Pada 12 Juni 2023, Presiden Bora Ahmed Tinbu menandatangani Undan g-Undang Perlindungan Data Nigeria (2023). Ini telah menjadi daerah aliran sungai penting dalam langka h-langkah Nigeria untuk melindungi informasi pribadi oran g-orang alami yang tinggal di Nigeria atau beroperasi di Nigeria.
Sebelum berlakunya undan g-undang, Badan Pengembangan Teknologi Informasi Nasional (NITDA) telah menjadi undan g-undang pembantu seperti Peraturan Perlindungan Data Nigeria 2019, selanjutnya “Aturan Perlindungan Data”). Lembaga tersebut telah dicoba untuk mengamankan perlindungan informasi pribadi Nigeria. Aturan Perlindungan Data adalah sumber sekunder dari bobot hukum dan yudisial, sehingga Nigeria mungkin dapat mengisi kesenjangan untuk sementara waktu, tetapi lingkungan bisnis yang rentan dan pasar data. keamanan yang cukup.
Di dunia digital saat ini di mana sejumlah besar data dihasilkan, disimpan, dan diproses secara online, privasi dan perlindungan data adalah prioritas tertinggi bagi banyak negara, perusahaan dan individu. Karena kebutuhan untuk melindungi privasi dan data warga negara, Biro Perlindungan Data Nigeria dan Asosiasi Pembangunan Internasional (Asosiasi Pengembangan Internasional), Digital Pengembangan Nigeria ia bekerja bersama melalui proyek identifikasi (Nigeria Digital Idital Idital Idital Idital Idital Idital Pengembangan Idital Pengembangan Idital Idital Idital Idital Idital Idital Proyek, selanjutnya “NID4D”), dan akhirnya membuat undan g-undang perlindungan data.
Undan g-undang adalah kerangka kerja untuk pemrosesan data pribadi, ha k-hak data, keamanan data, relokasi di luar perbatasan data pribadi, persyaratan untuk administrator data penting dan pemroses data, kepatuhan, pelanggaran, hukuman, solusi konflik, data. Komite Perlindungan Data Nigeria (selanjutnya disebut sebagai Komite) Komisi Perlindungan Data Nigeria sebagai organisasi independen yang mengawasi dan mengatur masalah perlindungan dan memaksa mereka untuk mematuhi ketentuan hukum.
Artikel ini berfokus pada tujuan undan g-undang perlindungan data, dan menjelaskan garis besar klausa utama yang menarik untuk entitas data pribadi dan badan bisnis dan organisasi yang menangani data pribadi dalam bisnis.
Undan g-undang Perlindungan Data adalah untuk yang berikut:
Undan g-undang mendefinisikan “pemroses data” sebagai individu, organisasi swasta, lembaga publik, atau organisasi lain yang menggantikan data pribadi atas nama administrator data atau pemroses data lainnya. “Administrator Data” didefinisikan sebagai individu, organisasi swasta, organisasi publik, lembaga, dan organisasi lain yang menentukan pemrosesan dan pemrosesan data pribadi (atau bersama atau bekerja sama dengan orang lain).
Kisaran undan g-undang ini yang berlaku adalah untuk pemrosesan data otomatis dan pemrosesan data yang tidak be r-otomat, dan (a) administrator data atau pemroses data memiliki alamat atau tempat tinggal di Nigeria, atau operasi di Nigeria. dilakukan di Nigeria, atau (c) administrator data atau prosesor data tidak memiliki alamat atau keberadaan di Nigeria, atau tidak berfungsi di Nigeria.
Pada dasarnya, undan g-undang ini didirikan di bawah hukum Nigeria, dan tidak ditetapkan di Nigeria, dan penduduk Nigeria dan warga negara Nigeria, meskipun faktanya tidak ditetapkan berdasarkan hukum Nigeria. menyediakan bisnis yang banyak digunakan untuk pekerjaan sehar i-hari.
Perlu dicatat bahwa undan g-undang ini tidak berlaku untuk pemrosesan data pribadi yang dilakukan hanya untuk tujuan pribadi atau sederhana. Namun, pengecualian ini hanya berlaku jika pemrosesan tersebut tidak melanggar ha k-hak dasar terhadap privasi berbasis data.
Undan g-undang ini memberikan prioritas pada pemrosesan data pribadi berbasis data secara langsung atau tidak langsung dalam hukum atau metode berlakunya lain, dan ketentuan hukum ini adalah hukum lain atau metode berlakunya yang terkait dengan pemrosesan data pribadi. .
Data Pribadi dan Data Pribadi Subtletis
Undan g-undang melarang pemrosesan ilegal informasi pribadi dari data pribadi orang alami dan data pribadi kehalusan (sensitivasi).
Dalam hukum yang sama, “data pribadi” adalah unik untuk pengidentifikasi seperti nama, nomor identifikasi, informasi lokasi, pengidentifikasi online, atau fisik, fisiologis, genetik, psikologis, budaya, sosial, dan identitas ekonomi dengan merujuk pada satu atau ganda Elemen, itu berarti informasi apa pun yang ditentukan atau secara langsung terkait dengan individu yang ditentukan.
Undan g-undang ini juga mencerminkan informasi genetik dan informasi biologis untuk mengidentifikasi oran g-orang alami secara unik, (b) dari ras atau etnis, dan (c) hati nurani atau filsafat atau filsafat. (F) Opini Politik atau Afiliasi, (g) Badan ke Serikat, atau (h) Data Pribadi didefinisikan sebagai data pribadi yang terkait dengan informasi lain yang ditentukan oleh Komisi Eropa.
Prinsip Dasar
Undan g-undang menetapkan prinsip minimum pemrosesan data pribadi. Misalnya, administrator data atau pemroses data memerlukan perhatian pada pemrosesan data dan membutuhkan akuntabilitas tingkat tinggi. Oleh karena itu, administrator data atau pemroses data perlu menggunakan tindakan teknis dan organisasi yang tepat untuk memastikan kerahasiaan, kesempurnaan, dan ketersediaan data pribadi.
Selain persyaratan untuk memproses data pribadi dengan cara yang adil, sah, dan transparan, pengontrol data atau pemroses data harus mengumpulkan data pribadi hanya untuk tujuan yang teridentifikasi, dinyatakan, dan sah, juga diwajibkan untuk tidak terlibat dalam pemrosesan data lebih lanjut dikumpulkan dengan cara yang tidak sesuai dengan tujuan awal. Selain itu, data yang dikumpulkan harus akurat, lengkap, terkini, memadai, relevan, tidak menyesatkan, dan dibatasi pada jumlah minimum yang diperlukan untuk tujuan pengumpulan atau pemrosesan lebih lanjut.
Selain itu, data yang dikumpulkan tidak akan disimpan lebih lama dari yang diperlukan untuk mencapai dasar hukum pengumpulannya, dan tidak akan dilindungi dari pemrosesan yang tidak sah atau melanggar hukum, akses, kehilangan, kehancuran, kerusakan, atau segala bentuk data pribadi. diproses dengan cara yang menjamin keamanan data pribadi yang sesuai, termasuk perlindungan dari pelanggaran data.
Namun, pengontrol data atau pemroses data dikecualikan dari kewajiban berdasarkan hukum mengenai pemrosesan data pribadi jika dapat dibuktikan bahwa pemrosesan tersebut dilakukan oleh otoritas yang berwenang untuk tujuan berikut:
Selain itu, pengontrol data atau pengolah data tidak bertanggung jawab atas ketidakpatuhan terhadap ketentuan Undang-undang ini jika dapat membuktikan bahwa pemrosesan data pribadi:
Pengecualian yang disebutkan di atas hanya tersedia bagi pengontrol data atau pemroses data yang tunduk pada hak dan kebebasan yang dijamin berdasarkan Konstitusi dan batasannya, serta tunduk pada prinsip yang ditentukan dan dasar hukum untuk memproses data pribadi, tanpa Undang-Undang Petugas Perlindungan Data prasangka terhadap peran pemroses data dan pengontrol data jika terjadi pelanggaran data berdasarkan Undang-undang.
Persetujuan sebagai dasar hukum Selain persyaratan agar data pribadi diproses dengan cara yang adil, sah, dan transparan, pengontrol data atau pemroses data juga diwajibkan untuk mengumpulkan data pribadi hanya untuk tujuan mereka sendiri dan tidak terlibat dalam pemrosesan lebih lanjut. data yang dikumpulkan dengan cara yang tidak sesuai dengan tujuan awal. Selain itu, data yang dikumpulkan harus akurat, lengkap, terkini, memadai, relevan, tidak menyesatkan, dan dibatasi pada jumlah minimum yang diperlukan untuk tujuan pengumpulan atau pemrosesan lebih lanjut.
Selain itu, data yang dikumpulkan tidak akan disimpan lebih lama dari yang diperlukan untuk mencapai dasar hukum pengumpulannya, dan tidak akan dilindungi dari pemrosesan yang tidak sah atau melanggar hukum, akses, kehilangan, kehancuran, kerusakan, atau segala bentuk data pribadi. diproses dengan cara yang menjamin keamanan data pribadi yang sesuai, termasuk perlindungan dari pelanggaran data.
Pengecualian yang disebutkan di atas hanya tersedia bagi pengontrol data atau pemroses data yang tunduk pada hak dan kebebasan yang dijamin berdasarkan Konstitusi dan batasannya, serta tunduk pada prinsip yang ditentukan dan dasar hukum untuk memproses data pribadi, tanpa Undang-Undang Petugas Perlindungan Data prasangka terhadap peran pemroses data dan pengontrol data jika terjadi pelanggaran data berdasarkan Undang-undang.
Persetujuan sebagai dasar hukum Selain persyaratan agar data pribadi diproses dengan cara yang adil, sah, dan transparan, pengontrol data atau pemroses data juga diwajibkan untuk mengumpulkan data pribadi saja dan tidak terlibat dalam pemrosesan lebih lanjut atas data yang dikumpulkan. dengan cara yang tidak sesuai dengan tujuan awal. Selain itu, data yang dikumpulkan harus akurat, lengkap, terkini, relevan, relevan, tidak menyesatkan, dan dibatasi pada jumlah minimum yang diperlukan untuk tujuan pengumpulan atau pemrosesan lebih lanjut.
Selain itu, data yang dikumpulkan tidak akan disimpan lebih lama dari yang diperlukan untuk mencapai dasar hukum pengumpulannya, dan tidak akan dilindungi dari pemrosesan yang tidak sah atau melanggar hukum, akses, kehilangan, kehancuran, kerusakan, atau segala bentuk data pribadi. diproses dengan cara yang menjamin keamanan data pribadi yang sesuai, termasuk perlindungan dari pelanggaran data.
Namun, pengontrol data atau pemroses data dikecualikan dari kewajiban berdasarkan hukum mengenai pemrosesan data pribadi jika dapat dibuktikan bahwa pemrosesan tersebut dilakukan oleh otoritas yang berwenang untuk tujuan berikut:
Mencegah, menyelidiki, mendeteksi, mengadili, mengadili, atau menegakkan pidana sesuai dengan peraturan perundang-undangan yang berlaku;
Karena implementasi kontrak dengan entitas data atau permintaan dari entitas data sebelum kesimpulan kontrak (namun, jika ini diprioritaskan dengan ha k-hak dasar, kebebasan dan laba entitas data, atau legal lainnya kecuali itu kompatibel dengan dasar pemrosesan, atau ketika entitas data secara wajar diharapkan diproses dengan cara di mana data pribadi diasumsikan);
Untuk mematuhi kewajiban hukum yang harus dipatuhi oleh administrator data atau pemroses data;
Untuk melindungi entitas data atau orang lain jika data tidak disetujui secara fisik atau hukum;
Untuk melaksanakan pekerjaan yang harus dilakukan untuk kepentingan publik atau melaksanakan otoritas publik yang diberikan kepada administrator data atau pemroses data;
Untuk manfaat sah yang dikejar oleh administrator data atau pemroses data, atau pihak ketiga di tujuan pengungkapan data;
Namun, jika pemrosesan data diperlukan untuk melindungi kepentingan vital seorang anak atau seseorang yang tidak memiliki kapasitas hukum untuk memberikan persetujuan, atau jika pemrosesan data dilakukan untuk tujuan pendidikan, medis, atau perawatan sosial dan tunduk pada kewajiban kerahasiaan . Persetujuan orang tua atau wali yang sah tidak diperlukan jika pemrosesan dilakukan oleh atau di bawah tanggung jawab penyedia layanan profesional atau serupa, atau jika pemrosesan diperlukan untuk proses pengadilan terkait individu.
Subjek data berdasarkan undang-undang ini berhak memperoleh konfirmasi dari pengontrol data atau pengolah data mengenai apakah data yang sedang diproses disimpan atau merupakan data pribadi yang berkaitan dengan subjek data. Jika hal-hal di atas berlaku, subjek data berhak diberi tahu tanpa batasan atau penundaan yang tidak wajar bahwa:
Tujuan pemrosesan
penerima atau kategori penerima yang data pribadinya telah atau akan diungkapkan, khususnya penerima di negara ketiga atau organisasi internasional;
jangka waktu penyimpanan data pribadi atau kriteria yang digunakan untuk menentukan jangka waktu tersebut;
adanya hak untuk meminta perbaikan, penghapusan, atau pembatasan pemrosesan data pribadi mengenai subjek data, atau menolak pemrosesan tersebut;
Undang-undang perlindungan data memberlakukan kewajiban hukum pada pengontrol atau pemroses data untuk memastikan keamanan, integritas, dan kerahasiaan data pribadi yang mereka miliki atau kendalikan. Oleh karena itu, pengontrol data atau pemroses data harus memiliki kontrol teknis dan organisasi yang sesuai untuk memastikan hal ini, termasuk perlindungan data pribadi terhadap penghancuran, kehilangan, penyalahgunaan, perubahan, pengungkapan atau akses yang tidak disengaja atau melanggar hukum mengambil tindakan yang tepat.
Jumlah dan sensitivitas data pribadi
sifat, tingkat, dan kemungkinan kerugian yang mungkin dialami subjek data karena kehilangan, pengungkapan, atau penyalahgunaan data pribadi lainnya;
Lingkup pemrosesan
Relokasi melintasi perbatasan data pribadi
Undan g-undang hanya mengizinkan relokasi data pribadi ke negara lain ketika perlindungan yang cukup disediakan di negara ini, dan administrator data atau pemroses data memiliki dasar dan validitas relokasi. Undan g-undang tersebut memberi tahu Komisi Eropa kepada Manajer Data dan treater data dari langka h-langkah yang akan diimplementasikan untuk menjamin perlindungan data pribadi dalam transisi lintas batas. Selain itu, Komisi Eropa dapat membuat aturan untuk menentukan kategori data pribadi yang memberlakukan pembatasan tambahan saat pindah ke negara lain, berdasarkan sifat data pribadi dan risiko subjek data.
Tingkat perlindungan yang cukup berdasarkan hukum berarti kemampuan atau mekanisme perlindungan data yang cukup yang diterapkan di negara yang dipindahkan, yang didasarkan pada pedoman yang dikeluarkan oleh Komisi Eropa.
Ada atau tidak adanya ha k-hak berbasis data paksa, kemampuan untuk menggunakan hak untuk menggunakan hak melalui bantuan administratif atau yudisial;
Ada kesepakatan yang tepat antara undan g-undang perlindungan data Nigeria dan yurisdiksi penerima untuk menjamin perlindungan data yang sesuai;
Akses ke data pribadi oleh lembaga publik
Keberadaan undan g-undang perlindungan data yang efektif;
Perlindungan data independen atau otoritas pengawasan serupa dengan otoritas eksekusi yang tepat.
Validasi janji dan perjanjian internasional yang menahan negara, serta organisasi multilateral atau regional.
Undan g-undang menetapkan kondisi yang dapat memindahkan data pribadi di luar negeri ketika tidak ada perlindungan yang tepat. Dalam kondisi ini, jika persetujuan berbasis informasi disediakan setelah diberitahu tentang risiko relokasi tersebut, atau jika perlu pindah untuk alasan penting untuk kepentingan publik. .
Administrator Data Penting dan Persyaratan Pemroses Data < SPAN> Undan g-undang hanya izin untuk memindahkan data pribadi ke negara lain ketika perlindungan yang memadai disediakan di negara tersebut, dan administrator atau data data yang diminta untuk mencatat dasar relokasi dan validitas dari perlindungan. Undan g-undang tersebut memberi tahu Komisi Eropa kepada Manajer Data dan treater data dari langka h-langkah yang akan diimplementasikan untuk menjamin perlindungan data pribadi dalam transisi lintas batas. Selain itu, Komisi Eropa dapat membuat aturan untuk menentukan kategori data pribadi yang memberlakukan pembatasan tambahan saat pindah ke negara lain, berdasarkan sifat data pribadi dan risiko subjek data.
Tingkat perlindungan yang cukup berdasarkan hukum berarti kemampuan atau mekanisme perlindungan data yang cukup yang diterapkan di negara yang dipindahkan, yang didasarkan pada pedoman yang dikeluarkan oleh Komisi Eropa.
Ada atau tidak adanya ha k-hak berbasis data paksa, kemampuan untuk menggunakan hak untuk menggunakan hak melalui bantuan administratif atau yudisial;
Ada kesepakatan yang tepat antara undan g-undang perlindungan data Nigeria dan yurisdiksi penerima untuk menjamin perlindungan data yang sesuai;