Overholdelsesguide til cookie-samtykke under Sri Lankas PDPA: Act No. 9 of 2022 i kraft for udgivere i 2026
Sri Lanka brugte mere end et årti i den lovgivningsmæssige proces, inden loven om beskyttelse af personoplysninger endelig blev vedtaget som Act No. 9 of 2022 og certificeret af Speaker den 19 March 2022. Loven anvender den brede arkitektur, der er blevet den globale standard siden GDPR — formålsbegrænsning, retsgrundlag, den registreredes rettigheder, ansvarlighed, kontroller for grænseoverskridende overførsler, underretning om brud og en uafhængig regulator med beføjelser til at pålægge administrative sanktioner — men indlejrer dem i et regime, der er skræddersyet til Sydasiens kommercielle og forfatningsmæssige realiteter. Loven trådte gradvist i kraft fra den 17 March 2023, med de materielle forpligtelser, der aktiveres 18 måneder senere, og håndhævelsesbestemmelserne, der implementeres progressivt i løbet af 2025 og ind i 2026. For udgivere og enhver anden enhed, der behandler personoplysninger om personer i Sri Lanka, er konsekvensen direkte: en cookie-samtykkeholdning, der tilfredsstillede det tidligere lappetæppe af sektorspecifikke regler, er ikke længere tilstrækkelig, og en holdning, der tilfredsstiller GDPR, vil kun tilfredsstille PDPA, hvis integrationen er konfigureret til de specifikke punkter, hvor de to regimer afviger.
Hvad Sri Lankas PDPA faktisk kræver
PDPA finder anvendelse på behandling af personoplysninger om registrerede, der befinder sig i Sri Lanka, uanset hvor den dataansvarlige eller databehandleren befinder sig, og på dataansvarlige og databehandlere etableret i Sri Lanka uanset, hvor de registrerede befinder sig. Den ekstraterritoriale rækkevidde afspejler GDPR artikel 3 og betyder, at en udgiver uden srilankansk kontor, men med srilankanske læsere, app-installationer eller betalende kunder, er direkte inden for anvendelsesområdet. Personoplysninger er bredt defineret som enhver information, der vedrører en identificeret eller identificerbar levende fysisk person, med særlige kategorier af data — herunder biometriske, genetiske, finansielle, sundheds-, race-, etnicitets-, religiøse overbevisnings-, politiske menings- og straffeattest-data — behandlet under strengere regler.
Loven etablerer syv grundlæggende databeskyttelsesprincipper, seks lovlige behandlingsgrundlag, standardpakken af registreredes rettigheder — adgang, berigtigelse, sletning, begrænsning, indsigelse og dataportabilitet, hvor det er teknisk muligt — og en regulator, Data Protection Authority of Sri Lanka, med beføjelse til at udstede direktiver, pålægge administrative sanktioner på op til LKR 10 millioner pr. overtrædelse og henvise alvorlige sager til strafferetlig forfølgelse.
Hvordan PDPA behandler cookie-samtykke specifikt
PDPA indeholder ikke en separat ePrivacy-lignende bestemmelse om cookies på den måde, EU's ePrivacy-direktiv gør. I stedet foldes cookie-behandling ind i det generelle GDPR-lignende samtykkegrundlag: enhver behandling af personoplysninger, der beror på samtykke som retsgrundlag, skal indhentes på grundlag af en klar bekræftende handling, hvorved den registrerede giver udtryk for aftale — frit givet, specifikt, informeret og utvetydigt. DPA har konsekvent i overensstemmelse med den globale tendens angivet, at prætjekkede bokse, sprog om fortsat browsing og bundtede samtykkebannere ikke er gyldige former for samtykke i henhold til loven.
Den praktiske effekt er den samme holdning, som udgivere, der opererer i EØS, allerede opretholder: cookies og enhver analog lagrings- og adgangsteknologi, der ikke er strengt nødvendig for at levere tjenesten, må ikke indstilles, inden brugeren aktivt har givet samtykke til dem. Strengt nødvendige cookies — session-id'er, kurv-indhold, sikkerhedstokens, load-balancing cookies — kan indstilles uden samtykke, fordi de falder ind under det legitime interessegrund, der er knyttet til den tjeneste, som brugeren aktivt har anmodet om. Alt andet, herunder analytics, reklame, personalisering, A/B-test, sessionafspilning og ethvert tredjepartstag, kræver forudgående samtykke.
Hvordan PDPA adskiller sig fra GDPR
Tre forskelle er vigtige for integrationslaget. For det første indeholder PDPA's katalog over retsgrundlag et grundlag om offentlig interesse og et om retlig forpligtelse, der svarer tæt til GDPR artikel 6, men indeholder ikke det selvstændige grundlag om legitim interesse i den form, europæiske udgivere benytter til reklamemåling. PDPA's ækvivalent er snævrere og kræver en dokumenteret afvejningstest, der arkiveres med den dataansvarliges behandlingsregister og stilles til rådighed for DPA på anmodning. For det andet kræver PDPA's regler for grænseoverskridende overførsler, at DPA udpeger destinationsjurisdiktioner, og overførsler til ikke-udpegede jurisdiktioner kræver enten udtrykkeligt samtykke, kontraktlige garantier godkendt af DPA eller en af de snævre undtagelser. For det tredje er PDPA's tidslinje for underretning om brud kortere for høj-risiko-brud og længere for lav-risiko-brud end GDPR's flade 72-timers-regel — dataansvarlige skal underrette uden unødig forsinkelse og, hvor det er muligt, inden for et vindue, som DPA's vejledning har strammet i løbet af den trinsvis-ikrafttrædelsesperiode.
Hvordan et kompatibelt cookie-banner ser ud under PDPA
De tekniske krav konvergerer med, hvad enhver moderne CMP allerede producerer, men mærkning og samtykkelog skal afspejle srilankanske specificiteters. Første-lags-banneret skal præsentere brugeren for et reelt valg — accepter, afvis, administrer — hvor afvis-indstillingen er mindst lige så fremtrædende som accepter-indstillingen. Bundtet samtykke er forbudt, så det andet lag skal tillade per-kategori-tilmelding, der som minimum dækker analytics, reklame og enhver behandling, der er afhængig af grænseoverskridende overførsler. Kategorier skal som standard indstilles til fra; banneret må ikke indlæse tags, før brugeren aktivt har slået dem til.
Fortrolighedsmeddelelsen, der åbnes fra banneret, skal identificere den dataansvarlige, kategorierne af indsamlede personoplysninger, retsgrundlaget for hvert behandlingsformål, dataopbevaringsperioden, kategorierne af modtagere herunder underdatabehandlere, der opererer uden for Sri Lanka, den registreredes rettigheder i henhold til PDPA og DPA's kontaktoplysninger for klager. En meddelelse, der opfylder GDPR artikel 13-standarden, vil i væsentlig grad overlappe, men DPA-kontakt- og den grænseoverskridende overførsels-jurisdiktions-linjerne skal tilføjes eksplicit.
Det integrationsmønster, der består en DPA-gennemgang
Referenceimplementeringen har fire bevægelige dele. Den første er en CMP, der understøtter per-kategori, standard-fra tilmelding og eksponerer brugerens valg via en struktureret samtykkesstreng, som udgiveren kan fastholde i en samtykkelog. Den anden er et tag-indlæsningslag — typisk en serverside-tagmanager eller et CMP-nativity-script-port — der strengt håndhæver samtykketilstand, inden det tillader, at et ikke-essentielt cookie indstilles. Den tredje er en serverside-samtykkelog, der for hver samtykkehændelse registrerer brugerens valg per kategori, tidsstempel, samtykkebanner-version, IP-adresse (afkortet eller hashed, hvis den dataansvarlige har besluttet, at dette opfylder dens dataminimeringssanalyse) og de tildelte versus afviste kategorier. Den fjerde er en tilbagetrækningssti, der er mindst lige så let som den oprindelige tildeling — et permanent banner-genåbningslink i sidefoden er det mønster, DPA stiltiende har godkendt med reference til international bedste praksis.
- Analytics-tags må kun indlæses, efter at analytics-kategorien er tildelt; Google Analytics 4, Adobe Analytics, Matomo, Amplitude og Mixpanel understøtter alle en samtykkegated konfiguration, der forhindrer enhver cookie-skrivning, inden porten åbnes.
- Reklame-tags — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatiske header-biddere — skal tilsvarende gates, og hvor reklamepartneren overfører data uden for Sri Lanka, skal partnerens destinationsjurisdiktion fremgå af fortrolighedsmeddelelsen.
- Sessionsafspilnings- og heatmap-værktøjer — Hotjar, Microsoft Clarity, FullStory — skal ligge bag en separat, strengere port, fordi DPA i overensstemmelse med EDPB har markeret gengivelse af inputfelter som en kategori, der kræver udtrykkelig og granuleret samtykke.
- Oplysninger om grænseoverskridende overførsler skal være specifikke for hver modtagerjurisdiktion, ikke generiske. DPA har angivet, at data behandles af tjenesteudbydere globalt ikke er en tilstrækkelig oplysning.
Validerings- og auditposition for 2026
En forsvarlig srilankansk implementering i 2026 skal bestå fire kontroller. For det første skal en ren browsersession leveret fra en srilankansk IP-adresse producere nul ikke-essentielle cookies, inden banneret er aktiveret. For det andet skal afvis-alle-stien resultere i den samme holdning som en session uden handling — ingen analytics-tags, ingen reklame-tags, ingen sessionsafspilningsscripts, kun det strengt nødvendige sæt. For det tredje skal et accepter-alle-flow producere de tags, brugeren har samtykket til, og samtykkologgen skal indeholde den tilsvarende post. For det fjerde skal et tilbagetrækningsflow øjeblikkeligt stoppe yderligere tag-afviklinger, udløbe cookies indstillet i løbet af den samtykkede session og udløse eventuelle downstream sletnings- eller frameldings-signaler, som modtagerpartnerne kræver.
Krav til auditspor er det, der gør PDPA mest markant i 2026. DPA har udstedt vejledning om, at dataansvarlige bør kunne fremlægge på anmodning den specifikke samtykkepost, der autoriserede en given behandlingsaktivitet. Det betyder, at samtykkologgen skal kunne forespørges efter bruger-id eller sessions-id, opbevares i en periode, som den dataansvarlige har dokumenteret i sin opbevaringsplan, og eksporteres i et struktureret format. En korrekt konfigureret CMP med en serverside-log parret med et tag-indlæsningslag, der håndhæver samtykketilstand og en fortrolighedsmeddelelse, der navngiver hvert grænseoverskridende overførselsdestination, er det, der omdanner Sri Lankas PDPA fra et regulatorisk ukendt til en forsvarlig del af en udgiver globale samtykkeposition.