Што ахоплівае POPIA

POPIA — гэта комплексны закон Паўднёвай Афрыкі аб абароне даных, часткова змадэляваны па ўзоры GDPR, але з важнымі мясцовымі адаптацыямі. Ён рэгулюе, як адказныя бакі (аналаг кантралёраў GDPR) апрацоўваюць персанальную інфармацыю пра суб'ектаў даных. Для вэб-сайтаў гэта ўключае любыя cookie, пікселі адсочвання, зняцце адбіткаў ці ідэнтыфікатары SDK, якія могуць быць звязаны з ідэнтыфікавальнай асобай — прама ці ўскосна.

Закон забяспечваецца Інфармацыйным рэгулятарам Паўднёвай Афрыкі, які апублікаваў канкрэтныя рэкамендацыі па анлайн-адсочванні і прамым маркетынгу. Неадпаведнасць можа прывесці да адміністрацыйных штрафаў да 10 мільёнаў рандаў ці крымінальных пакаранняў да 10 гадоў пазбаўлення волі за сур'ёзныя парушэнні.

Калі POPIA патрабуе згоды

POPIA прызнае восем законных падстаў для апрацоўкі, аналагічна GDPR. Для cookie дзве найбольш рэлевантныя — гэта згода і законны інтарэс. Інфармацыйны рэгулятар растлумачыў, што згода павінна быць атрымана для:

• Рэкламных і маркетынгавых cookie — уключаючы рэмаркетынг, праграматык-пабудову аўдыторыі і адсочванне канверсій.
• Староннняй аналітыкі, якая перадае персанальную інфармацыю за межы Паўднёвай Афрыкі ці ўзбагачае даныя знешнімі крыніцамі.
• Плагінаў сацыяльных сетак, якія ўсталёўваюць cookie да ўзаемадзеяння з карыстальнікам.
• Любога адсочвання, якое выкарыстоўваецца для прамога маркетынгу згодна з раздзелам 69 POPIA.

Строга неабходныя cookie (кіраванне сесіямі, бяспека, балансіроўка нагрузкі, стан кошыка) звычайна могуць абапірацца на законны інтарэс, але ўсё роўна павінны быць раскрыты ў вашай палітыцы cookie.

Стандарт згоды

POPIA вызначае згоду як любое добраахвотнае, канкрэтнае і інфармаванае волевыяўленне. На практыцы гэта азначае:

• Папярэдне адзначаныя сцяжкі несапраўдныя.
• Звязаная згода (адзін opt-in, які ахоплівае некалькі незвязаных мэт) несапраўдная.
• Маўчанне ці працяг прагляду не мае на ўвазе згоды.
• Згоду павінна быць так жа лёгка адклікаць, як і даць.

POPIA супраць GDPR: ключавыя адрозненні

Хоць POPIA і GDPR падзяляюць агульныя прынцыпы, ёсць важныя адрозненні, якія ўплываюць на дызайн банера cookie і запісы згоды.

Даныя дзяцей

POPIA вызначае дзіця як любога маладзейшага за 18 гадоў — вышэй, чым 16 у GDPR (ці 13 у некаторых краінах ЕС). Апрацоўка персанальнай інфармацыі дзяцей патрабуе згоды кампетэнтнай асобы (звычайна бацькі ці апекуна), што робіць праверку ўзросту практычным патрабаваннем для любога сайта з паўднёваафрыканскімі непаўналетнімі ў яго аўдыторыі.

Трансгранічныя перадачы

Раздзел 72 POPIA абмяжоўвае перадачу персанальнай інфармацыі за межы Паўднёвай Афрыкі, калі толькі краіна-атрымальнік не мае супастаўнай абароны, суб'ект даных не даў згоды ці не прымяняюцца канкрэтныя выключэнні. Калі ваш стэк аналітыкі ці ad-tech адпраўляе даныя ў ЗША, ЕС ці іншыя юрысдыкцыі, вам патрэбна выразная падстава для перадачы, задакументаваная ў вашым паведамленні аб канфідэнцыяльнасці.

Прамы маркетынг

Раздзел 69 усталёўвае строгія правілы opt-in для электроннага прамога маркетынгу. Вы не можаце выкарыстоўваць cookie для запуску маркетынгавых паведамленняў, калі толькі карыстальнік спецыяльна не даў згоды на гэту мэту — асобны пераключальнік ад аналітыкі ці персаналізацыі.

Чэк-ліст укаранення на 2026 год

Выкарыстоўвайце гэты чэк-ліст, каб прывесці ваш сайт у адпаведнасць з бягучымі чаканнямі Інфармацыйнага рэгулятара:

• 1. Правядзіце аўдыт кожнага cookie і трэкера — задакументуйце мэту, працягласць, атрымальніка даных і трансгранічнае прызначэнне для кожнага.
• 2. Катэгарызуйце па мэце — строга неабходныя, функцыянальныя, аналітыка, рэклама, сацыяльныя сеткі. Асобныя пераключальнікі для кожнай катэгорыі.
• 3. Блакіруйце неістотныя cookie па змаўчанні — наладзьце ўсе неабавязковыя скрыпты на загрузку толькі пасля яўнай згоды.
• 4. Прадастаўце зразумелы банер — раўнацэнныя кнопкі «Прыняць» і «Адхіліць», тлумачэнне простай мовай, без цёмных патэрнаў.
• 5. Прапануйце лёгкі адклік — пастаянная спасылка «Кіраванне наладамі» ў падвале ці віджэце.
• 6. Вядзіце запісы згоды — метка часу, выбар карыстальніка, версія банера і рэгіён, атрыманы з IP, мінімум тры гады.
• 7. Апублікуйце паведамленне аб канфідэнцыяльнасці, якое адпавядае POPIA — уключыце кантактныя даныя адказнага боку, Інфармацыйнага афіцэра, законную падставу для кожнай аперацыі апрацоўкі і раскрыццё трансгранічных перадач.
• 8. Зарэгіструйце вашага Інфармацыйнага афіцэра — абавязкова ў Інфармацыйным рэгулятары для любога адказнага боку, які апрацоўвае персанальную інфармацыю ў Паўднёвай Афрыцы.

Распаўсюджаныя памылкі

На аснове дзеянняў Інфармацыйнага рэгулятара па забеспячэнні выканання і публічных рэкамендацый, вось найбольш распаўсюджаныя памылкі згоды на cookie па POPIA, якія мы бачым у 2026 годзе:

• Стаўленне да POPIA як да аблегчанай версіі GDPR — вызначэнне 18 гадоў і правілы прамога маркетынгу раздзела 69 строжэйшыя, чым эквіваленты GDPR.
• Адсутнасць раскрыцця трансгранічных перадач — непрадастаўленне спіса краін, якія атрымліваюць персанальную інфармацыю, з'яўляецца частым вынікам аўдыту.
• Geo-IP-фільтрацыя толькі наведвальнікаў з ЕС — многія сайты дагэтуль паказваюць банеры карыстальнікам з ЕС, але не паўднёваафрыканскім карыстальнікам. POPIA патрабуе таго ж стандарту для наведвальнікаў з ПАР.
• Аналітыка без ананімізацыі — адпраўка поўных IP-адрасоў у амерыканскую аналітыку без згоды ці ананімізацыі з'яўляецца рызыкай трансгранічнай перадачы.
• Адсутнасць рэгістрацыі Інфармацыйнага афіцэра — працэдурная няўдача, якую Рэгулятар правярае на ранняй стадыі любога расследавання.

Як FlexyConsent дапамагае з POPIA