Průvodce souladem se souhlasem s cookies podle PDPA Srí Lanky: Act No. 9 of 2022 platné pro vydavatele v roce 2026
Srí Lanka strávila více než desetiletí v legislativním procesu, než byl její zákon o ochraně osobních údajů konečně uzákoněn jako Act No. 9 of 2022, certifikovaný Speaker dne 19 March 2022. Zákon přijímá širokou architekturu, která se od GDPR stala globálním standardem — omezení účelu, zákonný základ, práva subjektů údajů, odpovědnost, kontroly přeshraničního přenosu, oznamování narušení a nezávislý regulátor s pravomocemi správních sankcí — ale zasazuje je do režimu přizpůsobeného obchodním a ústavním reáliím jižní Asie. Zákon vstoupil v platnost postupně od 17 March 2023, přičemž věcné povinnosti se aktivovaly o 18 měsíců později a ustanovení o vymáhání byla postupně zaváděna v průběhu roku 2025 a do roku 2026. Pro vydavatele a jakýkoli jiný subjekt, který zpracovává osobní údaje fyzických osob na Srí Lance, je implikace přímá: postoj ke cookies souhlasu, který vyhovoval předchozí mozaice sektorových pravidel, již nestačí, a postoj, který vyhovuje GDPR, vyhoví PDPA pouze tehdy, pokud je integrace nakonfigurována pro konkrétní body, kde se oba režimy rozcházejí.
Co vlastně PDPA Srí Lanky vyžaduje
PDPA se vztahuje na zpracování osobních údajů subjektů údajů nacházejících se na Srí Lance bez ohledu na to, kde se správce nebo zpracovatel nachází, a na správce a zpracovatele usazené na Srí Lance bez ohledu na to, kde se subjekty údajů nacházejí. Extrateritoriální dosah odráží čl. 3 GDPR a znamená, že vydavatel bez srílanské kanceláře, ale se srílanskými čtenáři, instalacemi aplikací nebo platícími zákazníky je přímo v rozsahu. Osobní údaje jsou definovány široce jako jakékoli informace týkající se identifikované nebo identifikovatelné živé fyzické osoby, přičemž údaje zvláštních kategorií — včetně biometrických, genetických, finančních, zdravotních, rasových, etnických, náboženských přesvědčení, politických názorů a záznamů o trestné činnosti — podléhají přísnějším pravidlům.
Zákon stanoví sedm základních zásad ochrany údajů, šest zákonných základů pro zpracování, standardní soubor práv subjektů údajů — přístup, oprava, výmaz, omezení, námitka a přenositelnost údajů tam, kde je to technicky proveditelné — a regulátora, Data Protection Authority of Sri Lanka, s pravomocí vydávat směrnice, ukládat správní sankce až do výše LKR 10 milionů za porušení a postoupit závažné věci k trestnímu stíhání.
Jak PDPA konkrétně nakládá se souhlasem s cookies
PDPA neobsahuje samostatné ustanovení ve stylu ePrivacy o cookies, způsobem, jakým to dělá směrnice EU ePrivacy. Místo toho zahrnuje zpracování cookies do obecného rámce souhlasu ve stylu GDPR: jakékoli zpracování osobních údajů, které se opírá o souhlas jako zákonný základ, musí být získáno na základě jasného kladného úkonu, jímž subjekt údajů vyjadřuje souhlas — svobodně udělený, konkrétní, informovaný a jednoznačný. DPA soustavně v souladu s globálním trendem uvádí, že předem zaškrtnutá políčka, jazyk pokračování v procházení a bannerů sdruženého souhlasu nejsou platnými formami souhlasu podle zákona.
Praktický účinek je stejný postoj, který vydavatelé působící v EHP již udržují: cookies a jakékoli analogické technologie ukládání a přístupu, které nejsou nezbytně nutné pro poskytování služby, nesmí být nastaveny, dokud s nimi uživatel aktivně nesouhlasil. Nezbytně nutné cookies — identifikátory relací, obsah košíku, bezpečnostní tokeny, cookies pro vyrovnávání zátěže — mohou být nastaveny bez souhlasu, protože spadají pod zákonný základ oprávněného zájmu vázaný na službu, o kterou uživatel aktivně požádal. Vše ostatní, včetně analýzy, reklamy, personalizace, A/B testování, přehrávání relací a jakéhokoli tagu třetí strany, vyžaduje předchozí souhlas.
Jak se PDPA liší od GDPR
Tři rozdíly jsou důležité pro integrační vrstvu. Za prvé, katalog zákonných základů PDPA zahrnuje zákonné základy veřejného zájmu a zákonné povinnosti, které odpovídají čl. 6 GDPR, ale nezahrnuje samostatný základ oprávněného zájmu ve formě, na kterou se evropští vydavatelé spoléhají pro zpracování měření reklam. Ekvivalent PDPA je užší a vyžaduje zdokumentovaný vyvažovací test, který je uložen v záznamu zpracování správce a zpřístupněn DPA na vyžádání. Za druhé, pravidla přeshraničního přenosu PDPA vyžadují, aby DPA určoval cílové jurisdikce, a přenosy do neurčených jurisdikcí vyžadují buď výslovný souhlas, smluvní záruky schválené DPA, nebo jednu z úzkých výjimek. Za třetí, lhůta pro oznamování narušení PDPA je kratší pro narušení s vysokým rizikem a delší pro narušení s nízkým rizikem než pevné pravidlo 72 hodin GDPR — správci musí oznámit bez zbytečného odkladu a pokud je to proveditelné, v okně, které pokyny DPA zpřísnily v průběhu etapového zahájení.
Jak vypadá kompatibilní banner cookies podle PDPA
Technické požadavky konvergují s tím, co každý moderní CMP již produkuje, ale označení a protokol souhlasu musí odrážet specifika Srí Lanky. Banner první vrstvy musí uživateli představit skutečnou volbu — přijmout, odmítnout, spravovat — kde možnost odmítnutí je alespoň stejně prominentní jako možnost přijetí. Sdružený souhlas je zakázán, takže druhá vrstva musí umožňovat přihlášení podle kategorií pokrývajících minimálně analýzu, reklamu a jakékoli zpracování závislé na přeshraničním přenosu. Kategorie musí být ve výchozím nastavení vypnuty; banner nesmí načítat tagy, dokud je uživatel aktivně nezapnul.
Oznámení o ochraně soukromí zobrazené z banneru musí identifikovat správce, kategorie shromažďovaných osobních údajů, zákonný základ pro každý účel zpracování, dobu uchovávání údajů, kategorie příjemců včetně zpracovatelů působících mimo Srí Lanku, práva subjektu údajů podle PDPA a kontaktní údaje DPA pro stížnosti. Oznámení splňující standard čl. 13 GDPR se bude v podstatě překrývat, ale řádky kontaktu DPA a jurisdikce přeshraničního přenosu musí být explicitně doplněny.
Integrační vzor, který projde přezkoumáním DPA
Referenční implementace má čtyři pohyblivé části. První je CMP, která podporuje přihlášení podle kategorií s výchozím nastavením vypnuto a zpřístupňuje volbu uživatele prostřednictvím strukturovaného řetězce souhlasu, který může vydavatel uchovávat v protokolu souhlasu. Druhá je vrstva načítání tagů — obvykle správce tagů na straně serveru nebo nativní skriptová brána CMP — která přísně prosazuje stav souhlasu před povolením nastavení jakéhokoli nepodstatného souboru cookie. Třetí je protokol souhlasu na straně serveru, který pro každou událost souhlasu zaznamenává volbu uživatele podle kategorie, časové razítko, verzi banneru souhlasu, IP adresu (zkrácenou nebo zahashovanou, pokud se správce rozhodl, že to splňuje jeho analýzu minimalizace údajů) a udělené versus odmítnuté kategorie. Čtvrtá je cesta pro odvolání, která je alespoň stejně snadná jako původní udělení — trvalý odkaz pro opětovné otevření banneru v zápatí je vzor, který DPA tiše schválil s odkazem na mezinárodní osvědčené postupy.
- Tagy analýzy musí být načteny pouze po udělení kategorie analýzy; Google Analytics 4, Adobe Analytics, Matomo, Amplitude a Mixpanel všechny podporují konfiguraci omezenou souhlasem, která zabraňuje jakémukoli zápisu cookies před přepnutím brány.
- Reklamní tagy — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programatičtí nabízející v záhlaví — musí být podobně omezeny a tam, kde reklamní partner přenáší data mimo Srí Lanku, musí cílová jurisdikce partnera být uvedena v oznámení o ochraně soukromí.
- Nástroje pro přehrávání relací a tepelné mapy — Hotjar, Microsoft Clarity, FullStory — musí být za samostatnou, přísnější branou, protože DPA v souladu s EDPB označil vykreslování vstupních polí jako kategorii vyžadující výslovný a podrobný souhlas.
- Sdělení o přeshraničním přenosu musí být specifická pro každou cílovou jurisdikci, nikoli obecná. DPA uvedl, že data jsou zpracovávána poskytovateli služeb po celém světě není dostatečným sdělením.
Validační a auditní postoj pro rok 2026
Obhajitelné srílanské nasazení v roce 2026 musí projít čtyřmi kontrolami. Za prvé, čistá relace prohlížeče obsluhovaná ze srílanské IP adresy musí před aktivací banneru produkovat nulové nepodstatné cookies. Za druhé, cesta odmítnutí vše musí vést ke stejnému postoji jako relace bez akce — žádné analytické tagy, žádné reklamní tagy, žádné skripty přehrávání relací, pouze nezbytně nutná sada. Za třetí, průběh přijetí vše musí produkovat tagy, se kterými uživatel souhlasil, a protokol souhlasu musí obsahovat odpovídající záznam. Za čtvrté, průběh odvolání musí okamžitě zastavit další aktivaci tagů, vypršet cookies nastavené během souhlasné relace a spustit jakékoli následné signály mazání nebo odhlášení, které příjemci partneři vyžadují.
Požadavek auditní stopy je to, co PDPA v roce 2026 nejvíce odlišuje. DPA vydal pokyny, které uvádějí, že správci by měli být schopni na vyžádání předložit konkrétní záznam souhlasu, který autorizoval jakoukoli danou zpracovatelskou činnost. To znamená, že protokol souhlasu musí být dotazovatelný podle identifikátoru uživatele nebo identifikátoru relace, uchovávaný po dobu, kterou správce zdokumentoval ve svém harmonogramu uchovávání, a exportovatelný ve strukturovaném formátu. Správně nakonfigurovaný CMP se serverovým protokolem, spárovaný s vrstvou načítání tagů, která prosazuje stav souhlasu, a oznámením o ochraně soukromí, které jmenuje každý cíl přeshraničního přenosu, je to, co přeměňuje PDPA Srí Lanky z regulační neznámé na obhajitelnou část globálního postoje souhlasu vydavatele.