Dodržiavanie predpisov16. apr. 2026 | FlexyConsent

Sprievodca dodržiavaním súhlasu so súbormi cookie POPIA v Južnej Afrike na rok 2026

Ak vaša webová stránka zbiera osobné informácie od návštevníkov v Južnej Afrike, zákon o ochrane osobných informácií (POPIA) sa na vás vzťahuje — bez ohľadu na to, kde má vaša firma sídlo. POPIA je plne vymáhateľná od júla 2021 a Regulátor informácií v posledných 18 mesiacoch zostril pozornosť na online sledovanie a súhlas so súbormi cookie. Tento sprievodca vysvetľuje, čo POPIA vyžaduje pre súbory cookie a technológie sledovania v roku 2026, ako sa líši od GDPR a ako nakonfigurovať váš banner súhlasu, aby ste zostali v súlade s predpismi.

Čo pokrýva POPIA

POPIA je komplexný zákon o ochrane údajov v Južnej Afrike, čiastočne modelovaný podľa GDPR, ale s dôležitými miestnymi adaptáciami. Reguluje, ako zodpovedné strany (podobné prevádzkovateľom GDPR) spracúvajú osobné informácie o dotknutých osobách. Pre webové stránky to zahŕňa akékoľvek súbory cookie, sledovacie pixely, snímanie odtlačkov prstov alebo identifikátory SDK, ktoré možno spojiť s identifikovateľnou osobou — priamo alebo nepriamo.

Zákon presadzuje Regulátor informácií Južnej Afriky, ktorý zverejnil konkrétne usmernenia o online sledovaní a priamom marketingu. Nedodržiavanie môže mať za následok správne pokuty až do výšky ZAR 10 miliónov alebo trestné sankcie až do 10 rokov odňatia slobody za závažné porušenia.

Kedy POPIA vyžaduje súhlas

POPIA uznáva osem zákonných dôvodov spracovania, podobne ako GDPR. Pre súbory cookie sú dva najrelevantnejšie súhlas a oprávnený záujem. Regulátor informácií objasnil, že súhlas sa musí získať pre:

Reklamné a marketingové súbory cookie — vrátane remarketingu, programatického budovania publika a sledovania konverzií.
Analýzy tretích strán, ktoré prenášajú osobné informácie mimo Južnej Afriky alebo obohacujú údaje z externých zdrojov.
Pluginy sociálnych médií, ktoré nastavujú súbory cookie pred interakciou používateľa.
Akékoľvek sledovanie používané na priamy marketing podľa § 69 POPIA.

Striktne nevyhnutné súbory cookie (správa relácií, bezpečnosť, vyrovnávanie záťaže, stav nákupného košíka) sa môžu vo všeobecnosti spoliehať na oprávnený záujem, ale musia byť stále zverejnené vo vašej politike cookies.

Štandard súhlasu

POPIA definuje súhlas ako akýkoľvek dobrovoľný, konkrétny a informovaný prejav vôle. V praxi to znamená:

Predvyplnené zaškrtávacie políčka nie sú platné.
Združený súhlas (jeden opt-in pokrývajúci viacero nesúvisiacich účelov) nie je platný.
Mlčanie alebo pokračovanie v prehliadaní nevyjadruje súhlas.
Súhlas musí byť rovnako ľahké odvolať, ako udeliť.

POPIA vs GDPR: Kľúčové rozdiely

Hoci POPIA a GDPR zdieľajú spoločné princípy, existujú dôležité rozdiely, ktoré ovplyvňujú dizajn bannera cookies a záznamy súhlasov.

Údaje o deťoch

POPIA definuje dieťa ako kohokoľvek mladšieho ako 18 rokov — vyššia hranica ako 16 rokov podľa GDPR (alebo 13 v niektorých krajinách EÚ). Spracúvanie osobných informácií detí vyžaduje súhlas od kompetentnej osoby (zvyčajne rodiča alebo opatrovníka), čo robí overenie veku praktickou požiadavkou pre každú stránku s juhoafrickými maloletými v publiku.

Cezhraničné prenosy

§ 72 POPIA obmedzuje prenos osobných informácií mimo Južnej Afriky, pokiaľ prijímajúca krajina nemá porovnateľnú ochranu, dotknutá osoba neudelila súhlas alebo sa neuplatňujú konkrétne výnimky. Ak váš analytický alebo reklamný technologický zásobník odosiela údaje do USA, EÚ alebo iných jurisdikcií, potrebujete jasný základ prenosu zdokumentovaný vo vašom oznámení o ochrane osobných údajov.

Priamy marketing

§ 69 stanovuje prísne pravidlá opt-in pre elektronický priamy marketing. Nemôžete používať súbory cookie na spúšťanie marketingových správ, pokiaľ používateľ konkrétne nesúhlasil s týmto účelom — samostatný prepínač od analýzy alebo personalizácie.

Kontrolný zoznam implementácie na rok 2026

Použite tento kontrolný zoznam na zosúladenie vašej stránky s aktuálnymi očakávaniami Regulátora informácií:

1. Auditujte každý súbor cookie a sledovač — zdokumentujte účel, trvanie, príjemcu údajov a cezhraničný cieľ pre každý z nich.
2. Kategorizujte podľa účelu — striktne nevyhnutné, funkčné, analytické, reklamné, sociálne médiá. Samostatné prepínače pre každú kategóriu.
3. Predvolene blokujte nepodstatné súbory cookie — nastavte všetky voliteľné skripty tak, aby sa načítali len po výslovnom súhlase.
4. Poskytnite jasný banner — tlačidlá Prijať a Odmietnuť s rovnakým zvýraznením, vysvetlenie v jednoduchom jazyku, bez temných vzorcov.
5. Ponúknite ľahké odvolanie — trvalý odkaz „Spravovať preferencie" v päte stránky alebo widgete.
6. Udržiavajte záznamy súhlasov — časová pečiatka, voľby používateľa, verzia bannera a IP-odvodený región po dobu najmenej troch rokov.
7. Zverejnite oznámenie o ochrane osobných údajov v súlade s POPIA — uveďte kontaktné údaje zodpovednej strany, Informačného úradníka, zákonný základ pre každú spracovateľskú činnosť a zverejnenia cezhraničných prenosov.
8. Zaregistrujte svojho Informačného úradníka — povinné u Regulátora informácií pre každú zodpovednú stranu spracúvajúcu osobné informácie v Južnej Afrike.

Bežné chyby

Na základe vymáhacích akcií Regulátora informácií a verejných usmernení sú to najčastejšie chyby súhlasu so súbormi cookie POPIA, ktoré vidíme v roku 2026:

Považovanie POPIA za odľahčené GDPR — definícia 18 rokov a pravidlá priameho marketingu podľa § 69 sú prísnejšie ako ekvivalenty GDPR.
Žiadne cezhraničné zverejnenie — neschopnosť uviesť, ktoré krajiny dostávajú osobné informácie, je častým zistením auditu.
Geo-IP filtrovanie iba návštevníkov EÚ — mnohé stránky stále zobrazujú bannery používateľom EÚ, ale nie juhoafrickým používateľom. POPIA vyžaduje rovnaký štandard pre návštevníkov SA.
Analýzy bez anonymizácie — odosielanie úplných IP adries do analytiky sídliacej v USA bez súhlasu alebo anonymizácie predstavuje riziko cezhraničného prenosu.
Chýbajúca registrácia Informačného úradníka — procesná chyba, ktorú Regulátor kontroluje skoro pri každom vyšetrovaní.

Ako FlexyConsent pomáha s POPIA

FlexyConsent podporuje dodržiavanie POPIA hneď po vybalení:

Geo-detekcia automaticky zobrazuje banner zosúladený s POPIA návštevníkom z Južnej Afriky.
Samostatné prepínače pre analýzy, reklamu, sociálne médiá a priamy marketing — žiadny združený súhlas.
Zverejnenia cezhraničných prenosov zabudované vo predvolenom šablóne oznámenia o ochrane osobných údajov.
Záznamy súhlasov uchovávané s časovou pečiatkou, voľbami, verziou bannera a regiónom pre audit.
Možnosť vekového brány pre stránky zamerané na publikum, ktoré môže zahŕňať používateľov mladších ako 18 rokov.
Integrácia Google Consent Mode V2 a IAB TCF 2.3 pre interoperabilitu reklamných technológií.

Vymáhanie POPIA sa stáva čoraz sofistikovanejším. Ak vaša stránka dosahuje juhoafrických návštevníkov a v posledných 12 mesiacoch ste neprehodnotili konfiguráciu bannera cookies, teraz je čas na audit. Začnite svoju bezplatnú skúšobnú verziu FlexyConsent a nakonfigurujte súhlas v súlade s POPIA v priebehu niekoľkých minút.