POPIA क्या कवर करता है

POPIA दक्षिण अफ्रीका का व्यापक डेटा सुरक्षा कानून है, जो आंशिक रूप से GDPR पर मॉडल किया गया है लेकिन महत्वपूर्ण स्थानीय अनुकूलन के साथ। यह नियंत्रित करता है कि जिम्मेदार पक्ष (GDPR नियंत्रकों के समान) डेटा विषयों के बारे में व्यक्तिगत जानकारी को कैसे प्रोसेस करते हैं। वेबसाइटों के लिए, इसमें कोई भी कुकी, ट्रैकिंग पिक्सेल, फिंगरप्रिंटिंग, या SDK पहचानकर्ता शामिल हैं जो किसी पहचान योग्य व्यक्ति से जोड़े जा सकते हैं — प्रत्यक्ष या अप्रत्यक्ष रूप से।

कानून दक्षिण अफ्रीका के सूचना नियामक द्वारा लागू किया जाता है, जिसने ऑनलाइन ट्रैकिंग और प्रत्यक्ष विपणन पर विशिष्ट मार्गदर्शन प्रकाशित किया है। गैर-अनुपालन के परिणामस्वरूप ZAR 10 मिलियन तक के प्रशासनिक जुर्माने या गंभीर उल्लंघनों के लिए 10 साल तक के कारावास की आपराधिक सजा हो सकती है।

POPIA को सहमति की कब आवश्यकता है

POPIA प्रोसेसिंग के लिए आठ कानूनी आधार को मान्यता देता है, GDPR के समान। कुकीज़ के लिए, दो सबसे प्रासंगिक सहमति और वैध हित हैं। सूचना नियामक ने स्पष्ट किया है कि निम्नलिखित के लिए सहमति प्राप्त की जानी चाहिए:

• विज्ञापन और मार्केटिंग कुकीज़ — जिसमें रीमार्केटिंग, प्रोग्रामेटिक ऑडियंस बिल्डिंग और रूपांतरण ट्रैकिंग शामिल है।
• तृतीय-पक्ष विश्लेषण जो दक्षिण अफ्रीका के बाहर व्यक्तिगत जानकारी संचारित करता है या बाहरी स्रोतों से डेटा को समृद्ध करता है।
• सोशल मीडिया प्लगइन जो उपयोगकर्ता इंटरैक्शन से पहले कुकीज़ सेट करते हैं।
• कोई भी ट्रैकिंग जो POPIA की धारा 69 के तहत प्रत्यक्ष विपणन के लिए उपयोग की जाती है।

कड़ाई से आवश्यक कुकीज़ (सत्र प्रबंधन, सुरक्षा, लोड बैलेंसिंग, शॉपिंग कार्ट स्थिति) आमतौर पर वैध हित पर भरोसा कर सकती हैं, लेकिन फिर भी आपकी कुकी नीति में प्रकट की जानी चाहिए।

सहमति मानक

POPIA सहमति को इच्छा की किसी भी स्वैच्छिक, विशिष्ट और सूचित अभिव्यक्ति के रूप में परिभाषित करता है। व्यवहार में, इसका मतलब है:

• पूर्व-टिक किए गए बॉक्स वैध नहीं हैं।
• बंडल सहमति (कई असंबंधित उद्देश्यों को कवर करने वाला एक ऑप्ट-इन) वैध नहीं है।
• चुप्पी या निरंतर ब्राउजिंग सहमति का संकेत नहीं है।
• सहमति वापस लेना उतना ही आसान होना चाहिए जितना देना।

POPIA बनाम GDPR: प्रमुख अंतर

जबकि POPIA और GDPR सामान्य सिद्धांत साझा करते हैं, महत्वपूर्ण अंतर हैं जो कुकी बैनर डिज़ाइन और सहमति रिकॉर्ड को प्रभावित करते हैं।

बच्चों का डेटा

POPIA एक बच्चे को 18 वर्ष से कम आयु के किसी भी व्यक्ति के रूप में परिभाषित करता है — GDPR के 16 (या कुछ EU देशों में 13) से अधिक। बच्चों की व्यक्तिगत जानकारी प्रोसेस करने के लिए एक सक्षम व्यक्ति (आमतौर पर माता-पिता या अभिभावक) की सहमति की आवश्यकता होती है, जिससे आयु सत्यापन किसी भी ऐसी साइट के लिए व्यावहारिक आवश्यकता बन जाता है जिसके दर्शकों में दक्षिण अफ्रीकी नाबालिग हैं।

क्रॉस-बॉर्डर ट्रांसफर

POPIA की धारा 72 दक्षिण अफ्रीका के बाहर व्यक्तिगत जानकारी स्थानांतरित करने को प्रतिबंधित करती है जब तक कि प्राप्तकर्ता देश में तुलनीय सुरक्षा न हो, डेटा विषय ने सहमति न दी हो, या विशिष्ट अपवाद लागू न हों। यदि आपका एनालिटिक्स या ad-tech स्टैक डेटा को US, EU, या अन्य क्षेत्राधिकारों को भेजता है, तो आपको अपने गोपनीयता नोटिस में प्रलेखित एक स्पष्ट ट्रांसफर आधार की आवश्यकता है।

प्रत्यक्ष विपणन

धारा 69 इलेक्ट्रॉनिक प्रत्यक्ष विपणन के लिए कड़े ऑप्ट-इन नियम लागू करती है। आप मार्केटिंग संदेशों को ट्रिगर करने के लिए कुकीज़ का उपयोग नहीं कर सकते जब तक कि उपयोगकर्ता ने विशेष रूप से उस उद्देश्य के लिए सहमति न दी हो — एनालिटिक्स या व्यक्तिगतकरण से अलग टॉगल।

2026 के लिए कार्यान्वयन चेकलिस्ट

अपनी साइट को सूचना नियामक की वर्तमान अपेक्षाओं के साथ संरेखित करने के लिए इस चेकलिस्ट का उपयोग करें:

• 1. प्रत्येक कुकी और ट्रैकर की ऑडिट करें — प्रत्येक के लिए उद्देश्य, अवधि, डेटा प्राप्तकर्ता और क्रॉस-बॉर्डर गंतव्य का दस्तावेज़ीकरण करें।
• 2. उद्देश्य के अनुसार वर्गीकरण करें — कड़ाई से आवश्यक, कार्यात्मक, एनालिटिक्स, विज्ञापन, सोशल मीडिया। प्रत्येक श्रेणी के लिए अलग टॉगल।
• 3. डिफ़ॉल्ट रूप से गैर-आवश्यक कुकीज़ ब्लॉक करें — सभी वैकल्पिक स्क्रिप्ट को केवल स्पष्ट सहमति के बाद लोड होने के लिए सेट करें।
• 4. एक स्पष्ट बैनर प्रदान करें — समान प्रमुखता के स्वीकार करें और अस्वीकार करें बटन, सादी भाषा में स्पष्टीकरण, कोई डार्क पैटर्न नहीं।
• 5. आसान वापसी प्रदान करें — फुटर या विजेट में एक स्थायी "प्राथमिकताएं प्रबंधित करें" लिंक।
• 6. सहमति रिकॉर्ड बनाए रखें — टाइमस्टैम्प, उपयोगकर्ता विकल्प, बैनर संस्करण, और कम से कम तीन वर्षों के लिए IP-व्युत्पन्न क्षेत्र।
• 7. POPIA-संरेखित गोपनीयता नोटिस प्रकाशित करें — जिम्मेदार पक्ष के संपर्क विवरण, सूचना अधिकारी, प्रत्येक प्रोसेसिंग गतिविधि के लिए कानूनी आधार, और क्रॉस-बॉर्डर ट्रांसफर प्रकटीकरण शामिल करें।
• 8. अपने सूचना अधिकारी को पंजीकृत करें — दक्षिण अफ्रीका में व्यक्तिगत जानकारी प्रोसेस करने वाले किसी भी जिम्मेदार पक्ष के लिए सूचना नियामक के साथ अनिवार्य।

सामान्य गलतियां

सूचना नियामक की प्रवर्तन कार्रवाइयों और सार्वजनिक मार्गदर्शन के आधार पर, ये 2026 में हम जो देखते हैं वह सबसे सामान्य POPIA कुकी सहमति गलतियां हैं:

• POPIA को GDPR के हल्के संस्करण के रूप में मानना — 18-वर्ष की परिभाषा और धारा 69 के प्रत्यक्ष विपणन नियम GDPR समकक्षों की तुलना में अधिक सख्त हैं।
• कोई क्रॉस-बॉर्डर प्रकटीकरण नहीं — यह सूचीबद्ध न करना कि कौन से देश व्यक्तिगत जानकारी प्राप्त करते हैं एक बारंबार ऑडिट खोज है।
• Geo-IP केवल EU आगंतुकों को फ़िल्टर करना — कई साइटें अभी भी EU उपयोगकर्ताओं को बैनर दिखाती हैं लेकिन दक्षिण अफ्रीकी उपयोगकर्ताओं को नहीं। POPIA SA आगंतुकों के लिए समान मानक की मांग करता है।
• अनामीकरण के बिना एनालिटिक्स — सहमति या अनामीकरण के बिना US-आधारित एनालिटिक्स को पूर्ण IP पते भेजना क्रॉस-बॉर्डर ट्रांसफर जोखिम है।
• सूचना अधिकारी पंजीकरण की कमी — एक प्रक्रियात्मक विफलता जिसे नियामक किसी भी जांच में शुरुआत में जांचता है।

FlexyConsent POPIA में कैसे मदद करता है

POPIA प्रवर्तन अधिक परिष्कृत होता जा रहा है। यदि आपकी साइट दक्षिण अफ्रीकी आगंतुकों तक पहुंचती है और आपने पिछले 12 महीनों में अपने कुकी बैनर कॉन्फ़िगरेशन की समीक्षा नहीं की है, तो अब ऑडिट करने का समय है। अपना निःशुल्क FlexyConsent ट्रायल शुरू करें और मिनटों में POPIA-अनुपालक सहमति कॉन्फ़िगर करें।