Ръководство за съответствие с PDPA на Шри Ланка относно съгласие за бисквитки: Закон No. 9 от 2022 г. в сила за издателите през 2026 г.
Шри Ланка прекара повече от десетилетие в законодателния процес, преди Законът за защита на личните данни най-накрая да бъде приет като Act No. 9 of 2022, сертифициран от Speaker на 19 March 2022. Законът възприема широката архитектура, която се е превърнала в световен стандарт от GDPR насам — ограничение на целта, правно основание, права на субектите на данни, отчетност, контрол на трансграничното предаване, уведомяване за нарушения и независим регулатор с правомощия за административни наказания — но ги вгражда в режим, съобразен с търговската и конституционна реалност на Южна Азия. Законът влезе в сила поетапно от 17 March 2023 г., като съществените задължения се задействаха 18 месеца по-късно, а разпоредбите за изпълнение бяха въведени постепенно в периода 2025–2026 г. За издателите и всеки друг субект, обработващ лични данни на лица в Sri Lanka, следствието е пряко: позицията за съгласие за бисквитки, която е отговаряла на предишната пъстра мозайка от секторни правила, вече не е достатъчна, а позиция, отговаряща на GDPR, ще отговаря на PDPA само ако интеграцията е конфигурирана за конкретните точки, в които двата режима се различават.
Какво всъщност изисква PDPA на Шри Ланка
PDPA се прилага към обработването на лични данни на субекти на данни, намиращи се в Sri Lanka, независимо от местонахождението на администратора или обработващия, и към администратори и обработващи, установени в Sri Lanka, независимо от местонахождението на субектите на данни. Извънтериториалният обхват отразява член 3 от GDPR и означава, че издател без офис в Sri Lanka, но с шриланкански читатели, инсталирани приложения или плащащи клиенти, е пряко в обхвата. Личните данни се дефинират широко като всяка информация, свързана с идентифицирано или идентифицируемо живо физическо лице, като данните от специални категории — включително биометрични, генетични, финансови, здравни, расови, етнически, религиозни вярвания, политически мнения и криминални досиета — се третират по по-строги правила.
Законът установява седем основни принципа за защита на данните, шест правни основания за обработване, стандартен набор от права на субектите на данни — достъп, коригиране, изтриване, ограничаване, възражение и преносимост на данни, където е технически осъществимо — и регулатор, Data Protection Authority of Sri Lanka, с правомощие да издава директиви, налага административни санкции до LKR 10 милиона за нарушение и отнася сериозни въпроси за наказателно преследване.
Как PDPA третира специфично съгласието за бисквитки
PDPA не съдържа отделна разпоредба в стил ePrivacy относно бисквитките, по начина, по който го прави директивата ePrivacy на ЕС. Вместо това включва обработването на бисквитки в общата рамка за съгласие в стил GDPR: всяко обработване на лични данни, което се основава на съгласие като правно основание, трябва да бъде получено въз основа на ясно утвърдително действие, с което субектът на данни изразява съгласие — свободно дадено, конкретно, информирано и недвусмислено. DPA е посочил последователно, в съответствие с глобалната тенденция, че предварително отметнати квадратчета, формулировки за продължаване на сърфирането и банери за пакетно съгласие не са валидни форми на съгласие по закона.
Практическото следствие е същата позиция, която издателите, работещи в ЕИП, вече поддържат: бисквитки и всички аналогични технологии за съхранение и достъп, които не са строго необходими за предоставяне на услугата, не трябва да се задават преди потребителят активно да е дал съгласие за тях. Строго необходимите бисквитки — идентификатори на сесии, съдържание на количките, токени за сигурност, бисквитки за балансиране на натоварването — могат да се задават без съгласие, тъй като попадат под основанието за легитимен интерес, свързано с услугата, която потребителят е заявил активно. Всичко останало, включително анализи, реклама, персонализация, A/B тестване, повторно възпроизвеждане на сесии и всякакъв таг на трети страни, изисква предварително съгласие.
Как PDPA се различава от GDPR
Три разлики са важни за интеграционния слой. Първо, каталогът на правните основания на PDPA включва основания за обществен интерес и правно задължение, които съответстват на член 6 от GDPR, но не включва самостоятелното основание за легитимен интерес под формата, на която европейските издатели разчитат за обработване на измерване на реклами. Еквивалентът на PDPA е по-тесен, изисквайки документиран тест за балансиране, който се подава с регистъра за обработване на администратора и се предоставя на DPA при поискване. Второ, правилата за трансгранично предаване на PDPA изискват DPA да определя юрисдикциите на местоназначение, а предаванията към неопределени юрисдикции изискват или изрично съгласие, договорни гаранции, одобрени от DPA, или едно от тесните изключения. Трето, сроковете за уведомяване за нарушения на PDPA са по-кратки за нарушения с висок риск и по-дълги за нарушения с нисък риск от фиксираното правило на GDPR от 72 часа — администраторите трябва да уведомяват без ненужно забавяне и, когато е осъществимо, в рамките на срок, стеснен от насоките на DPA в периода на поетапното въвеждане.
Как изглежда съвместимият банер за бисквитки по PDPA
Техническите изисквания съвпадат с това, което вече произвежда всеки съвременен CMP, но етикетирането и регистърът за съгласие трябва да отразяват спецификата на Sri Lanka. Банерът от първо ниво трябва да представи на потребителя реален избор — приемам, отхвърлям, управлявам — при което опцията за отхвърляне е поне толкова изпъкнала, колкото опцията за приемане. Пакетното съгласие е забранено, затова второто ниво трябва да позволява включване по категории, обхващащо поне анализи, реклама и всяко обработване, зависещо от трансгранично предаване. Категориите трябва да бъдат зададени по подразбиране в положение изключено; банерът не трябва да зарежда тагове, докато потребителят не ги е активирал.
Известието за поверителност, показано от банера, трябва да идентифицира администратора, категориите събирани лични данни, правното основание за всяка цел на обработване, периода на съхранение на данните, категориите получатели, включително подобработващи, работещи извън Sri Lanka, правата на субекта на данни по PDPA и данните за контакт с DPA за жалби. Известие, отговарящо на стандарта на член 13 от GDPR, ще се припокрива в значителна степен, но редовете за контакт с DPA и юрисдикцията на трансграничното предаване трябва да бъдат добавени изрично.
Моделът на интеграция, преминаващ проверка на DPA
Референтното внедряване има четири движещи се части. Първата е CMP, която поддържа включване по категории, по подразбиране изключено, и излага избора на потребителя чрез структуриран низ за съгласие, който издателят може да съхранява в регистър за съгласие. Втората е слой за зареждане на тагове — обикновено мениджър на тагове от страна на сървъра или скриптова врата, вградена в CMP — която строго налага статуса на съгласие преди да позволи задаването на бисквитки, които не са необходими. Третата е регистър за съгласие от страна на сървъра, записващ за всяко събитие на съгласие избора на потребителя по категории, времевия печат, версията на банера за съгласие, IP адреса (съкратен или хеширан, ако администраторът е решил, че това удовлетворява анализа за минимизиране на данните) и предоставените срещу отказаните категории. Четвъртата е път за оттегляне, поне толкова лесен, колкото оригиналното предоставяне — постоянна връзка за повторно отваряне на банера в долния колонтитул е моделът, мълчаливо одобрен от DPA чрез препратка към международните добри практики.
- Таговете за анализи трябва да се зареждат само след предоставяне на категорията за анализи; Google Analytics 4, Adobe Analytics, Matomo, Amplitude и Mixpanel поддържат конфигурация с порта за съгласие, която предотвратява записването на бисквитки преди отварянето на портата.
- Таговете за реклами — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, програматични участници в хедър бидинг — трябва да бъдат по подобен начин с портата, а там, където рекламният партньор предава данни извън Sri Lanka, юрисдикцията на местоназначение на партньора трябва да се появява в известието за поверителност.
- Инструментите за повторно възпроизвеждане на сесии и топлинни карти — Hotjar, Microsoft Clarity, FullStory — трябва да бъдат зад отделна, по-строга порта, тъй като DPA, в съответствие с EDPB, е отбелязал визуализирането на входни полета като категория, изискваща изрично и детайлно съгласие.
- Оповестяванията за трансгранично предаване трябва да бъдат специфични за всяка юрисдикция на получателя, а не общи. DPA е посочил, че данните се обработват от доставчици на услуги в световен мащаб не е достатъчно оповестяване.
Позиция за валидиране и одит за 2026 г.
Защитимото шриланкански внедряване за 2026 г. трябва да премине четири проверки. Първо, чиста браузърна сесия, обслужвана от шриланкански IP адрес, трябва да произведе нула ненеобходими бисквитки преди банерът да е бил задействан. Второ, пътят за отхвърляне на всички трябва да доведе до същата позиция като сесия без действие — без тагове за анализи, без тагове за реклами, без скриптове за повторно възпроизвеждане на сесии, само строго необходимия набор. Трето, потокът за приемане на всички трябва да произведе таговете, за които потребителят е дал съгласие, и регистърът за съгласие трябва да съдържа съответния запис. Четвърто, потокът за оттегляне трябва незабавно да спре по-нататъшни активирания на тагове, да изтече бисквитките, зададени по време на сесията с дадено съгласие, и да задейства всякакви сигнали за изтриване надолу по веригата или отказ от участие, изисквани от партньорите получатели.
Изискването за одитна пътека е това, което прави PDPA най-отличителен за 2026 г. DPA е издал насоки, указващи, че администраторите трябва да могат да предоставят при поискване конкретния запис за съгласие, упълномощил всяка дадена дейност по обработване. Това означава, че регистърът за съгласие трябва да е запитваем по потребителски идентификатор или идентификатор на сесия, съхраняван за период, документиран от администратора в неговия график за съхранение, и може да се експортира в структуриран формат. Правилно конфигуриран CMP с регистър от страна на сървъра, съчетан с тагов слой за зареждане, налагащ статуса на съгласие, и известие за поверителност, назоваващо всяка трансгранична дестинация за предаване, е това, което превръща PDPA на Шри Ланка от регулаторна неизвестност в защитима част от глобалната позиция за съгласие на издателя.