Какво обхваща POPIA

POPIA е всеобхватният закон за защита на данните в Южна Африка, моделиран отчасти по GDPR, но с важни местни адаптации. Той регулира как отговорните страни (подобно на администраторите по GDPR) обработват лична информация за субектите на данни. За уебсайтове това включва всякакви бисквитки, пиксели за проследяване, пръстови отпечатъци или SDK идентификатори, които могат да бъдат свързани с идентифицируемо лице — пряко или непряко.

Законът се прилага от Регулатора на информацията на Южна Африка, който е публикувал специфични насоки за онлайн проследяване и директен маркетинг. Неспазването може да доведе до административни глоби до 10 милиона ZAR или наказателни санкции до 10 години затвор за сериозни нарушения.

Кога POPIA изисква съгласие

POPIA признава осем законни основания за обработка, подобно на GDPR. За бисквитките двете най-подходящи са съгласие и законен интерес. Регулаторът на информацията е уточнил, че съгласие трябва да бъде получено за:

• Рекламни и маркетингови бисквитки — включително ремаркетинг, програматично изграждане на аудитория и проследяване на реализации.
• Анализи от трети страни, които предават лична информация извън Южна Африка или обогатяват данни с външни източници.
• Плъгини за социални медии, които задават бисквитки преди взаимодействие с потребителя.
• Всяко проследяване, използвано за директен маркетинг съгласно Раздел 69 на POPIA.

Абсолютно необходимите бисквитки (управление на сесии, сигурност, балансиране на натоварването, статус на количката) обикновено могат да разчитат на законен интерес, но трябва да бъдат оповестени в политиката ви за бисквитки.

Стандарт за съгласие

POPIA определя съгласието като всеки доброволен, конкретен и информиран израз на воля. На практика това означава:

• Предварително отметнатите кутийки не са валидни.
• Обединеното съгласие (едно съгласие, обхващащо множество несвързани цели) не е валидно.
• Мълчанието или продължаването на сърфирането не означава съгласие.
• Оттеглянето на съгласието трябва да бъде толкова лесно, колкото даването му.

POPIA срещу GDPR: Ключови разлики

Докато POPIA и GDPR споделят общи принципи, има важни разлики, които засягат дизайна на банера за бисквитки и записите за съгласие.

Данни на деца

POPIA определя дете като всеки под 18 години — по-висок праг от 16 по GDPR (или 13 в някои страни от ЕС). Обработването на лична информация на деца изисква съгласие от компетентно лице (обикновено родител или настойник), което прави проверката на възрастта практическо изискване за всеки сайт с южноафрикански непълнолетни в аудиторията.

Трансгранично предаване

Раздел 72 на POPIA ограничава предаването на лична информация извън Южна Африка, освен ако приемащата страна не осигурява сравнима защита, субектът на данни е дал съгласие или се прилагат конкретни изключения. Ако вашата аналитична или рекламно-технологична система изпраща данни до САЩ, ЕС или други юрисдикции, имате нужда от ясно основание за предаване, документирано в уведомлението за поверителност.

Директен маркетинг

Раздел 69 налага строги правила за включване за електронен директен маркетинг. Не можете да използвате бисквитки за задействане на маркетингови съобщения, освен ако потребителят не е дал изрично съгласие за тази цел — отделен превключвател от анализи или персонализация.

Контролен списък за изпълнение за 2026

Използвайте този контролен списък, за да приведете сайта си в съответствие с текущите очаквания на Регулатора на информацията:

• 1. Одитирайте всяка бисквитка и тракер — документирайте целта, продължителността, получателя на данни и трансграничната дестинация за всяка.
• 2. Категоризирайте по цел — абсолютно необходими, функционални, аналитични, рекламни, социални медии. Отделни превключватели за всяка категория.
• 3. Блокирайте ненужните бисквитки по подразбиране — задайте всички незадължителни скриптове да се зареждат само след изрично съгласие.
• 4. Осигурете ясен банер — бутони Приемам и Отхвърлям с еднаква значимост, обяснение на ясен език, без тъмни модели.
• 5. Предложете лесно оттегляне — постоянна връзка „Управление на предпочитанията" в колонтитула или джаджата.
• 6. Поддържайте записи за съгласие — времево клеймо, избори на потребителя, версия на банера и регион, получен от IP за поне три години.
• 7. Публикувайте уведомление за поверителност, съответстващо на POPIA — включете данни за контакт с отговорната страна, Служител по информацията, законово основание за всяка дейност по обработка и оповестявания за трансгранично предаване.
• 8. Регистрирайте своя Служител по информацията — задължително при Регулатора на информацията за всяка отговорна страна, обработваща лична информация в Южна Африка.

Чести грешки

Въз основа на правоприлагащи действия на Регулатора на информацията и публични насоки, това са най-честите грешки при съгласие за бисквитки по POPIA, които виждаме през 2026 г.:

• Третиране на POPIA като облекчена GDPR — дефиницията за 18-годишна възраст и правилата за директен маркетинг по Раздел 69 са по-строги от техните еквиваленти по GDPR.
• Без трансгранично оповестяване — непосочването на кои страни получават лична информация е честа находка при одит.
• Geo-IP блокиране само на потребители от ЕС — много сайтове все още показват банери на потребители от ЕС, но не и на южноафрикански потребители. POPIA изисква същия стандарт за посетители от Южна Африка.
• Анализи без анонимизиране — изпращането на пълни IP адреси до базирана в САЩ аналитика без съгласие или анонимизиране е риск за трансгранично предаване.
• Липсваща регистрация на Служителя по информацията — процедурен пропуск, който Регулаторът проверява рано при всяко разследване.

Как FlexyConsent помага при POPIA

Прилагането на POPIA става все по-сложно. Ако вашият сайт достига до южноафрикански посетители и не сте прегледали конфигурацията на банера за бисквитки през последните 12 месеца, сега е моментът за одит. Започнете безплатния си пробен период на FlexyConsent и конфигурирайте съответстващо на POPIA съгласие за минути.