Skladnost16. apr. 2026 | FlexyConsent

Vodnik za skladnost z POPIA glede soglasja za piškotke v Južni Afriki za leto 2026

Če vaše spletno mesto zbira osebne podatke od obiskovalcev v Južni Afriki, se Zakon o zaščiti osebnih podatkov (POPIA) nanaša na vas — ne glede na to, kje ima vaše podjetje sedež. POPIA je v celoti izvršljiv od julija 2021, Regulator informacij pa je v zadnjih 18 mesecih ostril pozornost na spletno sledenje in soglasje za piškotke. Ta vodnik pojasnjuje, kaj POPIA zahteva za piškotke in tehnologije sledenja v letu 2026, kako se razlikuje od GDPR ter kako konfigurirati pasico za soglasje, da ostanete skladni.

Kaj pokriva POPIA

POPIA je celovit zakon o varstvu podatkov Južne Afrike, delno zasnovan po vzoru GDPR, a z pomembnimi lokalnimi prilagoditvami. Ureja, kako odgovorne stranke (podobno kot upravljavci po GDPR) obdelujejo osebne podatke posameznikov. Za spletna mesta to vključuje vse piškotke, piksle za sledenje, prstni odtis brskalnika ali identifikatorje SDK, ki jih je mogoče povezati z določljivo osebo — neposredno ali posredno.

Zakon izvršuje Regulator informacij Južne Afrike, ki je objavil posebne smernice o spletnem sledenju in neposrednem trženju. Neskladnost lahko povzroči upravne globe do ZAR 10 milijonov ali kazenske sankcije do 10 let zapora za resne kršitve.

Kdaj POPIA zahteva soglasje

POPIA prepoznava osem zakonitih podlag za obdelavo, podobno kot GDPR. Za piškotke sta dve najpomembnejši soglasje in zakoniti interes. Regulator informacij je pojasnil, da je treba soglasje pridobiti za:

Oglaševalske in trženjske piškotke — vključno z remarketingom, programatičnim gradnjem občinstva in sledenjem konverzij.
Analitiko tretjih oseb, ki prenaša osebne podatke izven Južne Afrike ali obogati podatke z zunanjimi viri.
Vtičnike za družbena omrežja, ki nastavljajo piškotke pred interakcijo uporabnika.
Vsako sledenje, ki se uporablja za neposredno trženje po 69. oddelku POPIA.

Nujno potrebni piškotki (upravljanje sej, varnost, izravnava obremenitve, stanje nakupovalnega vozička) se lahko na splošno opirajo na zakoniti interes, a jih je vseeno treba razkriti v vaši politiki piškotkov.

Standard soglasja

POPIA definira soglasje kot vsako prostovoljno, specifično in informirano izjavo volje. V praksi to pomeni:

Vnaprej označena potrditvena polja niso veljavna.
Skupinsko soglasje (en opt-in, ki pokriva več nepovezanih namenov) ni veljavno.
Molk ali nadaljevanje brskanja ne pomeni soglasja.
Soglasje mora biti enako enostavno preklicati, kot ga dati.

POPIA vs GDPR: Ključne razlike

Čeprav POPIA in GDPR delita skupna načela, obstajajo pomembne razlike, ki vplivajo na zasnovo pasice za piškotke in evidence soglasij.

Podatki otrok

POPIA definira otroka kot vsakogar, mlajšega od 18 let — višja meja kot 16 let po GDPR (ali 13 v nekaterih državah EU). Obdelava osebnih podatkov otrok zahteva soglasje pristojne osebe (navadno starša ali skrbnika), kar naredi preverjanje starosti praktično zahtevo za vsako spletno mesto z južnoafriškimi mladoletniki v občinstvu.

Čezmejni prenosi

69. oddelek POPIA omejuje prenos osebnih podatkov izven Južne Afrike, razen če ima prejemniška država primerljivo zaščito, posameznik je dal soglasje ali veljajo posebne izjeme. Če vaš analitični ali oglaševalsko-tehnološki sklad pošilja podatke v ZDA, EU ali druge jurisdikcije, potrebujete jasno podlago za prenos, dokumentirano v vašem obvestilu o zasebnosti.

Neposredno trženje

69. oddelek nalaga stroga pravila opt-in za elektronsko neposredno trženje. Piškotkov ne smete uporabljati za sproščanje trženjskih sporočil, razen če je uporabnik posebej privolil v ta namen — ločeno stikalo od analitike ali personalizacije.

Kontrolni seznam implementacije za leto 2026

Uporabite ta kontrolni seznam za uskladitev vašega spletnega mesta s trenutnimi pričakovanji Regulatorja informacij:

1. Preglejte vsak piškotek in sledilnik — za vsakega dokumentirajte namen, trajanje, prejemnika podatkov in čezmejno destinacijo.
2. Razvrstite po namenu — nujno potrebni, funkcionalni, analitični, oglaševalski, družbena omrežja. Ločena stikala za vsako kategorijo.
3. Privzeto blokirajte nebistvene piškotke — nastavite vse izbirne skripte tako, da se naložijo šele po izrecnem soglasju.
4. Zagotovite jasno pasico — gumba Sprejmi in Zavrni z enako prominenco, razlaga v preprostem jeziku, brez temnih vzorcev.
5. Ponudite enostavno preklic — trajna povezava »Upravljaj nastavitve« v nogi ali widgetu.
6. Vodite evidence soglasij — časovni žig, uporabnikove izbire, različica pasice in regija, izpeljana iz IP, vsaj tri leta.
7. Objavite obvestilo o zasebnosti, usklajeno s POPIA — vključite kontaktne podatke odgovorne stranke, Informacijskega uradnika, zakonito podlago za vsako dejavnost obdelave ter razkritja čezmejnih prenosov.
8. Registrirajte svojega Informacijskega uradnika — obvezno pri Regulatorju informacij za vsako odgovorno stranko, ki obdeluje osebne podatke v Južni Afriki.

Pogoste napake

Na podlagi izvršilnih ukrepov Regulatorja informacij in javnih smernic so to najpogostejše napake pri soglasju za piškotke POPIA, ki jih opažamo v letu 2026:

Obravnava POPIA kot lahke različice GDPR — definicija 18 let in pravila neposrednega trženja iz 69. oddelka so strožja od ustreznikov po GDPR.
Brez čezmejnega razkritja — nenavajanje držav, ki prejemajo osebne podatke, je pogosta ugotovitev revizije.
Geo-IP filtriranje samo obiskovalcev EU — mnoga spletna mesta še vedno prikazujejo pasice uporabnikom EU, ne pa južnoafriškim uporabnikom. POPIA zahteva enak standard za obiskovalce SA.
Analitika brez anonimizacije — pošiljanje polnih IP naslovov v analitiko s sedežem v ZDA brez soglasja ali anonimizacije je tveganje čezmejnega prenosa.
Manjkajoča registracija Informacijskega uradnika — postopkovna napaka, ki jo Regulator preverja zgodaj pri vsaki preiskavi.

Kako FlexyConsent pomaga pri POPIA

FlexyConsent podpira skladnost s POPIA takoj po namestitvi:

Geo-zaznavanje samodejno prikaže pasico, usklajeno s POPIA, obiskovalcem iz Južne Afrike.
Ločena stikala za analitiko, oglaševanje, družbena omrežja in neposredno trženje — brez skupinskega soglasja.
Razkritja čezmejnih prenosov vgrajena v privzeto predlogo obvestila o zasebnosti.
Evidence soglasij, vodene s časovnim žigom, izbirami, različico pasice in regijo za revizijo.
Možnost starostne blokade za spletna mesta, namenjena občinstvu, ki lahko vključuje uporabnike, mlajše od 18 let.
Integracija Google Consent Mode V2 in IAB TCF 2.3 za interoperabilnost oglaševalskih tehnologij.

Izvajanje POPIA postaja vse bolj sofisticirano. Če vaše spletno mesto dosega južnoafriške obiskovalce in v zadnjih 12 mesecih niste pregledali konfiguracije pasice za piškotke, je zdaj čas za revizijo. Začnite brezplačno preskusno različico FlexyConsent in konfigurirajte soglasje, skladno s POPIA, v nekaj minutah.