শ্রীলঙ্কা PDPA কুকি সম্মতি সম্মতি গাইড: প্রকাশকদের জন্য ২০২৬ সালে কার্যকর Act No. 9 of 2022
শ্রীলঙ্কা তার ব্যক্তিগত ডেটা সুরক্ষা আইন শেষ পর্যন্ত Act No. 9 of 2022 হিসেবে প্রণীত হওয়ার আগে আইনী প্রক্রিয়ায় দশ বছরেরও বেশি সময় ব্যয় করেছিল, Speaker কর্তৃক 19 March 2022 তারিখে সার্টিফাই করা হয়েছিল। আইনটি GDPR-এর পর থেকে বৈশ্বিক মান হয়ে ওঠা বিস্তৃত কাঠামো গ্রহণ করে — উদ্দেশ্য সীমাবদ্ধতা, আইনগত ভিত্তি, ডেটা সাবজেক্টের অধিকার, জবাবদিহিতা, ক্রস-বর্ডার ট্রান্সফার নিয়ন্ত্রণ, লঙ্ঘন বিজ্ঞপ্তি এবং প্রশাসনিক জরিমানার ক্ষমতা সম্পন্ন স্বাধীন নিয়ন্ত্রক — তবে এগুলিকে দক্ষিণ এশিয়ার বাণিজ্যিক এবং সাংবিধানিক বাস্তবতার সাথে তৈরি একটি শাসনে এম্বেড করে। আইনটি 17 March 2023 থেকে পর্যায়ক্রমে কার্যকর হয়েছিল, মূল বাধ্যবাধকতাগুলি ১৮ মাস পরে সক্রিয় হয় এবং প্রয়োগের বিধানগুলি ২০২৫ এবং ২০২৬ পর্যন্ত ধীরে ধীরে কার্যকর হয়। Sri Lanka-তে ব্যক্তিদের ব্যক্তিগত ডেটা প্রক্রিয়া করা প্রকাশক এবং যেকোনো সত্তার জন্য, এর প্রভাব সরাসরি: পূর্ববর্তী সেক্টরাল নিয়মের প্যাচওয়ার্ককে সন্তুষ্ট করা কুকি-সম্মতির অবস্থান আর যথেষ্ট নয়, এবং GDPR সন্তুষ্ট করা অবস্থান PDPA সন্তুষ্ট করবে শুধুমাত্র যদি ইন্টিগ্রেশন দুটি শাসনের মধ্যে ভিন্নতার নির্দিষ্ট পয়েন্টগুলির জন্য কনফিগার করা হয়।
শ্রীলঙ্কা PDPA আসলে কী প্রয়োজন করে
PDPA Sri Lanka-তে অবস্থিত ডেটা সাবজেক্টদের ব্যক্তিগত ডেটা প্রক্রিয়াকরণের ক্ষেত্রে প্রযোজ্য, কন্ট্রোলার বা প্রসেসর কোথায় অবস্থিত তা নির্বিশেষে, এবং Sri Lanka-তে প্রতিষ্ঠিত কন্ট্রোলার ও প্রসেসরদের ক্ষেত্রে ডেটা সাবজেক্টরা কোথায় আছে তা নির্বিশেষে। এক্সট্রাটেরিটোরিয়াল নাগাল GDPR আর্টিকেল ৩ প্রতিফলিত করে এবং মানে যে Sri Lanka-তে কোনো অফিস নেই কিন্তু শ্রীলঙ্কান পাঠক, অ্যাপ ইনস্টল বা অর্থ প্রদানকারী গ্রাহক রয়েছে এমন প্রকাশক সম্পূর্ণরূপে সুযোগের মধ্যে রয়েছে। ব্যক্তিগত ডেটা ব্যাপকভাবে একটি চিহ্নিত বা সনাক্তযোগ্য জীবিত প্রাকৃতিক ব্যক্তির সাথে সম্পর্কিত যেকোনো তথ্য হিসেবে সংজ্ঞায়িত করা হয়, বিশেষ-বিভাগের ডেটা যেমন বায়োমেট্রিক, জেনেটিক, আর্থিক, স্বাস্থ্য, জাতিগত, নৃতাত্ত্বিক, ধর্মীয় বিশ্বাস, রাজনৈতিক মতামত এবং অপরাধ রেকর্ড আরও কঠোর নিয়মের অধীনে।
আইনটি সাতটি মূল ডেটা সুরক্ষা নীতি, ছয়টি আইনগত প্রক্রিয়াকরণের ভিত্তি, ডেটা সাবজেক্ট অধিকারের স্ট্যান্ডার্ড স্লেট — অ্যাক্সেস, সংশোধন, মুছে ফেলা, সীমাবদ্ধতা, আপত্তি এবং প্রযুক্তিগতভাবে সম্ভব হলে ডেটা পোর্টেবিলিটি — এবং Data Protection Authority of Sri Lanka নামে একটি নিয়ন্ত্রক প্রতিষ্ঠা করে, যার নির্দেশনা জারি করার, প্রতিটি লঙ্ঘনের জন্য LKR ১০ মিলিয়ন পর্যন্ত প্রশাসনিক জরিমানা আরোপ করার এবং গুরুতর বিষয়গুলি ফৌজদারি বিচারের জন্য রেফার করার ক্ষমতা রয়েছে।
PDPA কীভাবে কুকি সম্মতি নির্দিষ্টভাবে পরিচালনা করে
PDPA কুকিগুলির উপর একটি পৃথক ePrivacy-স্টাইলের বিধান ধারণ করে না, যেভাবে EU-এর ePrivacy নির্দেশিকা করে। পরিবর্তে, এটি কুকি প্রক্রিয়াকরণকে সাধারণ GDPR-স্টাইলের সম্মতি কাঠামোতে অন্তর্ভুক্ত করে: সম্মতি আইনগত ভিত্তি হিসেবে নির্ভর করে এমন ব্যক্তিগত ডেটার যেকোনো প্রক্রিয়াকরণ একটি স্পষ্ট ইতিবাচক কাজের ভিত্তিতে প্রাপ্ত হতে হবে যার মাধ্যমে ডেটা সাবজেক্ট চুক্তি প্রকাশ করে — স্বাধীনভাবে দেওয়া, নির্দিষ্ট, অবহিত এবং দ্ব্যর্থহীন। DPA বৈশ্বিক প্রবণতার সাথে সামঞ্জস্যপূর্ণভাবে ধারাবাহিকভাবে নির্দেশ করেছে যে পূর্ব-চেক করা বাক্স, ব্রাউজিং চালিয়ে যাওয়ার ভাষা এবং বান্ডেলড সম্মতি ব্যানার আইনের অধীনে সম্মতির বৈধ রূপ নয়।
ব্যবহারিক প্রভাব হল একই অবস্থান যা EEA-তে কার্যরত প্রকাশকরা ইতিমধ্যে বজায় রাখে: কুকি এবং যেকোনো অনুরূপ স্টোরেজ-এবং-অ্যাক্সেস প্রযুক্তি যা পরিষেবা প্রদানের জন্য কঠোরভাবে প্রয়োজনীয় নয় তা ব্যবহারকারী সক্রিয়ভাবে সম্মতি দেওয়ার আগে সেট করা উচিত নয়। কঠোরভাবে-প্রয়োজনীয় কুকিগুলি — সেশন আইডেন্টিফায়ার, কার্ট বিষয়বস্তু, নিরাপত্তা টোকেন, লোড-ব্যালেন্সিং কুকি — সম্মতি ছাড়াই সেট করা যেতে পারে কারণ এগুলি ব্যবহারকারী সক্রিয়ভাবে অনুরোধ করা পরিষেবার সাথে যুক্ত বৈধ-স্বার্থ ভিত্তির অধীনে পড়ে। অ্যানালিটিক্স, বিজ্ঞাপন, ব্যক্তিগতকরণ, A/B পরীক্ষা, সেশন রিপ্লে এবং যেকোনো থার্ড-পার্টি ট্যাগ সহ বাকি সব কিছুতে পূর্ব সম্মতি প্রয়োজন।
PDPA কীভাবে GDPR থেকে আলাদা
ইন্টিগ্রেশন লেয়ারের জন্য তিনটি পার্থক্য গুরুত্বপূর্ণ। প্রথমত, PDPA-র আইনগত-ভিত্তি ক্যাটালগে বিজ্ঞাপন-পরিমাপ প্রক্রিয়াকরণের জন্য ইউরোপীয় প্রকাশকরা যে ফর্মে নির্ভর করে সেই স্বতন্ত্র বৈধ-স্বার্থ ভিত্তি অন্তর্ভুক্ত নয়। PDPA-র সমতুল্য সংকীর্ণ, একটি নথিভুক্ত ব্যালেন্সিং টেস্ট প্রয়োজন যা কন্ট্রোলারের প্রক্রিয়াকরণের রেকর্ডে দাখিল করা হয় এবং অনুরোধে DPA-কে উপলব্ধ করা হয়। দ্বিতীয়ত, PDPA-র ক্রস-বর্ডার ট্রান্সফার নিয়মগুলি DPA-কে গন্তব্য এখতিয়ার মনোনীত করতে প্রয়োজন করে এবং অমনোনীত এখতিয়ারে ট্রান্সফারগুলির জন্য হয় স্পষ্ট সম্মতি, DPA দ্বারা অনুমোদিত চুক্তিগত সুরক্ষা, বা সংকীর্ণ ব্যতিক্রমগুলির একটি প্রয়োজন। তৃতীয়ত, PDPA-র লঙ্ঘন বিজ্ঞপ্তির সময়রেখা উচ্চ-ঝুঁকির লঙ্ঘনের জন্য সংক্ষিপ্ত এবং নিম্ন-ঝুঁকির লঙ্ঘনের জন্য GDPR-এর সমতল ৭২-ঘণ্টার নিয়মের চেয়ে দীর্ঘ — কন্ট্রোলারদের অযথা বিলম্ব ছাড়াই এবং সম্ভব হলে ধাপে ধাপে কার্যকর সময়কালে DPA-র গাইডেন্স দ্বারা সংকুচিত একটি উইন্ডোর মধ্যে বিজ্ঞাপিত করতে হবে।
PDPA-র অধীনে একটি সম্মতিপূর্ণ কুকি ব্যানার কেমন দেখায়
প্রযুক্তিগত প্রয়োজনীয়তা ইতিমধ্যে প্রতিটি আধুনিক CMP উৎপাদন করে তার সাথে মিলিত হয়, কিন্তু লেবেলিং এবং সম্মতি লগ অবশ্যই Sri Lanka-র বিশেষত্ব প্রতিফলিত করতে হবে। প্রথম-স্তরের ব্যানার অবশ্যই ব্যবহারকারীকে একটি বাস্তব পছন্দ উপস্থাপন করতে হবে — গ্রহণ করুন, প্রত্যাখ্যান করুন, পরিচালনা করুন — যেখানে প্রত্যাখ্যান বিকল্পটি গ্রহণ বিকল্পের মতো কমপক্ষে বিশিষ্ট। বান্ডেলড সম্মতি নিষিদ্ধ, তাই দ্বিতীয় স্তর অবশ্যই কমপক্ষে অ্যানালিটিক্স, বিজ্ঞাপন এবং যেকোনো ক্রস-বর্ডার-ট্রান্সফার-নির্ভর প্রক্রিয়াকরণ কভার করে প্রতি-বিভাগ অপ্ট-ইনের অনুমতি দিতে হবে। বিভাগগুলি অবশ্যই ডিফল্টরূপে বন্ধ করা হতে হবে; ব্যানার অবশ্যই ব্যবহারকারী সক্রিয়ভাবে সেগুলি চালু না করা পর্যন্ত ট্যাগ লোড করবে না।
ব্যানার থেকে পৃষ্ঠভূমিতে আসা গোপনীয়তা নোটিশটি অবশ্যই কন্ট্রোলার, সংগৃহীত ব্যক্তিগত ডেটার বিভাগগুলি, প্রতিটি প্রক্রিয়াকরণের উদ্দেশ্যের জন্য আইনগত ভিত্তি, ডেটা-ধারণ সময়কাল, Sri Lanka-র বাইরে থেকে পরিচালিত সাব-প্রসেসর সহ প্রাপকদের বিভাগগুলি, PDPA-র অধীনে ডেটা সাবজেক্টের অধিকার এবং অভিযোগের জন্য DPA-র যোগাযোগের বিবরণ চিহ্নিত করতে হবে। GDPR-এর আর্টিকেল ১৩ মান পূরণকারী একটি নোটিশ উল্লেখযোগ্যভাবে ওভারল্যাপ করবে, কিন্তু DPA-যোগাযোগ এবং ক্রস-বর্ডার-ট্রান্সফার-এখতিয়ার লাইনগুলি স্পষ্টভাবে যোগ করতে হবে।
DPA পর্যালোচনায় উত্তীর্ণ ইন্টিগ্রেশন প্যাটার্ন
রেফারেন্স ইমপ্লিমেন্টেশনে চারটি চলমান অংশ রয়েছে। প্রথমটি হল একটি CMP যা প্রতি-বিভাগ, ডিফল্ট-বন্ধ অপ্ট-ইন সমর্থন করে এবং একটি কাঠামোবদ্ধ সম্মতি স্ট্রিং-এর মাধ্যমে ব্যবহারকারীর পছন্দ প্রকাশ করে যা প্রকাশক একটি সম্মতি লগে স্থায়ী করতে পারে। দ্বিতীয়টি হল একটি ট্যাগ-লোডিং লেয়ার — সাধারণত একটি সার্ভার-সাইড ট্যাগ ম্যানেজার বা CMP-নেটিভ স্ক্রিপ্ট গেট — যা কোনো অ-প্রয়োজনীয় কুকি সেট করার অনুমতি দেওয়ার আগে কঠোরভাবে সম্মতির অবস্থা প্রয়োগ করে। তৃতীয়টি হল একটি সার্ভার-সাইড সম্মতি লগ যা প্রতিটি সম্মতি ইভেন্টের জন্য বিভাগ অনুযায়ী ব্যবহারকারীর পছন্দ, টাইমস্ট্যাম্প, সম্মতি ব্যানার সংস্করণ, IP ঠিকানা (ছাঁটা বা হ্যাশ করা যদি কন্ট্রোলার সিদ্ধান্ত নেয় যে এটি তার ডেটা-মিনিমাইজেশন বিশ্লেষণ সন্তুষ্ট করে) এবং মঞ্জুরিকৃত বনাম প্রত্যাখ্যাত বিভাগগুলি রেকর্ড করে। চতুর্থটি হল একটি প্রত্যাহার পথ যা অন্তত মূল মঞ্জুরের মতো সহজ — ফুটারে একটি স্থায়ী ব্যানার পুনরায়-খোলার লিঙ্ক হল সেই প্যাটার্ন যা DPA আন্তর্জাতিক সর্বোত্তম অনুশীলনের রেফারেন্স দিয়ে নীরবে অনুমোদন করেছে।
- অ্যানালিটিক্স ট্যাগগুলি শুধুমাত্র অ্যানালিটিক্স বিভাগ মঞ্জুরির পরে লোড করতে হবে; Google Analytics 4, Adobe Analytics, Matomo, Amplitude এবং Mixpanel সবই একটি সম্মতি-গেটেড কনফিগারেশন সমর্থন করে যা গেট ফ্লিপ হওয়ার আগে যেকোনো কুকি লেখা প্রতিরোধ করে।
- বিজ্ঞাপন ট্যাগগুলি — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, প্রোগ্রামাটিক হেডার বিডার — একইভাবে গেটেড করতে হবে এবং যেখানে বিজ্ঞাপন অংশীদার Sri Lanka-র বাইরে ডেটা ট্রান্সফার করে, অংশীদারের গন্তব্য এখতিয়ার গোপনীয়তা নোটিশে প্রদর্শিত হতে হবে।
- সেশন-রিপ্লে এবং হিটম্যাপ টুলস — Hotjar, Microsoft Clarity, FullStory — একটি পৃথক, কঠোর গেটের পিছনে থাকতে হবে কারণ DPA, EDPB-র সাথে সামঞ্জস্যপূর্ণভাবে, ইনপুট ক্ষেত্রগুলির রেন্ডারিংকে এমন একটি বিভাগ হিসেবে চিহ্নিত করেছে যার জন্য স্পষ্ট এবং বিস্তারিত সম্মতি প্রয়োজন।
- ক্রস-বর্ডার ট্রান্সফার প্রকাশগুলি অবশ্যই প্রতিটি প্রাপক এখতিয়ারের জন্য নির্দিষ্ট হতে হবে, সাধারণ নয়। DPA নির্দেশ করেছে যে ডেটা বিশ্বব্যাপী পরিষেবা প্রদানকারীদের দ্বারা প্রক্রিয়া করা হয় একটি পর্যাপ্ত প্রকাশ নয়।
২০২৬ সালের জন্য যাচাইকরণ এবং নিরীক্ষার অবস্থান
২০২৬ সালে একটি প্রতিরক্ষাযোগ্য শ্রীলঙ্কান ডিপ্লয়মেন্টকে চারটি চেক পাস করতে হবে। প্রথমত, শ্রীলঙ্কান IP ঠিকানা থেকে পরিষেবা দেওয়া একটি পরিষ্কার ব্রাউজার সেশন অবশ্যই ব্যানারে কোনো পদক্ষেপ নেওয়ার আগে শূন্য অ-প্রয়োজনীয় কুকি উৎপাদন করতে হবে। দ্বিতীয়ত, সব-প্রত্যাখ্যান পথ অবশ্যই নো-অ্যাকশন সেশনের মতো একই অবস্থানের ফলাফল দিতে হবে — কোনো অ্যানালিটিক্স ট্যাগ নেই, কোনো বিজ্ঞাপন ট্যাগ নেই, কোনো সেশন-রিপ্লে স্ক্রিপ্ট নেই, শুধুমাত্র কঠোরভাবে-প্রয়োজনীয় সেট। তৃতীয়ত, একটি সব-গ্রহণ প্রবাহ অবশ্যই ব্যবহারকারী যে ট্যাগগুলিতে সম্মতি দিয়েছে তা উৎপাদন করতে হবে এবং সম্মতি লগে অবশ্যই সংশ্লিষ্ট রেকর্ড থাকতে হবে। চতুর্থত, একটি প্রত্যাহার প্রবাহ অবশ্যই অবিলম্বে আরও ট্যাগ ফায়ার বন্ধ করতে হবে, সম্মতিকৃত সেশনে সেট করা কুকিগুলির মেয়াদ শেষ করতে হবে এবং প্রাপক অংশীদারদের যে কোনো ডাউনস্ট্রিম ডিলিশন বা অপ্ট-আউট সংকেত ট্রিগার করতে হবে।
অডিট-ট্রেইলের প্রয়োজনীয়তা হল যা ২০২৬ সালে PDPA-কে সবচেয়ে বেশি আলাদা করে। DPA গাইডেন্স জারি করেছে যা নির্দেশ করে যে কন্ট্রোলারদের অনুরোধে, যেকোনো নির্দিষ্ট প্রক্রিয়াকরণ কার্যকলাপকে অনুমোদিত করা নির্দিষ্ট সম্মতি রেকর্ড উৎপাদন করতে সক্ষম হওয়া উচিত। এর মানে হল সম্মতি লগ অবশ্যই ব্যবহারকারী আইডেন্টিফায়ার বা সেশন আইডেন্টিফায়ার দ্বারা কোয়েরিযোগ্য, কন্ট্রোলার তার ধারণ সময়সূচিতে নথিভুক্ত একটি সময়ের জন্য ধরে রাখা এবং একটি কাঠামোগত ফরম্যাটে রপ্তানিযোগ্য হতে হবে। একটি সার্ভার-সাইড লগ সহ সঠিকভাবে কনফিগার করা CMP, একটি ট্যাগ-লোডিং লেয়ারের সাথে যুক্ত যা সম্মতির অবস্থা প্রয়োগ করে এবং একটি গোপনীয়তা নোটিশ যা প্রতিটি ক্রস-বর্ডার-ট্রান্সফার গন্তব্যের নাম দেয়, তা হল যা শ্রীলঙ্কার PDPA-কে একটি নিয়ন্ত্রক অজানা থেকে একটি প্রকাশকের বৈশ্বিক সম্মতির অবস্থানের একটি প্রতিরক্ষাযোগ্য অংশে রূপান্তরিত করে।