Кіраўніцтва па адпаведнасці згоды на cookie ў рамках PDPA Шры-Ланкі: Закон № 9 ад 2022 года ўступае ў сілу для выдаўцоў у 2026 годзе
Шры-Ланка правяла больш за дзесяцігоддзе ў заканадаўчым працэсе, перш чым яе Закон аб абароне персанальных даных быў нарэшце прыняты як Закон № 9 ад 2022 года, засведчаны Спікерам 19 сакавіка 2022 года. Закон пераймае шырокую архітэктуру, якая стала глабальным стандартам з часоў GDPR, — абмежаванне мэты, законную падставу, правы суб'ектаў даных, падсправаздачнасць, кантроль трансгранічнай перадачы, апавяшчэнне аб парушэннях і незалежнага рэгулятара з паўнамоцтвамі накладаць адміністрацыйныя спагнанні, — але ўбудоўвае іх у рэжым, адаптаваны да камерцыйных і канстытуцыйных рэалій Паўднёвай Азіі. Закон уступаў у сілу паэтапна з 17 сакавіка 2023 года, пры гэтым істотныя абавязацельствы пачалі дзейнічаць 18 месяцамі пазней, а палажэнні аб правапрымяненні ўводзіліся прагрэсіўна на працягу 2025 года і ў 2026 годзе. Для выдаўцоў і любых іншых суб'ектаў, якія апрацоўваюць персанальныя даныя асоб на Шры-Ланцы, выснова прамая: пазіцыя ў адносінах да згоды на cookie, якая задавальняла ранейшую мазаіку сектаральных правілаў, больш недастатковая, а пазіцыя, якая задавальняе GDPR, будзе задавальняць PDPA толькі ў тым выпадку, калі інтэграцыя наладжана для канкрэтных кропак, у якіх два рэжымы разыходзяцца.
Што на самой справе патрабуе PDPA Шры-Ланкі
PDPA прымяняецца да апрацоўкі персанальных даных суб'ектаў даных, якія знаходзяцца на Шры-Ланцы, незалежна ад таго, дзе знаходзіцца кантралёр або апрацоўшчык, а таксама да кантралёраў і апрацоўшчыкаў, заснаваных на Шры-Ланцы, незалежна ад таго, дзе знаходзяцца суб'екты даных. Экстэрытарыяльны ахоп люстрана адлюстроўвае артыкул 3 GDPR і азначае, што выдавец без офіса на Шры-Ланцы, але са шры-ланкійскімі чытачамі, усталяваннямі прыкладанняў або плацельшчыкамі-кліентамі, прама падпадае пад сферу дзеяння. Персанальныя даныя вызначаны шырока як любая інфармацыя, якая адносіцца да ідэнтыфікаванай або ідэнтыфікаванай жывой фізічнай асобы, пры гэтым даныя асаблівых катэгорый, уключаючы біяметрычныя, генетычныя, фінансавыя, медыцынскія, расавыя, этнічныя, што адносяцца да рэлігійных перакананняў, палітычных поглядаў і судзімасці, разглядаюцца па больш жорсткіх правілах.
Закон устанаўлівае сем асноўных прынцыпаў абароны даных, шэсць законных падстаў для апрацоўкі, стандартны набор правоў суб'ектаў даных — доступ, выпраўленне, выдаленне, абмежаванне, пярэчанне і пераноснасць даных там, дзе гэта тэхнічна ажыццявімае, — і рэгулятара, Упраўленне па абароне даных Шры-Ланкі, з паўнамоцтвамі выдаваць дырэктывы, накладаць адміністрацыйныя спагнанні да 10 млн LKR за парушэнне і перадаваць сур'ёзныя справы для крымінальнага праследавання.
Як PDPA канкрэтна трактуе згоду на cookie
PDPA не змяшчае асобнага палажэння аб cookie ў стылі ePrivacy, як гэта робіць Дырэктыва ЕС аб ePrivacy. Замест гэтага ён уключае апрацоўку cookie ў агульную рамку згоды ў стылі GDPR: любая апрацоўка персанальных даных, якая абапіраецца на згоду як на сваю законную падставу, павінна быць атрымана на аснове яснага сцвярджальнага дзеяння, якім суб'ект даных выказвае згоду, дадзеную свабодна, канкрэтна, інфармавана і неадназначна. Упраўленне ўказала, у адпаведнасці з глабальнай тэндэнцыяй, што папярэдне адзначаныя сцяжкі, фармулёўкі аб працягу прагляду і банеры са звязанай згодай не з'яўляюцца сапраўднымі формамі згоды па Законе.
Практычны эфект — тая ж пазіцыя, якую выдаўцы, што працуюць у ЕЭЗ, ужо падтрымліваюць: cookie і любыя аналагічныя тэхналогіі захоўвання і доступу, якія не з'яўляюцца строга неабходнымі для прадастаўлення паслугі, не павінны ўсталёўвацца да таго, як карыстальнік актыўна пагадзіўся на іх. Строга неабходныя cookie — ідэнтыфікатары сесіі, змесціва кошыка, токены бяспекі, cookie балансоўкі нагрузкі — могуць усталёўвацца без згоды, паколькі яны падпадаюць пад падставу законнага інтарэсу, звязаную з паслугай, якую карыстальнік актыўна запытаў. Усё астатняе, уключаючы аналітыку, рэкламу, персаналізацыю, A/B-тэставанне, запіс сесій і любы старонні тэг, патрабуе папярэдняй згоды.
Чым PDPA адрозніваецца ад GDPR
Тры адрозненні маюць значэнне для слоя інтэграцыі. Па-першае, каталог законных падстаў PDPA уключае падставу грамадскага інтарэсу і юрыдычнага абавязацельства, якія блізка адпавядаюць артыкулу 6 GDPR, але не ўключае самастойную падставу законнага інтарэсу ў той форме, на якую абапіраюцца еўрапейскія выдаўцы для апрацоўкі вымярэння рэкламы. Эквівалент PDPA вузейшы, патрабуючы дакументаванага тэсту балансу, які падаецца ў рэестр апрацоўкі кантралёра і прадастаўляецца Упраўленню па запыце. Па-другое, правілы трансгранічнай перадачы PDPA патрабуюць, каб Упраўленне абазначыла юрысдыкцыі прызначэння, і перадачы ў неабазначаныя юрысдыкцыі патрабуюць альбо яўнай згоды, альбо дагаворных гарантый, зацверджаных Упраўленнем, альбо аднаго з вузкіх выняткаў. Па-трэцяе, тэрміны апавяшчэння аб парушэннях PDPA карацейшыя для парушэнняў высокай рызыкі і даўжэйшыя для парушэнняў нізкай рызыкі, чым адзінае правіла 72 гадзін GDPR, — кантралёры павінны апавяшчаць без неапраўданай затрымкі і, дзе гэта ажыццявімае, у акне, якое кіраўніцтва Упраўлення ўжэсточвала на працягу перыяду паэтапнага ўвядзення.
Як выглядае адпаведны банер cookie ў рамках PDPA
Тэхнічныя патрабаванні сыходзяцца з тым, што ўжо вырабляе любая сучасная CMP, але маркіроўка і журнал згоды павінны адлюстроўваць шры-ланкійскую спецыфіку. Банер першага ўзроўню павінен прадстаўляць карыстальніку рэальны выбар — прыняць, адхіліць, кіраваць — дзе опцыя адхілення прынамсі гэтак жа прыкметная, як опцыя прыняцця. Звязаная згода забаронена, таму другі ўзровень павінен дапускаць опт-ін па катэгорыях, які ахоплівае як мінімум аналітыку, рэкламу і любую апрацоўку, што залежыць ад трансгранічнай перадачы. Катэгорыі павінны быць па змаўчанні выключаны; банер не павінен загружаць тэгі, пакуль карыстальнік не ўключыць іх сцвярджальна.
Апавяшчэнне аб канфідэнцыяльнасці, якое ўсплывае з банера, павінна ідэнтыфікаваць кантралёра, катэгорыі персанальных даных, што збіраюцца, законную падставу для кожнай мэты апрацоўкі, тэрмін захоўвання даных, катэгорыі атрымальнікаў, уключаючы любых субапрацоўшчыкаў, што дзейнічаюць па-за межамі Шры-Ланкі, правы суб'екта даных па PDPA і кантактныя даныя Упраўлення для скаргаў. Апавяшчэнне, якое адпавядае стандарту артыкула 13 GDPR, будзе істотна супадаць, але радкі аб кантакце Упраўлення і юрысдыкцыі трансгранічнай перадачы павінны быць дададзены яўна.
Шаблон інтэграцыі, які праходзіць праверку Упраўлення
Эталонная рэалізацыя мае чатыры рухомыя часткі. Першая — CMP, якая падтрымлівае опт-ін па катэгорыях з выключэннем па змаўчанні і раскрывае выбар карыстальніка праз структураваны радок згоды, які выдавец можа захоўваць у журнале згоды. Другая — слой загрузкі тэгаў, звычайна серверны дыспетчар тэгаў або натыўны для CMP шлюз скрыптоў, які строга забяспечвае выкананне стану згоды, перш чым дазволіць усталяванне любога несуттёвага cookie. Трэцяя — журнал згоды, серверны, які для кожнай падзеі згоды запісвае выбар карыстальніка па катэгорыях, часавую метку, версію банера згоды, IP-адрас (усечаны або хэшаваны, калі кантралёр вырашыў, што гэта задавальняе яго аналіз мінімізацыі даных) і катэгорыі, якія былі прадастаўлены супраць адхіленых. Чацвёртая — шлях адклікання, які прынамсі гэтак жа просты, як першапачатковае прадастаўленне, — пастаянная спасылка паўторнага адкрыцця банера ў падвале з'яўляецца шаблонам, які Упраўленне негалосна ўхваліла спасылкай на міжнародныя перадавыя практыкі.
- Тэгі аналітыкі павінны загружацца толькі пасля прадастаўлення катэгорыі аналітыкі; Google Analytics 4, Adobe Analytics, Matomo, Amplitude і Mixpanel падтрымліваюць канфігурацыю са шлюзам згоды, якая прадухіляе любы запіс cookie да пераключэння шлюза.
- Рэкламныя тэгі — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, праграматычныя header bidders — павінны быць аналагічна забяспечаны шлюзам, і там, дзе рэкламны партнёр перадае даныя за межы Шры-Ланкі, юрысдыкцыя прызначэння партнёра павінна з'яўляцца ў апавяшчэнні аб канфідэнцыяльнасці.
- Інструменты запісу сесій і цеплавых карт — Hotjar, Microsoft Clarity, FullStory — павінны знаходзіцца за асобным, больш строгім шлюзам, паколькі Упраўленне, у адпаведнасці з EDPB, адзначыла адлюстраванне палёў уводу як катэгорыю, што патрабуе яўнай і гранулярнай згоды.
- Раскрыцці трансгранічнай перадачы павінны быць канкрэтнымі для кожнай юрысдыкцыі атрымальніка, а не агульнымі. Упраўленне ўказала, што даныя апрацоўваюцца пастаўшчыкамі паслуг па ўсім свеце не з'яўляецца дастатковым раскрыццём.
Пазіцыя валідацыі і аўдыту на 2026 год
Абаронны шры-ланкійскі разгортванне ў 2026 годзе павінна прайсці чатыры праверкі. Па-першае, чыстая сесія браўзера, абслугоўваемая са шры-ланкійскага IP-адраса, павінна вырабляць нуль несуттёвых cookie да таго, як банер быў задзейнічаны. Па-другое, шлях адхілення ўсяго павінен прыводзіць да той жа пазіцыі, што і сесія без дзеяння, — ніякіх тэгаў аналітыкі, ніякіх рэкламных тэгаў, ніякіх скрыптоў запісу сесій, толькі строга неабходны набор. Па-трэцяе, паток прыняцця ўсяго павінен вырабляць тэгі, на якія карыстальнік пагадзіўся, і журнал згоды павінен змяшчаць адпаведны запіс. Па-чацвёртае, паток адклікання павінен неадкладна спыніць далейшыя спрацоўванні тэгаў, анулёўваць cookie, усталяваныя падчас сесіі са згодай, і ініцыяваць любыя ніжэйшыя сігналы выдалення або опт-аўта, якія патрабуюцца партнёрам-атрымальнікам.
Патрабаванне да кантрольнага следу — гэта тое, у чым PDPA найбольш своеасаблівы ў 2026 годзе. Упраўленне выдала кіраўніцтва, якое ўказвае, што кантралёры павінны быць у стане прадаставіць па запыце канкрэтны запіс згоды, які санкцыянаваў любую дадзеную дзейнасць па апрацоўцы. Гэта азначае, што журнал згоды павінен быць даступны для запыту па ідэнтыфікатары карыстальніка або ідэнтыфікатары сесіі, захоўвацца на працягу перыяду, які кантралёр задакументаваў у сваім графіку захоўвання, і быць экспартуемым у структураваным фармаце. Правільна наладжаная CMP з серверным журналам, у пары са слоем загрузкі тэгаў, які забяспечвае выкананне стану згоды, і апавяшчэннем аб канфідэнцыяльнасці, якое называе кожнае прызначэнне трансгранічнай перадачы, — гэта тое, што ператварае PDPA Шры-Ланкі з рэгулятарнай невядомасці ў абаронную частку глабальнай пазіцыі выдаўца ў адносінах да згоды.