Şri Lanka PDPA Cookie Razılığı Uyğunluq Təlimatı: Act No. 9 of 2022 Naşirlər üçün 2026-da Qüvvədədir

Şri Lanka Fərdi Məlumatların Mühafizəsi Aktı nəhayət Act No. 9 of 2022 kimi qanunlaşdırılmazdan əvvəl qanunvericilik boru kəmərindən keçməyə on ildən çox vaxt sərf etdi; akt Speaker tərəfindən 19 March 2022-də təsdiq edildi. Akt GDPR-dan bəri qlobal standarta çevrilmiş geniş arxitekturanı mənimsəyir — məqsəd məhdudlaşdırması, qanuni əsas, məlumat subyektinin hüquqları, hesabatlılıq, sərhəd ötürücü transfer nəzarəti, pozuntu bildirişi və inzibati cəza səlahiyyətləri olan müstəqil tənzimləyici — lakin onları Cənubi Asiyanın kommersiya və konstitusiya reallıqlarına uyğunlaşdırılmış bir rejimə yerləşdirir. Akt 17 March 2023-dən etibarən mərhələli şəkildə qüvvəyə mindi, əsaslı öhdəliklər 18 ay sonra işə düşdü, icra müddəaları isə 2025-ci il boyu və 2026-cı ilə qədər tədricən tətbiq edildi. Şri Lankada fərdlərin şəxsi məlumatlarını emal edən naşirlər və hər hansı digər qurum üçün nəticə birbaşadır: əvvəlki sektoral qaydalar mozaikasını ödəyən cookie razılığı mövqeyi artıq kifayət deyil, GDPR-ı ödəyən mövqe isə PDPA-nı yalnız iki rejimlər arasındakı konkret fərqlər üçün konfiqurasiya edildiyi halda ödəyəcək.

Şri Lanka PDPA-nın faktiki olaraq tələb etdiyi şeylər

PDPA, nəzarətçi və ya emalçının yerindən asılı olmayaraq Sri Lanka-da olan məlumat subyektlərinin şəxsi məlumatlarının emalına, Sri Lanka-da yerləşən nəzarətçilərə və emalçılara isə məlumat subyektlərinin yerindən asılı olmayaraq tətbiq edilir. Ərazi xaricindəki əhatə dairəsi GDPR-ın 3-cü maddəsini əks etdirir və o demək olur ki, Sri Lanka-da ofisi olmayan, lakin Sri Lanka oxucuları, tətbiq quraşdırmaları və ya ödənişli müştəriləri olan naşir tam olaraq tətbiq sahəsinə daxildir. Şəxsi məlumat geniş şəkildə müəyyənləşdirilmiş və ya müəyyənləşdirilə bilən canlı fiziki şəxsə aid istənilən məlumat kimi geniş şəkildə müəyyən edilir; bununla birlikdə, biyometrik, genetik, maliyyə, sağlamlıq, irqi, etnik, dini inanc, siyasi rəy və cinayət qeydlərini əhatə edən xüsusi kateqoriya məlumatlar daha sərt qaydalara tabedir.

Akt yeddi əsas məlumat mühafizəsi prinsipini, altı qanuni emal əsasını, standart məlumat subyekti hüquqları paketini — giriş, düzəliş, silinmə, məhdudlaşdırma, etiraz etmə və texniki cəhətdən mümkün olduğu yerdə məlumatların köçürülməsi — və Data Protection Authority of Sri Lanka adlı tənzimləyicini müəyyən edir; tənzimləyicinin göstərişlər vermək, hər pozuntu üçün LKR 10 milyona qədər inzibati cəza tətbiq etmək və ciddi məsələləri cinayət təqibinə göndərmək səlahiyyəti vardır.

PDPA-nın cookie razılığına münasibəti

PDPA, AB-nin ePrivacy Direktivinin etdiyi şəkildə, cookielər haqqında ayrıca ePrivacy tipli müddəa ehtiva etmir. Bunun əvəzinə, cookie emalını ümumi GDPR-stilli razılıq çərçivəsinə daxil edir: razılığa qanuni əsas kimi arxalanan hər hansı şəxsi məlumat emalı, məlumat subyektinin razılıq ifadə etdiyi açıq müsbət hərəkət əsasında — azad, xüsusi, məlumatlı və birmənalı — əldə edilməlidir. DPA, qlobal tendensiyaya uyğun olaraq, əvvəlcədən işarə olunmuş qutular, gözdən keçirməyə davam etmə ifadəsi və toplu razılıq bannerlərinin Act çərçivəsində etibarlı razılıq formaları olmadığını ardıcıl olaraq bildirmişdir.

Praktik nəticə EEA-da fəaliyyət göstərən naşirlərin artıq saxladığı eyni mövqedir: xidmətin göstərilməsi üçün ciddi şəkildə lazım olmayan cookielər və hər hansı analoji saxlama-giriş texnologiyaları istifadəçi onlara aktiv razılıq verənə qədər qurula bilməz. Ciddi lazımlı cookielər — sessiya identifikatorları, səbət məzmunu, təhlükəsizlik tokenları, yük balanslaşdırma cookieləri — razılıq olmadan qurula bilər, çünki onlar istifadəçinin aktiv tələb etdiyi xidmətə bağlı qanuni maraq əsasına düşür. Analitika, reklam, fərdiləşdirmə, A/B testi, sessiya təkrarı və hər hansı üçüncü tərəf teqi daxil olmaqla hər şey əvvəlcədən razılıq tələb edir.

PDPA-nın GDPR-dan fərqləri

İnteqrasiya qatı üçün üç fərq vacibdir. Birincisi, PDPA-nın qanuni əsas kataloqu, Avropa naşirlərinin reklam ölçmə emalı üçün arxalandığı müstəqil qanuni maraq əsasını Avropa naşirlərinin etdiyi formada ehtiva etmir. PDPA-nın ekvivalenti daha dardır, nəzarətçinin emal qeydiyyatına daxil edilən və DPA-ya tələb əsasında təqdim edilən sənədləşdirilmiş balanslaşdırma testini tələb edir. İkincisi, PDPA-nın sərhəd ötürücü transfer qaydaları DPA-dan təyinat yurisdiksiyalarını təyin etməsini tələb edir; təyin olunmamış yurisdiksiyalara transferlər ya açıq razılıq, ya DPA tərəfindən təsdiqlenmiş müqavilə zəmanətləri, ya da dar istisnalardan birini tələb edir. Üçüncüsü, PDPA-nın pozuntu bildirişi müddəti yüksək riskli pozuntular üçün qısa, aşağı riskli pozuntular üçün isə düz 72 saatlıq GDPR qaydası ilə müqayisədə daha uzundur — nəzarətçilər yersiz gecikmə olmadan bildiriş göndərməli və mərhələli başlanğıc dövründə DPA-nın rəhbərliyi tərəfindən sıxılaşdırılan bir müddət ərzində mümkün olduqda bildirməlidirlər.

PDPA çərçivəsindəki uyğun cookie bannerinin görünüşü

Texniki tələblər artıq hər müasir CMP-nin istehsal etdiyi şeylərlə üst-üstə düşür, lakin etiketlər və razılıq jurnalı Şri Lanka spesifikliklərini əks etdirməlidir. Birinci qat banner istifadəçiyə real seçim təqdim etməlidir — qəbul et, rədd et, idarə et — burada rədd etmə seçimi ən azı qəbul seçimi qədər görkəmlidir. Toplu razılıq qadağandır, buna görə ikinci qat ən azı analitika, reklam və hər hansı sərhəd ötürücü transferdən asılı emal üçün kateqoriya üzrə seçim imkanı verməlidir. Kateqoriyalar standart olaraq söndürülmüş vəziyyətdə olmalıdır; banner istifadəçi onları aktiv olaraq açana qədər teqlər yükləməməlidir.

Bannerdən açılan məxfilik bildirişi nəzarətçini, toplanan şəxsi məlumat kateqoriyalarını, hər emal məqsədi üçün qanuni əsası, məlumat saxlama müddətini, Sri Lanka xaricindən fəaliyyət göstərən alt emalçılar daxil olmaqla alıcı kateqoriyalarını, PDPA çərçivəsindəki məlumat subyekti hüquqlarını və şikayətlər üçün DPA-nın əlaqə məlumatlarını müəyyən etməlidir. GDPR-ın 13-cü maddəsi standartını ödəyən bildiriş əhəmiyyətli dərəcədə üst-üstə düşəcək, lakin DPA-nın əlaqəsi və sərhəd ötürücü transfer yurisdiksiyası sətirləri açıq şəkildə əlavə edilməlidir.

DPA yoxlamasından keçən inteqrasiya nümunəsi

Referans tətbiqdə dörd hərəkətli hissə var. Birincisi, kateqoriya üzrə, standart-söndürülmüş seçimi dəstəkləyən və naşirin razılıq jurnalında saxlaya biləcəyi strukturlaşdırılmış razılıq sətri vasitəsilə istifadəçinin seçimini ifşa edən CMP-dir. İkincisi, teq yükləmə qatıdır — adətən server tərəfli teq meneceri və ya CMP-nəticəli skript qapısı — ciddi şəkildə lazımsız cookienin qurulmasına icazə verməzdən əvvəl razılıq vəziyyətini ciddi şəkildə tətbiq edir. Üçüncüsü, hər razılıq hadisəsi üçün kateqoriya üzrə istifadəçinin seçimini, zaman damğasını, razılıq banner versiyasını, IP ünvanını (nəzarətçi bunun məlumat minimizasiyası təhlilini ödədiyinə qərar verirsə, kəsilmiş və ya hash edilmiş) və verilmiş kateqoriyalara qarşı rədd edilmiş kateqoriyaları qeyd edən server tərəfli razılıq jurnalıdır. Dördüncüsü, ən azı orijinal verilmə qədər asan olan geri çəkilmə yoludur — altbilgidəki davamlı banner yenidən açma linki DPA-nın beynəlxalq ən yaxşı praktikaya istinad etməklə örtülü şəkildə təsdiq etdiyi nümunədir.

2026 üçün doğrulama və audit mövqeyi

2026-da müdafiə oluna bilən Şri Lanka yerləşdirməsi dörd yoxlamadan keçməlidir. Birincisi, Şri Lanka IP ünvanından xidmət göstərilən təmiz brauzer sessiyası banner üzərində hərəkət edilməzdən əvvəl sıfır lazımsız cookie istehsal etməlidir. İkincisi, hamısını rədd et yolu, heç bir hərəkətin edilmədiyi sessiyayla eyni mövqeylə nəticələnməlidir — analitika teqi yoxdur, reklam teqi yoxdur, sessiya təkrarı skriptləri yoxdur, yalnız ciddi lazımlı dəst. Üçüncüsü, hamısını qəbul et axışı istifadəçinin razılaşdığı teqləri istehsal etməlidir və razılıq jurnalı müvafiq qeydi ehtiva etməlidir. Dördüncüsü, geri çəkilmə axışı dərhal əlavə teq yanğınlarını dayandırmalı, razılıq verilən sessiya zamanı qurulan cookielərin müddətini bitirməli və alıcı tərəfdaşların tələb etdiyi aşağı axım silinməsi və ya opt-out siqnallarını tetikləməlidir.

Audit izi tələbi 2026-da PDPA-nı ən çox fərqləndirən şeydir. DPA, nəzarətçilərin tələb əsasında hər hansı verilmiş emal fəaliyyətinə icazə verən konkret razılıq qeydini təqdim edə bilmələrini göstərən rəhbərlik buraxmışdır. Bu o deməkdir ki, razılıq jurnalı istifadəçi identifikatoru və ya sessiya identifikatoru ilə sorğulana bilən, nəzarətçinin saxlama cədvəlində sənədləşdirdiyi müddət üçün saxlanılan və strukturlaşdırılmış formatda ixrac edilə bilən olmalıdır. Razılıq vəziyyətini tətbiq edən teq yükləmə qatı ilə eşlənmiş server tərəfli jurnalla düzgün konfiqurasiya edilmiş CMP və hər sərhəd ötürücü transfer təyinatını adlandıran məxfilik bildirişi, Şri Lanka PDPA-sını tənzimləmə naməlumundan naşirin qlobal razılıq mövqeyinin müdafiə oluna bilən hissəsinə çevirən şeydir.

← Bloq Hamısını Oxu →