Шта POPIA покрива

POPIA је свеобухватни закон о заштити података Јужне Африке, делимично моделован по GDPR-у, али са важним локалним прилагођавањима. Он регулише начин на koji одговорне стране (слично GDPR контролорима) обрађују личне податке о субјектима података. За веб-сајтове, ово укључује свакe колачиће, пикселе за праћење, идентификацију отиска прста или SDK идентификаторе koji се могу повезати са идентификованим појединцем — директно или индиректно.

Закон спроводи Информациони регулатор Јужне Африке, koji је објавио специфичне смернице о онлajн праћењу и директном маркетингу. Неусклађеност може резултирати административним казнама до ZAR 10 милиона или кривичним казнама до 10 година затвора за озбиљне повреде.

Када POPIA захтева сагласност

POPIA препознаје осам законских основа за обраду, слично kao GDPR. За колачиће, два најрелевантнија су сагласност и легитимни интерес. Информациони регулатор је разjaснио да сагласност мора бити добијена за:

• Колачиће за оглашавање и маркетинг — укључујући ремаркетинг, програматску изградњу публике и праћење конверзија.
• Аналитику трећих страна koja преноси личне податке изван Јужне Африке или обогаћује податке из спољних извора.
• Додатке друштвених медија koji постављају колачиће пре интеракције корисника.
• Свако праћење које се користи за директни маркетинг у складу са Чланом 69 POPIA.

Строго неопходни колачићи (управљање сесијом, безбедност, балансирање оптерећења, стање корпе за куповину) генерално могу да се ослоне на легитимни интерес, али и даље морају бити откривени у вашој политици колачића.

Стандард сагласности

POPIA дефинише сагласност kao сваки добровољни, специфични и информисани израз воље. У пракси, ово значи:

• Унапред означени оквири нису важећи.
• Обједињена сагласност (jedно пристајање koje покрива вишеструке неповезане сврхе) није важећа.
• Ћутање или наставак прегледања не подразумева сагласност.
• Сагласност мора бити jednaко лако повући kao и дати.

POPIA наспрам GDPR: Кључне разлике

Иако POPIA и GDPR деле заједничка начела, постоје важне разлике koje утичу на дизajн банера колачића и записе о сагласности.

Подаци деце

POPIA дефинише дете kao свакога испод 18 година — виши него GDPR-ових 16 (или 13 у неким земљама ЕУ). Обрада личних података деце захтева сагласност надлежне особе (обично родитеља или старатеља), чинећи верификацију старости практичним захтевом за сваки сајт са мало¬летницима из Јужне Африке у публици.

Прекогранични преноси

Члан 72 POPIA ограничава пренос личних података изван Јужне Африке осим ako земља прималац има упоредиву заштиту, субjект података је дао сагласност или се примењују специфични изузеци. Ако ваш аналитички или ad-tech стек шаље податке у САД, ЕУ или друге јурисдикције, потребна вам је јасна основа преноса документована у вашем обавештењу о приватности.

Директни маркетинг

Члан 69 намеће строга правила opt-in за електронски директни маркетинг. Не можете да користите колачиће за покретање маркетиншких порука осим ako корисник није конкретно пристао за ту сврху — засебни прекидач од аналитике или персонализације.

Контролна листа за имплементацију за 2026.

Користите ову контролну листу да ускладите свој сajт са тренутним очекивањима Информационог регулатора:

• 1. Ревидирајте сваки колачић и трагач — документујте сврху, трајање, примаоца података и прекограничну дестинацију за сваки.
• 2. Категоришите по сврси — строго неопходни, функционални, аналитички, рекламни, друштвени медији. Засебни прекидачи за сваку категорију.
• 3. Блокирајте неесенцијалне колачиће по подразумеваном подешавању — поставите све опционалне скрипте да се учитавају само после експлицитне сагласности.
• 4. Обезбедите јасан банер — дугмад Прихвати и Одбиј jednaке истакнутости, objašnjenje на простом језику, без тамних образаца.
• 5. Понудите лако повлачење — трajна веза "Управљај поставкама" у подножју или виџет.
• 6. Одржавајте записе о сагласности — временску ознаку, изборе корисника, верзију банера и регион изведен из IP за најмање три године.
• 7. Објавите обавештење о приватности усклађено са POPIA — укључите контакт детаље одговорне стране, Информационог службеника, законску основу за сваку активност обраде и обелодањивања прекограничних преноса.
• 8. Региструjte свог Информационог службеника — обавезно код Информационог регулатора за сваку одговорну страну koja обрађује личне податке у Јужној Африци.

Честе грешке

На основу мера спровођења Информационог регулатора и јавних смерница, ово су нajчешће грешке у вези са сагласношћу колачића POPIA koje виђамо у 2026. години:

• Третирање POPIA као GDPR-lite — дефиниција за 18-годишњаке и правила директног маркетинга Члана 69 строжа су него GDPR еквиваленти.
• Без прекограничног откривања — неспомињање koje земље примају личне податке је честа ревизиjска налaz.
• Гео-IP блокирање само ЕУ посетилаца — многи сajтови и даље приказуjу банере корисницима ЕУ, али не и корисницима из Јужне Африке. POPIA захтева исти стандард за SA посетиоце.
• Аналитика без анонимизације — слање потпуних IP адреса аналитичарима у САД без сагласности или анонимизације представља ризик прекограничног преноса.
• Недостајућа регистрација Информационог службеника — процедурални пропуст koji Регулатор проверава рано у свакoj истрази.

Кako FlexyConsent помаже са POPIA

Спровођење POPIA постаje све софистицираније. Ако ваш сajт досеже посетиоце из Јужне Afrike и нисте прегледали конфигурациjу банера колачића у протеклих 12 месеци, сада је право време за ревизиjу. Започните своjу бесплатну пробну верзиjу FlexyConsent и конфигуришите сагласност у складу са POPIA за неколико минута.