Koruma Komisyonu'nu (NDPC) bağımsız bir veri koruma otoritesi olarak kuran ve veri korumasını yasal yasa düzeyine yükselten Nijerya Veri Koruma Yasası 2023'e (NDPA) kadar önemli bir gelişme gösterdi.

Hem NDPR'yi (geçiş uyumluluğu açısından geçerliliğini koruyan) hem de yeni NDPA 2023 çerçevesini anlamak, Nijerya'da operasyonları, çalışanları veya müşterileri olan tüm kuruluşlar için çok önemlidir.

Önemli Çıkarımlar

• Nijerya Veri Koruma Yasası 2023 (NDPA), NDPR'nin yerini alır ve NDPC'yi bağımsız denetim makamı olarak kurar
• NDPA, Nijerya'da ve Nijeryalılara mal/hizmetlerin sunulduğu veya Nijeryalı bireylerin davranışlarının izlendiği sınır ötesi bölgelerde kişisel verilerin işlenmesi için geçerlidir.
• Tüketici verilerinin birincil temeli rıza olmak üzere, işleme için altı yasal dayanak mevcuttur
• Hassas kişisel veriler (sağlık, biyometri, ırk, din, siyasi görüş, cinsel yönelim) sınırlı istisnalar dışında açık rıza gerektirir
• "Veri işleyicileri" ve "büyük öneme sahip veri denetleyicileri", denetim ve uyumluluk başvurusu gereklilikleri de dahil olmak üzere belirli ek yükümlülüklerle karşı karşıyadır
• Sınır ötesi aktarım kısıtlamaları yeterliliği, uygun önlemleri veya rızayı gerektirir
• NDPC, genel ihlaller için yıllık brüt gelirin %2'sine veya 10 milyon sterline (hangisi daha yüksekse) kadar para cezası uygulayabilir; Ciddi ihlaller için 50 milyon ₦'ye kadar
• Tüm veri kontrolörleri NITDA lisanslı denetçilerle yıllık veri koruma denetimleri yapmalıdır

---

Nijerya'nın Veri Koruma Çerçevesi

NDPR'den NDPA'ya

NDPR 2019 (Nijerya Veri Koruma Yönetmeliği): Resmi bir Parlamento Yasası değil, NITDA'nın yetkisi altında yayınlanmıştır. Nijerya'da ikamet edenlerin kişisel verilerini işleyen gerçek kişi ve kuruluşlara uygulanır. NITDA lisanslı denetçiler tarafından zorunlu yıllık denetimler de dahil olmak üzere temel veri koruma ilkeleri, bireysel haklar ve uyumluluk gereklilikleri oluşturuldu.

NDPA 2023 (Nijerya Veri Koruma Yasası): 14 Haziran 2023'te Ulusal Meclis tarafından kabul edilmiş ve Başkan tarafından imzalanmıştır. NDPC'yi bağımsız bir yasal organ olarak kurar; veri koruma yükümlülüklerini birincil mevzuata yükseltir; yeni haklar ve yükümlülükler getiriyor; GDPR'ye daha yakın uyum sağlar; NDPR'nin çelişen hükümlerinin yerine geçer.

Geçiş: NDPC, NDPR uyumluluk mekanizmalarının ve rehberliğinin geçiş dönemi boyunca geçerli olmaya devam ettiğini belirtmiştir. NDPR uyumlu kuruluşların ek yükümlülükler açısından NDPA'yı incelemesi gerekir.

NDPA Kapsamı

NDPA aşağıdakiler için geçerlidir:

1. Nijerya'da kişisel verilerin işlenmesi
2. İşlemenin nerede gerçekleştiğine bakılmaksızın kişisel verilerin Nijeryalı kuruluşlar tarafından işlenmesi
3. Nijerya'daki bireylere mal/hizmetlerin sunulduğu veya Nijerya'daki bireylerin davranışlarının izlendiği denizaşırı kuruluşlar tarafından yapılan işlemler

---

Temel Tanımlar ve Veri Kategorileri

Kişisel veriler: Kimliği belirlenebilir bir bireye ilişkin her türlü bilgi; ad, kimlik numarası, konum verileri veya fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğe özgü bir veya daha fazla faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen bilgiler.

Hassas kişisel veriler (NDPA Çizelge 1): Daha yüksek koruma ve açık rıza gerektirir. Kategoriler şunları içerir:

• Genetik veya biyometrik veriler
• Sağlık veya tıbbi kayıtlar
• Irk veya etnik köken
• Dini veya politik inançlar
• Sendika üyeliği
• Cinsel yönelim veya aktiviteler
• Çocuğa ilişkin veriler

Çocuk verileri: Çocukların (Nijerya yasalarına göre 18 yaşın altındaki kişiler olarak tanımlanır) verileri için özel korumalar geçerlidir. Çocukların kişisel verilerinin işlenmesi için ebeveyn veya veli onayı gereklidir. Çocuklara yönelik çevrimiçi hizmetler için doğrulanmış ebeveyn izni mekanizmaları uygulanmalıdır.

---

İşlemenin Yasal Dayanağı

NDPA'nın 25. Bölümü altı yasal temel oluşturmaktadır:

1. Rıza: Özgürce verilmiş, spesifik, bilgilendirilmiş ve net bir anlaşma göstergesi. Herhangi bir zamanda zarara uğramadan çekilebilir olmalıdır.

2. Sözleşme: Veri sahibiyle yapılan bir sözleşmenin ifası için gerekli olan işleme veya bir sözleşme yapılmadan önce veri sahibinin talebi üzerine adımların atılması.

3. Yasal yükümlülük: Kontrolörün yasal yükümlülüğüne uymak için gerekli olan işleme.

4. Hayati menfaatler: Veri sahibinin veya başka bir kişinin hayati menfaatlerini korumak için gerekli olan işleme.

5. Kamu yararı: Kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya veri sorumlusuna verilen resmi kamu yetkisinin yerine getirilmesi için gerekli olan işleme.

6. Meşru menfaatler: Veri sahibinin temel hak ve özgürlüklerinin geçersiz kılındığı durumlar hariç, kontrolör veya üçüncü bir tarafın takip ettiği meşru menfaatler doğrultusunda gerekli işleme. (Not: Bir kamu yetkilisi, görevlerini yerine getirirken bu esasa güvenemez.)

Onay gereklilikleri: Her işleme amacına özel olmalıdır; serbestçe verilmiştir (zorunlu olmayan işlemeye izin verilmesine ilişkin bir sözleşme şartı yoktur); Kaydedilmiş ve kanıtlanabilir; vermek kadar geri almak da kolaydır. Önceden işaretlenmiş kutular, sessizlik veya hareketsizlik geçerli bir onay teşkil etmez.

---

Veri Sahibi Hakları

NDPA, bireylere, denetleyiciden herhangi bir gecikme olmaksızın kullanılabilecek aşağıdaki hakları verir:

Yanıt zaman çizelgeleri: NDPA, "gereksiz gecikme olmadan" yanıt verilmesini gerektirir — NDPC rehberinde makul bir standart olarak 30 gün belirtilir; veri sahibine ilk 30 gün içinde bildirimde bulunulması durumunda karmaşık talepler için bu sürenin 60 güne uzatılması gerekir.

---

Denetleyici Yükümlülükleri

Gizlilik Bildirimi

Kontrolörler gizlilik bilgilerini toplama sırasında veya öncesinde sağlamalıdır:

• Kontrolörün kimlik ve iletişim bilgileri
• Veri Koruma Görevlisinin iletişim bilgileri (varsa)
• İşlemenin amaçları ve yasal dayanakları
• Kişisel verilerin alıcıları veya alıcı kategorileri
• Üçüncü ülkelere transferler ve korumalar
• Saklama süreleri veya bunların belirlenmesine ilişkin kriterler
• Veri sahibi hakları ve bunların nasıl kullanılacağı
• Rızayı geri çekme hakkı (rızanın esas olduğu hallerde)
• NDPC'ye şikayette bulunma hakkı

Dil: Nijerya'daki operasyonlara ilişkin gizlilik bildirimleri İngilizce (Nijerya'nın resmi dili) olmalıdır ve İngilizce konuşmayan nüfusun yoğun olduğu bölgelerde tüketicilere yönelik ürünler için yerel çevirileri içermesi gerekebilir.

Veri Koruma Görevlisi (DPO)

NDPA aşağıdakiler için bir DPO atanmasını gerektirir:

• Büyük önem taşıyan veri denetleyicileri veya işleyicileri (ayda 10.000'den fazla veri sahibinin verilerini işleyen veya temel faaliyet olarak hassas verileri işleyenler olarak tanımlanır)
• Kamu yetkilileri

DPO'nun sorumlulukları:

• Veri koruma yükümlülükleri konusunda bilgilendirme ve tavsiyede bulunma
• NDPA ve iç politikalara uygunluğu izleyin
• Veri sahipleri ve NDPC için iletişim noktası olarak hareket etmek
• NDPC soruşturmalarıyla işbirliği yapın

Yıllık Veri Koruma Denetimi

Nijerya'nın en belirgin uyumluluk gerekliliklerinden biri: tüm veri denetleyicileri NDPC'ye (NDPR kapsamında eski adıyla NITDA) yıllık bir veri koruma denetimi yürütmeli ve dosyalamalıdır. Denetim, NITDA lisanslı bir Veri Koruma Uyumluluk Kuruluşu (DPCO) tarafından gerçekleştirilmelidir. DPCO, kontrolörün veri koruma uygulamalarını, uyumluluk boşluklarını ve iyileştirme önerilerini kapsayan bir denetim raporu yayınlar. Bu her yıl NDPC'ye sunulmalıdır.

Denetim kapsamı şunları kapsar:

• Veri envanteri ve akış haritalaması
• Yasal dayanak belgeleri
• Gizlilik bildiriminin yeterliliği
• Güvenlik önlemleri
• Veri sahibi hakları prosedürleri
• Sınır ötesi transfer uyumluluğu
• İhlal bildirim prosedürleri
• Personel eğitimi

Maliyet: Denetim ücretleri DPCO'ya göre değişir; kuruluşun büyüklüğüne ve karmaşıklığına bağlı olarak ₦500.000–₦5.000.000+ bekliyoruz.

Veri Koruma Etki Değerlendirmeleri (DPIA'lar)

Bölüm 30, aşağıdakiler de dahil olmak üzere yüksek riskli işleme faaliyetleri için DPIA'ları gerektirir:

• Otomatik işleme, profil oluşturma veya tahminler kullanılarak kişisel yönlerin sistematik değerlendirilmesi
• Hassas kişisel verilerin büyük ölçekli işlenmesi
• Kamuya açık alanların geniş ölçekte sistematik olarak izlenmesi

---

Güvenlik Gereksinimleri

NDPA'nın 38. Bölümü, riske uygun teknik ve organizasyonel güvenlik önlemlerini gerektirir. NDPC ve NITDA aşağıdakileri belirten teknik kılavuz yayınlamıştır:

Asgari teknik önlemler:

• Kişisel verilerin saklanması ve iletilmesi sırasında şifrelenmesi (İletim için TLS, hassas veriler için AES-256)
• Kimlik doğrulama ve en az ayrıcalıkla erişim kontrolü
• Mümkün olduğunda takma ad kullanma
• Sistem denetim izleri ve erişim kayıtları
• Düzenli güvenlik testleri (en az yılda bir kez)
• Olay tespit ve müdahale yetenekleri
• Güvenli yedekleme ve kurtarma

Asgari organizasyonel önlemler:

• Belgelenmiş gizlilik ve güvenlik politikaları
• Veri koruma yükümlülükleri konusunda personel eğitimi
• Veri sınıflandırma çerçevesi
• Satıcı/işlemci güvenlik değerlendirmeleri
• Bilgi işlem tesislerinin fiziki güvenlik kontrolleri

---

Sınır Ötesi Veri Aktarımı

NDPA'nın 43. Maddesi, kişisel verilerin Nijerya dışına aktarılmasını kısıtlamaktadır. İzin verilen mekanizmalar:

1. NDPC yeterlilik kararı: NDPC tarafından yeterli veri korumasına sahip olduğu belirlenen bir ülkeye aktarım
2. Uygun önlemler: Aşağıdakiler de dahil olmak üzere, veri sahiplerine uygulanabilir haklar sağlayan önlemler kapsamında aktarım:

• Kamu otoriteleri arasında yasal olarak bağlayıcı bir belge
• Bağlayıcı kurumsal kurallar
• NDPC tarafından onaylanan standart sözleşme maddeleri
• Bağlayıcı taahhütlere sahip sertifikasyon mekanizması

3. Açık rıza: Veri sahibinin önerilen aktarım, riskler ve yeterli karar veya önlemlerin bulunmaması hakkında bilgilendirilmiş rızası
4. Sözleşme gerekliliği: Veri sahibi ile denetleyici arasındaki sözleşme için gerekli aktarım
5. Hayati menfaatler: Rızanın alınamadığı durumlarda hayati menfaatlerin korunması
6. Kamu yararı: Önemli kamu yararı için gereken transfer

NDPC yeterlilik tespitleri: Komisyon, yeterlilik çerçevesini geliştiriyor. 2026 yılı başı itibarıyla herhangi bir resmi yeterlilik kararı yayınlanmamıştır. Standart sözleşme maddeleri, yeterlilik çerçevesi olgunlaşırken rutin sınır ötesi transferler için önerilen mekanizmadır.

---

İhlal Bildirimi

NDPA'nın 40. Bölümü, kişisel veri ihlallerinin bildirilmesini gerektirir:

NDPC'ye bildirim: Bireylerin hak ve özgürlüklerine yönelik risk oluşturması muhtemel bir ihlalin farkına varılmasından itibaren 72 saat içinde.

Etkilenen bireylere bildirim: İhlalin hak ve özgürlüklerine yönelik yüksek risk oluşturma ihtimalinin olduğu durumlarda, aşırı gecikme olmaksızın.

NDPC'ye bildirim içeriği:

• İhlalin niteliği ve kategorileri/etkilenen veri sahiplerinin yaklaşık sayısı
• Etkilenen kişisel veri kayıtlarının kategorileri ve yaklaşık sayısı
• DPO'nun iletişim bilgileri
• İhlalin olası sonuçları
• Olumsuz etkileri hafifletmeye yönelik tedbirler de dahil olmak üzere ihlali gidermek için alınan veya önerilen önlemler

Belgeleme: Tüm ihlaller (bildirim gerektirmeyenler bile) gerçekler, etkiler ve düzeltme eylemleriyle birlikte dahili olarak belgelenmelidir.

---

NDPC Yaptırımları ve Cezaları

Nijerya Veri Koruma Komisyonu (NDPC), NDPA 2023 kapsamında kurulmuş bağımsız bir devlet kurumudur. Yetkiler şunları içerir:

• Şikayetlerin alınması ve araştırılması
• Denetimlerin yapılması (planlı ve habersiz)
• Uygunluk bildirimlerinin yayınlanması
• İdari yaptırımların uygulanması
• Cezai ihlallerin Başsavcılığa bildirilmesi

İdari cezalar:

Cezai cezalar: NDPA, kişisel verilerin yasa dışı ticareti de dahil olmak üzere belirli ihlaller için cezai sorumluluk sağlar. NDPA Bölüm 48, hapis cezası da dahil olmak üzere cezai yaptırımlar öngörmektedir.

NITDA uygulama geçmişi: NDPR kapsamında NITDA, aşağıdakileri içeren para cezaları uyguladı: Spenmo Technologies (₦10 milyon), Julius Berger Nijerya (₦10 milyon), Integrated Corporate Services Limited (₦4 milyon). Bunlar, Nijerya'da faaliyet gösteren hem yerli hem de uluslararası şirketleri kapsayan aktif yaptırımları göstermektedir.

---

NDPA Uyumluluk Kontrol Listesi

• NDPA'nın uygulanabilirliği onaylandı (Nijerya operasyonları, Nijeryalı müşteriler/çalışanlar)
• Kişisel veri envanteri tamamlandı
• Hassas kişisel veriler belirlendi — açık rıza alındı
• Çocuklara ait veriler belirlendi — ebeveyn izni mekanizmaları uygulandı
• Her işleme faaliyeti için belgelenen yasal dayanak
• Gerekli tüm açıklamalarla birlikte İngilizce olarak hazırlanmış gizlilik bildirimi
• Gerektiğinde DPO atanır (10.000'den fazla veri sahibi/ay veya hassas veri çekirdeği etkinliği)
• NITDA lisanslı bir DPCO ile planlanan yıllık veri koruma denetimi
• Veri sahibi hakları prosedürleri belgelendi
• Sınır ötesi transfer değerlendirmesi tamamlandı — SCC'ler veya başka mekanizmalar mevcut
• Uygulanan güvenlik önlemleri (şifreleme, erişim kontrolü, denetim günlüğü)
• Yüksek riskli işleme faaliyetleri için yürütülen DPIA
• İhlal bildirim prosedürü belgelendi (72 saatlik NDPC bildirimi)
• NDPA yükümlülüklerine ilişkin çalışan eğitimi tamamlandı
• İşleyici sözleşmeleri (Veri İşleme Sözleşmeleri) gözden geçirildi ve güncellendi

---

Sıkça Sorulan Sorular

NDPA 2023 yasalaştığına göre NDPR hala geçerli mi?

NDPA 2023, NDPR'nin çelişen hükümlerinin yerine geçer. Ancak NDPC, geçiş dönemi boyunca NDPR kılavuzunun ve uyumluluk mekanizmalarının geçerli olmaya devam ettiğini belirtti. Daha da önemlisi, NDPR'nin en ayırt edici özelliklerinden biri olan yıllık denetim gerekliliği NDPA kapsamında da devam ediyor. Uyumluluk programlarını NDPR etrafında inşa eden kuruluşlar, özellikle veri sahibi hakları, hassas veriler, sınır ötesi aktarımlar ve DPO gereklilikleri başta olmak üzere yeni veya geliştirilmiş yükümlülükler açısından NDPA'yı incelemelidir.

Veri Koruma Uyumluluk Kuruluşu (DPCO) nedir ve neden bir kuruluşa ihtiyacım var?

DPCO, veri koruma denetimi ve uyumluluk hizmetleri sağlamak üzere NITDA/NDPC tarafından lisanslanan bir kuruluştur. Nijerya yasalarına göre gerekli olan yıllık veri koruma denetimi, lisanslı bir DPCO tarafından gerçekleştirilmelidir; öz değerlendirme tek başına bu gereksinimi karşılamaz. DPCO'lar veri koruma uygulamalarınızı inceler, bir uyumluluk raporu yayınlar ve denetimi sizin adınıza NDPC'ye sunar. Lisanslı DPCO'ların bir listesi NITDA ve NDPC web sitelerinde mevcuttur. Nijerya'da faaliyet gösteren denizaşırı şirketler için, yıllık denetim yükümlülüğünün yerine getirilmesi açısından bir DPCO'nun görevlendirilmesi şarttır.

"Büyük öneme sahip veri denetleyicisi" ne anlama geliyor ve ek yükümlülükler nelerdir?

Büyük öneme sahip veri kontrolörleri, ayda 10.000'den fazla veri sahibinin kişisel verilerini işleyen veya temel faaliyet olarak hassas kişisel verileri işleyen kişiler olarak tanımlanmaktadır. Bu kuruluşlar için ek yükümlülükler arasında şunlar yer almaktadır: zorunlu DPO ataması, NDPC'ye kayıt (VERBİS tipi kayıttan ayrı olarak), geliştirilmiş yıllık denetim gereklilikleri ve olası ek uyumluluk başvuruları. Orta ve büyük e-ticaret işletmeleri, finansal hizmet şirketleri, sağlık platformları ve telekomünikasyon operatörleri büyük olasılıkla büyük önem taşıyan veri denetleyicileri olarak nitelendirilecektir.

Nijerya'nın NDPA'sı GDPR ile karşılaştırıldığında nasıldır?

NDPA, yapı ve içerik bakımından büyük ölçüde GDPR'den yararlanmaktadır - altı yasal dayanak, aynı hassas veri kategorileri (artı biyometri ve genetik veriler), benzer veri sahibi hakları, DPO gereklilikleri, DPIA yükümlülükleri ve ihlal bildirimi. Temel farklar: (1) Nijerya'nın zorunlu yıllık dış denetiminin GDPR eşdeğeri yoktur; (2) NDPC yeterlilik belirlemeleri AB Komisyonunun yeterlilik çerçevesine göre daha az gelişmiştir; (3) Nijerya'nın uygulama altyapısı daha yenidir ve halen gelişmektedir; (4) NDPA'nın cezaları genel olarak mutlak anlamda büyük şirketlere yönelik GDPR maksimumlarından daha düşüktür; (5) Nijerya'nın sınır ötesi transfer kuralları GDPR'ye benzer şekilde yapılandırılmıştır ancak spesifik mekanizmalar uygulamada farklılık göstermektedir.

NDPA yurt dışında faaliyet gösteren Nijeryalı şirketler için geçerli mi?

Evet. NDPA, işlemenin nerede gerçekleştiğine bakılmaksızın Nijeryalı kuruluşlar için geçerlidir. Açık deniz bulut altyapısına, yurt dışı yan kuruluşlarına veya uluslararası operasyonlara sahip Nijeryalı bir şirket, Nijeryalı bireylerin verilerini işleme konusunda NDPA'ya tabi olmaya devam edecektir. Bunun tersine, Nijerya'da Nijeryalıların verilerini işleyen veya Nijeryalılara mal/hizmet sunan denizaşırı kuruluşlar da NDPA'nın bölge dışı hükümlerine tabidir. Bu, Nijeryalı çokuluslu şirketler için ikili bir yükümlülük yaratıyor: Nijerya verileri için NDPA uyumluluğu ve faaliyet gösterdikleri her ülkedeki yasalara uyum.

---

Sonraki Adımlar

Nijerya'nın veri koruma ortamı, NDPA 2023'ün daha güçlü bir yasal çerçeve oluşturması ve NDPC'nin uygulama kapasitesi oluşturmasıyla hızla olgunlaşıyor. Nijerya'da faaliyet gösteren işletmeler için (ister yerel şirketler, ister Nijerya pazarına hizmet veren uluslararası firmalar olsun), hem NDPA'yı hem de NDPR'nin devam eden gerekliliklerini karşılayan kapsamlı bir uyumluluk programı oluşturmak çok önemlidir.

ECOSIRE, Afrika'da faaliyet gösteren işletmelerin Nijerya'nın NDPA uyumluluk gerekliliklerini yönlendirmesine, tasarım yoluyla veri korumayı uygulamasına ve NDPC'nin gerektirdiği yönetişim çerçevelerini oluşturmasına yardımcı olur.

Daha fazla bilgi edinin: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. Nijerya'nın veri koruma çerçevesi, NDPC'nin uygulama kılavuzları ve düzenlemeleri yayınlamasıyla birlikte gelişiyor. Kuruluşunuza özel tavsiyeler için nitelikli Nijeryalı hukuk danışmanına danışın.