Vad POPIA täcker

POPIA är Sydafrikas heltäckande dataskyddslag, delvis modellerad på GDPR men med viktiga lokala anpassningar. Den reglerar hur ansvariga parter (liknande GDPR-registeransvariga) behandlar personuppgifter om registrerade. För webbplatser inkluderar detta alla cookies, spårningspixlar, fingeravtrycksidentifiering eller SDK-identifierare som kan kopplas till en identifierbar individ — direkt eller indirekt.

Lagen verkställs av Informationsregulatorn i Sydafrika, som har publicerat specifik vägledning om onlinespårning och direktmarknadsföring. Bristande efterlevnad kan resultera i administrativa böter på upp till ZAR 10 miljoner eller straffrättsliga påföljder på upp till 10 års fängelse för allvarliga överträdelser.

När POPIA kräver samtycke

POPIA erkänner åtta lagliga grunder för behandling, liknande GDPR. För cookies är de två mest relevanta samtycke och berättigat intresse. Informationsregulatorn har klargjort att samtycke måste inhämtas för:

• Annonserings- och marknadsföringscookies — inklusive remarketing, programmatiskt publikbyggande och konverteringsspårning.
• Tredjepartsanalys som överför personuppgifter utanför Sydafrika eller berikar data med externa källor.
• Sociala medieplugins som sätter cookies före användarinteraktion.
• All spårning som används för direktmarknadsföring enligt avsnitt 69 i POPIA.

Strikt nödvändiga cookies (sessionshantering, säkerhet, lastbalansering, shoppingvagnsläge) kan i allmänhet förlita sig på berättigat intresse men måste ändå redovisas i din cookiepolicy.

Samtyckesstandard

POPIA definierar samtycke som varje frivilligt, specifikt och informerat uttryck för vilja. I praktiken innebär detta:

• Förkryssade rutor är inte giltiga.
• Samlat samtycke (ett godkännande som täcker flera orelaterade syften) är inte giltigt.
• Tystnad eller fortsatt surfning innebär inte samtycke.
• Samtycke måste vara lika lätt att återkalla som att ge.

POPIA vs GDPR: Viktiga skillnader

Även om POPIA och GDPR delar gemensamma principer finns det viktiga skillnader som påverkar cookiebannerns design och samtyckesregister.

Barns data

POPIA definierar ett barn som vem som helst under 18 år — högre än GDPR:s 16 (eller 13 i vissa EU-länder). Behandling av barns personuppgifter kräver samtycke från en behörig person (vanligtvis en förälder eller vårdnadshavare), vilket gör åldersverifiering till ett praktiskt krav för alla webbplatser med sydafrikanska minderåriga i sin publik.

Gränsöverskridande överföringar

Avsnitt 72 i POPIA begränsar överföring av personuppgifter utanför Sydafrika om inte mottagarlandet har jämförbart skydd, den registrerade har samtyckt eller specifika undantag gäller. Om din analys- eller ad-tech-stack skickar data till USA, EU eller andra jurisdiktioner behöver du en tydlig överföringsgrund dokumenterad i ditt integritetsmeddelande.

Direktmarknadsföring

Avsnitt 69 inför strikta opt-in-regler för elektronisk direktmarknadsföring. Du kan inte använda cookies för att utlösa marknadsföringsmeddelanden om inte användaren specifikt har samtyckt för det syftet — ett separat alternativ från analys eller personalisering.

Implementeringschecklista för 2026

Använd den här checklistan för att anpassa din webbplats till Informationsregulatorns aktuella förväntningar:

• 1. Granska varje cookie och spårare — dokumentera syfte, varaktighet, datamottagare och gränsöverskridande destination för var och en.
• 2. Kategorisera efter syfte — strikt nödvändiga, funktionella, analytiska, reklamrelaterade, sociala medier. Separata reglage för varje kategori.
• 3. Blockera icke-väsentliga cookies som standard — ställ in alla valfria skript att laddas enbart efter uttryckligt samtycke.
• 4. Tillhandahåll en tydlig banner — Acceptera- och Avvisa-knappar med lika framträdande position, klarspråkig förklaring, inga mörka mönster.
• 5. Erbjud enkel återkallelse — en beständig "Hantera inställningar"-länk i sidfoten eller widget.
• 6. Underhåll samtyckesregister — tidsstämpel, användarvalen, bannerversion och IP-härlett region i minst tre år.
• 7. Publicera ett POPIA-anpassat integritetsmeddelande — inkludera den ansvariga partens kontaktuppgifter, informationsombudsman, laglig grund för varje behandlingsaktivitet och redovisningar av gränsöverskridande överföringar.
• 8. Registrera din informationsombudsman — obligatoriskt hos Informationsregulatorn för alla ansvariga parter som behandlar personuppgifter i Sydafrika.

Vanliga misstag

Baserat på Informationsregulatorns verkställighetsåtgärder och offentlig vägledning är dessa de vanligaste POPIA cookie-samtyckesmisstagen vi ser under 2026:

• Att behandla POPIA som GDPR-lite — 18-årsdefinitionen och avsnitt 69:s direktmarknadsföringsregler är striktare än GDPR-motsvarigheterna.
• Ingen gränsöverskridande redovisning — att inte lista vilka länder som tar emot personuppgifter är ett vanligt revisionsresultat.
• Geo-IP-avvisning av enbart EU-besökare — många webbplatser visar fortfarande banners för EU-användare men inte sydafrikanska användare. POPIA kräver samma standard för SA-besökare.
• Analys utan anonymisering — att skicka fullständiga IP-adresser till USA-baserad analys utan samtycke eller anonymisering är en gränsöverskridande överföringsrisk.
• Saknad informationsombudsmanregistrering — ett procedurmässigt misslyckande som Regulatorn kontrollerar tidigt i varje utredning.

Hur FlexyConsent hjälper med POPIA

POPIA-verkställighet blir alltmer sofistikerad. Om din webbplats når sydafrikanska besökare och du inte har granskat din cookiebannerkonfiguration under de senaste 12 månaderna är det nu dags att granska. Starta din kostnadsfria FlexyConsent-prövning och konfigurera POPIA-kompatibelt samtycke på minuter.