Что охватывает POPIA

POPIA — это комплексный закон Южной Африки о защите данных, частично смоделированный по образцу GDPR, но с важными местными адаптациями. Он регулирует, как ответственные стороны (аналог контролёров GDPR) обрабатывают персональную информацию о субъектах данных. Для веб-сайтов это включает любые cookie, пиксели отслеживания, снятие отпечатков или идентификаторы SDK, которые могут быть связаны с идентифицируемым лицом — прямо или косвенно.

Закон обеспечивается Информационным регулятором Южной Африки, который опубликовал конкретные рекомендации по онлайн-отслеживанию и прямому маркетингу. Несоответствие может привести к административным штрафам до 10 миллионов рандов или уголовным наказаниям до 10 лет лишения свободы за серьёзные нарушения.

Когда POPIA требует согласия

POPIA признаёт восемь законных оснований для обработки, аналогично GDPR. Для cookie два наиболее релевантных — это согласие и законный интерес. Информационный регулятор разъяснил, что согласие должно быть получено для:

• Рекламных и маркетинговых cookie — включая ремаркетинг, программатик-построение аудитории и отслеживание конверсий.
• Сторонней аналитики, которая передаёт персональную информацию за пределы Южной Африки или обогащает данные внешними источниками.
• Плагинов социальных сетей, которые устанавливают cookie до взаимодействия с пользователем.
• Любого отслеживания, используемого для прямого маркетинга согласно разделу 69 POPIA.

Строго необходимые cookie (управление сессиями, безопасность, балансировка нагрузки, состояние корзины) обычно могут опираться на законный интерес, но всё равно должны быть раскрыты в вашей политике cookie.

Стандарт согласия

POPIA определяет согласие как любое добровольное, конкретное и информированное волеизъявление. На практике это означает:

• Предварительно отмеченные флажки недействительны.
• Связанное согласие (один opt-in, охватывающий несколько несвязанных целей) недействительно.
• Молчание или продолжение просмотра не подразумевает согласия.
• Согласие должно быть так же легко отозвать, как и дать.

POPIA против GDPR: ключевые различия

Хотя POPIA и GDPR разделяют общие принципы, есть важные различия, которые влияют на дизайн баннера cookie и записи согласия.

Данные детей

POPIA определяет ребёнка как любого моложе 18 лет — выше, чем 16 у GDPR (или 13 в некоторых странах ЕС). Обработка персональной информации детей требует согласия компетентного лица (обычно родителя или опекуна), что делает проверку возраста практическим требованием для любого сайта с южноафриканскими несовершеннолетними в его аудитории.

Трансграничные передачи

Раздел 72 POPIA ограничивает передачу персональной информации за пределы Южной Африки, если только страна-получатель не имеет сопоставимой защиты, субъект данных не дал согласия или не применяются конкретные исключения. Если ваш стек аналитики или ad-tech отправляет данные в США, ЕС или другие юрисдикции, вам нужно чёткое основание для передачи, задокументированное в вашем уведомлении о конфиденциальности.

Прямой маркетинг

Раздел 69 устанавливает строгие правила opt-in для электронного прямого маркетинга. Вы не можете использовать cookie для запуска маркетинговых сообщений, если только пользователь специально не дал согласия на эту цель — отдельный переключатель от аналитики или персонализации.

Чек-лист внедрения на 2026 год

Используйте этот чек-лист, чтобы привести ваш сайт в соответствие с текущими ожиданиями Информационного регулятора:

• 1. Проведите аудит каждого cookie и трекера — задокументируйте цель, продолжительность, получателя данных и трансграничное назначение для каждого.
• 2. Категоризируйте по цели — строго необходимые, функциональные, аналитика, реклама, социальные сети. Отдельные переключатели для каждой категории.
• 3. Блокируйте несущественные cookie по умолчанию — настройте все необязательные скрипты на загрузку только после явного согласия.
• 4. Предоставьте понятный баннер — равноценные кнопки «Принять» и «Отклонить», объяснение простым языком, без тёмных паттернов.
• 5. Предложите лёгкий отзыв — постоянная ссылка «Управление настройками» в подвале или виджете.
• 6. Ведите записи согласия — метка времени, выбор пользователя, версия баннера и регион, полученный из IP, минимум три года.
• 7. Опубликуйте уведомление о конфиденциальности, соответствующее POPIA — включите контактные данные ответственной стороны, Информационного офицера, законное основание для каждой операции обработки и раскрытие трансграничных передач.
• 8. Зарегистрируйте вашего Информационного офицера — обязательно в Информационном регуляторе для любой ответственной стороны, обрабатывающей персональную информацию в Южной Африке.

Распространённые ошибки

На основе действий Информационного регулятора по обеспечению соблюдения и публичных рекомендаций, вот наиболее распространённые ошибки согласия на cookie по POPIA, которые мы видим в 2026 году:

• Отношение к POPIA как к облегчённой версии GDPR — определение 18 лет и правила прямого маркетинга раздела 69 строже, чем эквиваленты GDPR.
• Отсутствие раскрытия трансграничных передач — непредоставление списка стран, получающих персональную информацию, является частым результатом аудита.
• Geo-IP-фильтрация только посетителей из ЕС — многие сайты до сих пор показывают баннеры пользователям из ЕС, но не южноафриканским пользователям. POPIA требует того же стандарта для посетителей из ЮАР.
• Аналитика без анонимизации — отправка полных IP-адресов в американскую аналитику без согласия или анонимизации является риском трансграничной передачи.
• Отсутствие регистрации Информационного офицера — процедурная неудача, которую Регулятор проверяет на ранней стадии любого расследования.

Как FlexyConsent помогает с POPIA