Οδηγός συμμόρφωσης για τη συγκατάθεση cookies βάσει της PDPA της Σρι Λάνκα: Act No. 9 of 2022 σε ισχύ για εκδότες το 2026
Η Σρι Λάνκα πέρασε περισσότερο από μια δεκαετία στη νομοθετική διαδικασία πριν ο Νόμος Προστασίας Προσωπικών Δεδομένων θεσπιστεί τελικά ως Act No. 9 of 2022, πιστοποιηθείς από τον Speaker στις 19 March 2022. Ο νόμος υιοθετεί την ευρεία αρχιτεκτονική που έχει γίνει παγκόσμιο πρότυπο από το GDPR — περιορισμός σκοπού, νομική βάση, δικαιώματα υποκειμένων δεδομένων, λογοδοσία, έλεγχοι διασυνοριακής μεταφοράς, γνωστοποίηση παραβιάσεων και ανεξάρτητος ρυθμιστής με εξουσίες διοικητικών κυρώσεων — αλλά τα ενσωματώνει σε ένα καθεστώς προσαρμοσμένο στις εμπορικές και συνταγματικές πραγματικότητες της Νότιας Ασίας. Ο νόμος τέθηκε σε ισχύ σταδιακά από τις 17 March 2023, με τις ουσιαστικές υποχρεώσεις να ενεργοποιούνται 18 μήνες αργότερα και τις διατάξεις επιβολής να εφαρμόζονται προοδευτικά κατά τη διάρκεια του 2025 και μέσα στο 2026. Για τους εκδότες και οποιαδήποτε άλλη οντότητα που επεξεργάζεται προσωπικά δεδομένα ατόμων στη Sri Lanka, η συνέπεια είναι άμεση: μια θέση συγκατάθεσης cookies που ικανοποιούσε το προηγούμενο παρμπεχάζι τομεακών κανόνων δεν είναι πλέον επαρκής, και μια θέση που ικανοποιεί το GDPR θα ικανοποιήσει την PDPA μόνον εφόσον η ενσωμάτωση είναι διαμορφωμένη για τα συγκεκριμένα σημεία όπου τα δύο καθεστώτα αποκλίνουν.
Τι απαιτεί πράγματι η PDPA της Σρι Λάνκα
Η PDPA εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων υποκειμένων που βρίσκονται στη Sri Lanka, ανεξάρτητα από τη θέση του υπευθύνου επεξεργασίας ή του εκτελούντος, και σε υπευθύνους επεξεργασίας και εκτελούντες εγκατεστημένους στη Sri Lanka ανεξάρτητα από τη θέση των υποκειμένων. Η εξωεδαφική εμβέλεια αντικατοπτρίζει το άρθρο 3 GDPR και σημαίνει ότι ένας εκδότης χωρίς γραφείο στη Sri Lanka αλλά με σριλανκέζους αναγνώστες, εγκαταστάσεις εφαρμογών ή πληρώνοντες πελάτες εμπίπτει άμεσα στο πεδίο εφαρμογής. Τα προσωπικά δεδομένα ορίζονται ευρέως ως οποιαδήποτε πληροφορία που αφορά ένα ταυτοποιημένο ή ταυτοποιήσιμο ζωντανό φυσικό πρόσωπο, με δεδομένα ειδικής κατηγορίας — συμπεριλαμβανομένων βιομετρικών, γενετικών, οικονομικών, υγείας, φυλετικών, εθνοτικών, θρησκευτικών πεποιθήσεων, πολιτικών απόψεων και ποινικών μητρώων — να αντιμετωπίζονται με αυστηρότερους κανόνες.
Ο νόμος θεσπίζει επτά βασικές αρχές προστασίας δεδομένων, έξι νόμιμες βάσεις για την επεξεργασία, το τυπικό σύνολο δικαιωμάτων υποκειμένων δεδομένων — πρόσβαση, διόρθωση, διαγραφή, περιορισμός, εναντίωση και φορητότητα δεδομένων όπου είναι τεχνικά εφικτό — και έναν ρυθμιστή, την Data Protection Authority of Sri Lanka, με εξουσία να εκδίδει οδηγίες, να επιβάλλει διοικητικές κυρώσεις έως LKR 10 εκατομμύρια ανά παραβίαση και να παραπέμπει σοβαρά ζητήματα σε ποινική δίωξη.
Πώς η PDPA αντιμετωπίζει ειδικά τη συγκατάθεση cookies
Η PDPA δεν περιέχει ξεχωριστή διάταξη τύπου ePrivacy για τα cookies, με τον τρόπο που το κάνει η Οδηγία ePrivacy της ΕΕ. Αντ' αυτού, εντάσσει την επεξεργασία cookies στο γενικό πλαίσιο συγκατάθεσης τύπου GDPR: οποιαδήποτε επεξεργασία προσωπικών δεδομένων που βασίζεται στη συγκατάθεση ως νομική βάση πρέπει να λαμβάνεται βάσει σαφούς καταφατικής ενέργειας με την οποία το υποκείμενο εκφράζει συμφωνία — ελεύθερα παρεχόμενη, ειδική, εν γνώσει και αδιαμφισβήτητη. Η DPA έχει υποδείξει, σύμφωνα με την παγκόσμια τάση, ότι προεπιλεγμένα πλαίσια, γλώσσα συνέχισης περιήγησης και banner δεσμευμένης συγκατάθεσης δεν αποτελούν έγκυρες μορφές συγκατάθεσης βάσει του νόμου.
Η πρακτική συνέπεια είναι η ίδια θέση που διατηρούν ήδη οι εκδότες που δραστηριοποιούνται στον ΕΟΧ: cookies και παρεμφερείς τεχνολογίες αποθήκευσης και πρόσβασης που δεν είναι απολύτως αναγκαίες για την παροχή της υπηρεσίας δεν πρέπει να ορίζονται πριν ο χρήστης δώσει ενεργά τη συγκατάθεσή του. Τα απολύτως αναγκαία cookies — αναγνωριστικά συνεδρίας, περιεχόμενα καλαθιού, διακριτικά ασφαλείας, cookies εξισορρόπησης φορτίου — μπορούν να οριστούν χωρίς συγκατάθεση γιατί εμπίπτουν στη βάση έννομου συμφέροντος που συνδέεται με την υπηρεσία που ο χρήστης έχει ενεργά ζητήσει. Όλα τα άλλα, συμπεριλαμβανομένων της ανάλυσης, της διαφήμισης, της εξατομίκευσης, του A/B testing, της επανάληψης συνεδρίας και οποιασδήποτε ετικέτας τρίτου μέρους, απαιτεί προηγούμενη συγκατάθεση.
Πώς διαφέρει η PDPA από το GDPR
Τρεις διαφορές έχουν σημασία για το επίπεδο ολοκλήρωσης. Πρώτον, ο κατάλογος νόμιμων βάσεων της PDPA περιλαμβάνει μια βάση δημόσιου συμφέροντος και μια βάση νομικής υποχρέωσης που αντιστοιχούν στο άρθρο 6 GDPR, αλλά δεν περιλαμβάνει την αυτόνομη βάση έννομου συμφέροντος με τη μορφή που βασίζονται οι ευρωπαίοι εκδότες για την επεξεργασία μέτρησης διαφήμισης. Το ισοδύναμο της PDPA είναι στενότερο και απαιτεί τεκμηριωμένη δοκιμασία εξισορρόπησης που καταχωρείται στο αρχείο επεξεργασίας του υπευθύνου και τίθεται στη διάθεση της DPA κατόπιν αιτήματος. Δεύτερον, οι κανόνες διασυνοριακής μεταφοράς της PDPA απαιτούν από την DPA να ορίζει δικαιοδοσίες προορισμού, και οι μεταφορές σε μη ορισμένες δικαιοδοσίες απαιτούν είτε ρητή συγκατάθεση, συμβατικές εγγυήσεις εγκεκριμένες από την DPA, είτε μία από τις στενές εξαιρέσεις. Τρίτον, η προθεσμία γνωστοποίησης παραβίασης της PDPA είναι βραχύτερη για παραβιάσεις υψηλού κινδύνου και μακρύτερη για χαμηλού κινδύνου από τον παγιωμένο κανόνα 72 ωρών του GDPR — οι υπεύθυνοι επεξεργασίας πρέπει να γνωστοποιούν χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, εντός ενός παραθύρου που η καθοδήγηση της DPA έχει σφίξει κατά την περίοδο σταδιακής έναρξης.
Πώς μοιάζει ένα banner cookies συμβατό με την PDPA
Οι τεχνικές απαιτήσεις συγκλίνουν με αυτό που παράγει ήδη κάθε σύγχρονη CMP, αλλά η επισήμανση και το αρχείο καταγραφής συγκατάθεσης πρέπει να αντικατοπτρίζουν τις ιδιαιτερότητες της Sri Lanka. Το banner πρώτου επιπέδου πρέπει να παρουσιάζει στον χρήστη πραγματική επιλογή — αποδοχή, απόρριψη, διαχείριση — όπου η επιλογή απόρριψης είναι τουλάχιστον τόσο εμφανής όσο η επιλογή αποδοχής. Η δεσμευμένη συγκατάθεση απαγορεύεται, επομένως το δεύτερο επίπεδο πρέπει να επιτρέπει εγγραφή ανά κατηγορία που καλύπτει τουλάχιστον ανάλυση, διαφήμιση και οποιαδήποτε επεξεργασία εξαρτάται από διασυνοριακή μεταφορά. Οι κατηγορίες πρέπει να είναι προεπιλεγμένα ανενεργές· το banner δεν πρέπει να φορτώνει ετικέτες έως ότου ο χρήστης τις ενεργοποιήσει ενεργά.
Η ειδοποίηση απορρήτου που εμφανίζεται από το banner πρέπει να προσδιορίζει τον υπεύθυνο επεξεργασίας, τις κατηγορίες προσωπικών δεδομένων που συλλέγονται, τη νομική βάση για κάθε σκοπό επεξεργασίας, την περίοδο διατήρησης δεδομένων, τις κατηγορίες αποδεκτών συμπεριλαμβανομένων εκτελούντων που λειτουργούν εκτός Sri Lanka, τα δικαιώματα υποκειμένου δεδομένων βάσει της PDPA και τα στοιχεία επικοινωνίας της DPA για καταγγελίες. Μια ειδοποίηση που πληροί το πρότυπο του άρθρου 13 GDPR θα επικαλύπτεται ουσιαστικά, αλλά οι γραμμές επικοινωνίας DPA και δικαιοδοσίας διασυνοριακής μεταφοράς πρέπει να προστεθούν ρητά.
Το μοτίβο ολοκλήρωσης που περνά αξιολόγηση DPA
Η υλοποίηση αναφοράς έχει τέσσερα κινούμενα μέρη. Το πρώτο είναι μια CMP που υποστηρίζει ανά κατηγορία, εγγραφή με προεπιλεγμένη απενεργοποίηση και εκθέτει την επιλογή του χρήστη μέσω μιας δομημένης συμβολοσειράς συγκατάθεσης που ο εκδότης μπορεί να διατηρήσει σε αρχείο καταγραφής συγκατάθεσης. Το δεύτερο είναι ένα επίπεδο φόρτωσης ετικετών — συνήθως διαχειριστής ετικετών στην πλευρά του διακομιστή ή πύλη σεναρίου εγγενής σε CMP — που επιβάλλει αυστηρά την κατάσταση συγκατάθεσης πριν επιτρέψει τον ορισμό οποιουδήποτε μη απαραίτητου cookie. Το τρίτο είναι ένα αρχείο καταγραφής συγκατάθεσης στην πλευρά του διακομιστή που καταγράφει για κάθε συμβάν συγκατάθεσης την επιλογή χρήστη ανά κατηγορία, τη χρονοσήμανση, την έκδοση banner συγκατάθεσης, τη διεύθυνση IP (περικομμένη ή κατακερματισμένη αν ο υπεύθυνος αποφάσισε ότι αυτό ικανοποιεί την ανάλυση ελαχιστοποίησης δεδομένων) και τις κατηγορίες που χορηγήθηκαν έναντι αυτών που αρνήθηκαν. Το τέταρτο είναι ένα μονοπάτι ανάκλησης που είναι τουλάχιστον τόσο εύκολο όσο η αρχική χορήγηση — ένας μόνιμος σύνδεσμος επαναφοράς banner στο υποσέλιδο είναι το μοτίβο που η DPA έχει σιωπηρά εγκρίνει με αναφορά στις διεθνείς βέλτιστες πρακτικές.
- Ετικέτες ανάλυσης πρέπει να φορτώνονται μόνο αφού χορηγηθεί η κατηγορία ανάλυσης· Google Analytics 4, Adobe Analytics, Matomo, Amplitude και Mixpanel υποστηρίζουν όλα μια διαμόρφωση με πύλη συγκατάθεσης που αποτρέπει οποιαδήποτε εγγραφή cookie πριν ανοίξει η πύλη.
- Ετικέτες διαφήμισης — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, προγραμματικοί bidder κεφαλίδας — πρέπει ομοίως να είναι πίσω από πύλη, και όπου ο διαφημιστικός εταίρος μεταφέρει δεδομένα εκτός Sri Lanka, η δικαιοδοσία προορισμού του εταίρου πρέπει να εμφανίζεται στην ειδοποίηση απορρήτου.
- Εργαλεία επανάληψης συνεδρίας και heatmap — Hotjar, Microsoft Clarity, FullStory — πρέπει να βρίσκονται πίσω από ξεχωριστή, αυστηρότερη πύλη γιατί η DPA, σύμφωνα με το EDPB, έχει επισημάνει την απόδοση πεδίων εισόδου ως κατηγορία που απαιτεί ρητή και λεπτομερή συγκατάθεση.
- Γνωστοποιήσεις διασυνοριακής μεταφοράς πρέπει να είναι συγκεκριμένες για κάθε δικαιοδοσία αποδέκτη, όχι γενικές. Η DPA έχει υποδείξει ότι τα δεδομένα επεξεργάζονται από παρόχους υπηρεσιών παγκοσμίως δεν αποτελεί επαρκή γνωστοποίηση.
Θέση επικύρωσης και ελέγχου για το 2026
Μια αξιόπιστη σριλανκέζικη ανάπτυξη το 2026 πρέπει να περάσει τέσσερις ελέγχους. Πρώτον, μια καθαρή συνεδρία προγράμματος περιήγησης που εξυπηρετείται από σριλανκέζικη διεύθυνση IP πρέπει να παράγει μηδέν μη απαραίτητα cookies πριν ενεργοποιηθεί το banner. Δεύτερον, η διαδρομή απόρριψης-όλων πρέπει να οδηγεί στην ίδια θέση με μια συνεδρία χωρίς ενέργεια — καμία ετικέτα ανάλυσης, καμία ετικέτα διαφήμισης, κανένα σενάριο επανάληψης συνεδρίας, μόνο το απολύτως αναγκαίο σύνολο. Τρίτον, μια ροή αποδοχής-όλων πρέπει να παράγει τις ετικέτες για τις οποίες ο χρήστης έχει συγκατατεθεί και το αρχείο καταγραφής συγκατάθεσης πρέπει να περιέχει την αντίστοιχη εγγραφή. Τέταρτον, μια ροή ανάκλησης πρέπει να σταματά αμέσως περαιτέρω εκκινήσεις ετικετών, να λήγουν τα cookies που ορίστηκαν κατά τη συγκατατεθείσα συνεδρία και να ενεργοποιεί τυχόν σήματα διαγραφής ή εξαίρεσης κατάντη που απαιτούν οι εταίροι-αποδέκτες.
Η απαίτηση ίχνους ελέγχου είναι αυτό που κάνει την PDPA πιο ιδιαίτερη το 2026. Η DPA έχει εκδώσει καθοδήγηση που υποδεικνύει ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να μπορούν να παρέχουν κατόπιν αιτήματος τη συγκεκριμένη εγγραφή συγκατάθεσης που εξουσιοδότησε οποιαδήποτε δεδομένη δραστηριότητα επεξεργασίας. Αυτό σημαίνει ότι το αρχείο καταγραφής συγκατάθεσης πρέπει να είναι δυνατό να αναζητηθεί ανά αναγνωριστικό χρήστη ή αναγνωριστικό συνεδρίας, να διατηρείται για περίοδο που ο υπεύθυνος έχει τεκμηριώσει στο πρόγραμμα διατήρησής του και να εξάγεται σε δομημένη μορφή. Μια σωστά διαμορφωμένη CMP με αρχείο καταγραφής στην πλευρά του διακομιστή, σε συνδυασμό με επίπεδο φόρτωσης ετικετών που επιβάλλει την κατάσταση συγκατάθεσης και ειδοποίηση απορρήτου που ονομάζει κάθε προορισμό διασυνοριακής μεταφοράς, είναι αυτό που μετατρέπει την PDPA της Σρι Λάνκα από ρυθμιστικό άγνωστο σε αξιόπιστο μέρος της παγκόσμιας θέσης συγκατάθεσης ενός εκδότη.