Soulad16. dubna 2026 | FlexyConsent

Průvodce souladu s POPIA v Jižní Africe pro soubory cookie v roce 2026

Pokud váš web shromažďuje osobní informace od návštěvníků v Jižní Africe, vztahuje se na vás zákon o ochraně osobních informací (POPIA) — bez ohledu na to, kde má vaše firma sídlo. POPIA je plně vymahatelná od července 2021 a Regulátor informací v posledních 18 měsících zaostřil svou pozornost na online sledování a souhlas se soubory cookie. Tato příručka vysvětluje, co POPIA vyžaduje pro soubory cookie a sledovací technologie v roce 2026, jak se liší od GDPR a jak nakonfigurovat váš banner souhlasu, abyste zůstali v souladu.

Co POPIA zahrnuje

POPIA je komplexní zákon o ochraně dat v Jižní Africe, částečně modelovaný podle GDPR, ale s důležitými místními úpravami. Upravuje, jak odpovědné strany (podobné správcům podle GDPR) zpracovávají osobní informace o subjektech údajů. Pro webové stránky to zahrnuje jakékoli soubory cookie, sledovací pixely, fingerprinty nebo identifikátory SDK, které lze přímo nebo nepřímo spojit s identifikovatelnou osobou.

Zákon je vymáhán Regulátorem informací Jižní Afriky, který zveřejnil konkrétní pokyny pro online sledování a přímý marketing. Nedodržení může mít za následek správní pokuty až 10 milionů ZAR nebo trestní sankce až 10 let odnětí svobody za závažná porušení.

Kdy POPIA vyžaduje souhlas

POPIA uznává osm zákonných důvodů pro zpracování, podobně jako GDPR. Pro soubory cookie jsou nejrelevantnější dva: souhlas a oprávněný zájem. Regulátor informací objasnil, že souhlas musí být získán pro:

Reklamní a marketingové soubory cookie — včetně remarketingu, programatického budování publika a sledování konverzí.
Analytiku třetích stran, která přenáší osobní informace mimo Jižní Afriku nebo obohacuje data z externích zdrojů.
Zásuvné moduly sociálních médií, které nastavují soubory cookie před interakcí uživatele.
Jakékoli sledování používané pro přímý marketing podle § 69 POPIA.

Soubory cookie nezbytně nutné (správa relací, zabezpečení, vyrovnávání zátěže, stav nákupního košíku) mohou obecně spoléhat na oprávněný zájem, ale stále musí být zveřejněny ve vaší zásadě ochrany osobních údajů.

Standard souhlasu

POPIA definuje souhlas jako jakýkoli dobrovolný, konkrétní a informovaný projev vůle. V praxi to znamená:

Předem zaškrtnutá políčka nejsou platná.
Sdružený souhlas (jeden opt-in pokrývající více nesouvisejících účelů) není platný.
Mlčení nebo pokračování v procházení neimplikuje souhlas.
Souhlas musí být stejně snadné odvolat, jako udělit.

POPIA vs GDPR: klíčové rozdíly

Zatímco POPIA a GDPR sdílejí společné principy, existují důležité rozdíly, které ovlivňují design banneru se soubory cookie a záznamy o souhlasu.

Data dětí

POPIA definuje dítě jako každého mladšího 18 let — vyšší než 16 let podle GDPR (nebo 13 v některých zemích EU). Zpracování osobních informací dětí vyžaduje souhlas kompetentní osoby (obvykle rodiče nebo opatrovníka), což z ověření věku dělá praktický požadavek pro jakýkoli web s jihoafrickými nezletilými v jeho publiku.

Přeshraniční přenosy

§ 72 POPIA omezuje přenos osobních informací mimo Jižní Afriku, pokud přijímající země neposkytuje srovnatelnou ochranu, subjekt údajů nesouhlasil nebo se nevztahují konkrétní výjimky. Pokud váš analytický nebo reklamně-technologický stack odesílá data do USA, EU nebo jiných jurisdikcí, potřebujete jasný základ přenosu zdokumentovaný ve vašem oznámení o ochraně osobních údajů.

Přímý marketing

§ 69 ukládá přísná pravidla opt-in pro elektronický přímý marketing. Nemůžete používat soubory cookie ke spouštění marketingových zpráv, pokud uživatel výslovně nesouhlasil pro tento účel — samostatný přepínač od analytiky nebo personalizace.

Kontrolní seznam implementace pro rok 2026

Použijte tento kontrolní seznam k sladění vašeho webu s aktuálními očekáváními Regulátora informací:

1. Prověřte každý soubor cookie a sledovač — zdokumentujte účel, dobu trvání, příjemce dat a přeshraniční cíl pro každý z nich.
2. Kategorizujte podle účelu — nezbytně nutné, funkční, analytické, reklamní, sociální média. Samostatné přepínače pro každou kategorii.
3. Zablokujte nepodstatné soubory cookie ve výchozím nastavení — nastavte všechny volitelné skripty tak, aby se načítaly pouze po výslovném souhlasu.
4. Poskytněte jasný banner — tlačítka Přijmout a Odmítnout se stejnou prominencí, vysvětlení v jednoduchém jazyce, žádné temné vzory.
5. Nabídněte snadné odvolání — trvalý odkaz „Spravovat předvolby" v zápatí nebo widgetu.
6. Udržujte záznamy o souhlasu — časové razítko, volby uživatele, verze banneru a region odvozený z IP po dobu alespoň tří let.
7. Zveřejněte oznámení o ochraně osobních údajů v souladu s POPIA — zahrňte kontaktní údaje odpovědné strany, Pověřence pro informace, zákonný základ pro každou zpracovatelskou činnost a zveřejnění přeshraničních přenosů.
8. Zaregistrujte svého Pověřence pro informace — povinné u Regulátora informací pro jakoukoli odpovědnou stranu zpracovávající osobní informace v Jižní Africe.

Běžné chyby

Na základě vymáhacích akcí Regulátora informací a veřejných pokynů jsou to nejčastější chyby souhlasu se soubory cookie podle POPIA, které v roce 2026 vidíme:

Zacházení s POPIA jako s odlehčenou GDPR — definice 18 let a pravidla přímého marketingu § 69 jsou přísnější než ekvivalenty GDPR.
Žádné přeshraniční zveřejnění — neuvedení, které země přijímají osobní informace, je časté zjištění auditu.
Geo-IP filtrování pouze návštěvníků z EU — mnoho webů stále zobrazuje bannery uživatelům z EU, ale ne jihoafrickým uživatelům. POPIA vyžaduje stejný standard pro návštěvníky z Jižní Afriky.
Analytika bez anonymizace — odesílání úplných IP adres do analytiky se sídlem v USA bez souhlasu nebo anonymizace je riziko přeshraničního přenosu.
Chybějící registrace Pověřence pro informace — procedurální selhání, které Regulátor kontroluje brzy při jakémkoli šetření.

Jak FlexyConsent pomáhá s POPIA

FlexyConsent podporuje soulad s POPIA hned po instalaci:

Geo-detekce automaticky zobrazuje banner v souladu s POPIA návštěvníkům z Jižní Afriky.
Samostatné přepínače pro analytiku, reklamu, sociální média a přímý marketing — žádný sdružený souhlas.
Zveřejnění přeshraničních přenosů zabudovaná do výchozí šablony oznámení o ochraně osobních údajů.
Záznamy o souhlasu uchovávané s časovým razítkem, volbami, verzí banneru a regionem pro audit.
Možnost věkové brány pro weby zaměřené na publikum, které mohou zahrnovat uživatele mladší 18 let.
Integrace Google Consent Mode V2 a IAB TCF 2.3 pro interoperabilitu reklamních technologií.

Vymáhání POPIA se stává sofistikovanějším. Pokud váš web oslovuje jihoafrické návštěvníky a za posledních 12 měsíců jste nekontrolovali konfiguraci banneru se soubory cookie, nyní je čas na audit. Zahajte svou bezplatnou zkušební verzi FlexyConsent a nakonfigurujte souhlas v souladu s POPIA během minut.