Sri Lanka PDPA küpsiste nõusoleku vastavusjuhend: 2022. aasta seadus nr 9 jõus kirjastajatele 2026. aastal
Sri Lanka veetis rohkem kui kümnendi seadusandlikus menetluses enne kui selle isikuandmete kaitse seadus lõpuks vastu võeti seaduse nr 9 aastal 2022, mille kõneleja sertifitseeris 19 March 2022. Seadus võtab üle laia arhitektuuri, mis on muutunud globaalseks standardiks pärast GDPRi — eesmärgi piiritlemine, seaduslik alus, andmesubjekti õigused, vastutus, piiriülese edastamise kontrollid, rikkumisest teavitamine ja sõltumatu regulaator haldustrahvide volitustega — kuid see juurutab need Lõuna-Aasia äri- ja põhiseaduslikele reaalsustele kohandatud režiimis. Seadus jõustus etappidena alates 17 March 2023, sisuliste kohustuste käivitumisega 18 kuud hiljem ning täitmissätete järkjärgulise rakendumisega läbi 2025 ja 2026. Kirjastajatele ja kõigile muudele üksustele, kes töötlevad Sri Lankal asuvate isikute andmeid, on tagajärg otsene: küpsiste nõusoleku positsioon, mis rahuldas varasemate sektorireeglite patchwork-süsteemi, ei ole enam piisav, ja GDPR-ga kooskõlas olev positsioon rahuldab PDPAd ainult siis, kui integratsioon on konfigureeritud kahe režiimi lahknevuskohtade jaoks.
Mida Sri Lanka PDPA tegelikult nõuab
PDPA kehtib Sri Lankal asuvate andmesubjektide isikuandmete töötlemisele, olenemata vastutava töötleja asukohast, ning Sri Lankal asutatud vastutavatele töötlejatele olenemata andmesubjektide asukohast. Territoriaalne ulatus peegeldab GDPR artiklit 3 ning tähendab, et kirjastaja, kellel pole Sri Lanka kontorit, kuid kellel on Sri Lanka lugejad, rakenduste installid või maksavad kliendid, on selgelt regulatsiooni alla kuuluv. Isikuandmed on määratletud laialt, hõlmates mistahes teavet tuvastatud või tuvastatava elava isiku kohta, kusjuures eriliigilised andmed, sealhulgas biomeetrilised, geneetilised, finants-, tervise-, rassi-, etnilise, usulise, poliitiliste vaadete ja kriminaalregistri andmed, on rangema regulatsiooni all.
Seadus kehtestab seitse põhilist andmekaitse põhimõtet, kuus seaduslikku töötlemise alust, standardse andmesubjekti õiguste paketi — juurdepääs, parandamine, kustutamine, piiramine, vastuväide ja andmete ülekantavus, kus see on tehniliselt teostatav — ning regulaatori, Sri Lanka andmekaitseasutuse, volitusega anda korraldusi, määrata haldustrahve kuni LKR 10 miljonit rikkumise kohta ja suunata tõsiseid juhtumeid kriminaalvastutusele.
Kuidas PDPA käsitleb küpsiste nõusolekut konkreetselt
PDPA ei sisalda eraldi ePrivacy-stiilis sätet küpsiste kohta, nagu seda teeb ELi ePrivacy direktiiv. Selle asemel lülitab see küpsiste töötlemise üldisesse GDPR-stiilis nõusoleku raamistikku: mis tahes isikuandmete töötlemine, mis tugineb nõusolekule kui seaduslikule alusele, peab olema saadud andmesubjekti selge kinnitava toimingu alusel, mis väljendab vabalt antud, spetsiifilist, teadlikku ja ühemõttelist nõusolekut. DPA on järjekindlalt näidanud, et eelmärgitud kastid, “jätkuva sirvimise” keel ja pakendatud nõusolekubännerid ei ole kehtivad nõusoleku vormid vastavalt seadusele.
Praktiline mõju on sama, mida EEAs tegutsevad kirjastajad juba hoiavad: küpsiseid ja muid analoogseid salvestus- ja juurdepääsutehnoloogiaid, mis ei ole teenuse osutamiseks rangelt vajalikud, ei tohi seadistada enne, kui kasutaja on aktiivselt nendega nõustunud. Rangelt vajalikud küpsised — seansitunnused, ostukorvi sisu, turvatokenid, koormusetasakaalustamise küpsised — saab seadistada ilma nõusolekuta, kuna need kuuluvad kasutaja poolt aktiivselt soovitud teenuse legitiimse huviga seotud alusesse. Kõik muu, sealhulgas analüütika, reklaam, isikupärastamine, A/B testimine, seansi taasesitus ja kolmanda osapoole sildid, nõuab eelnevat nõusolekut.
Kuidas PDPA erineb GDPRist
Integratsioonikihi jaoks on olulised kolm erinevust. Esiteks, PDPA seadusliku aluse kataloog sisaldab avaliku huviga ja seadusliku kohustuse aluseid, mis vastavad suures osas GDPR artiklile 6, kuid ei sisalda iseseisvat õigustatud huvi alust kujul, millele Euroopa kirjastajad tuginevad reklaamimõõtmise töötlemisel. PDPA ekvivalent on kitsam, nõudes dokumenteeritud tasakaalustamistesti, mis esitatakse vastutava töötleja töötlemisregistrile ja tehakse DPA-le nõudmisel kättesaadavaks. Teiseks, PDPA piiriülese edastamise reeglid nõuavad, et DPA määraks sihtjurisdiktsioonid, ning edasiandmine mittedetermineeritud jurisdiktsioonidesse nõuab kas selgesõnalist nõusolekut, DPA poolt heakskiidetud lepingulisi kaitsemeetmeid või ühte kitsastest eranditest. Kolmandaks, PDPA rikkumisest teavitamise tähtaeg on lühikese riskiga rikkumiste puhul lühem ja madala riskiga rikkumiste puhul pikem kui GDPR-i tasane 72-tunnine reegel — vastutavad töötlejad peavad teavitama põhjendamatu viivituseta ja võimaluse korral DPA-l on tõhustatud juhised, mis on välja töötatud etapiviisilise jõustumise perioodil.
Milline näeb välja vastavuses küpsisebänner PDPA alusel
Tehnilised nõuded koonduvad sellega, mida iga kaasaegne CMP juba toodab, kuid silditamine ja nõusoleku logi peavad kajastama Sri Lanka spetsiifikat. Esimese kihi bänner peab esitama kasutajale tegeliku valiku — nõustun, keeldun, haldan — kus keeldumise valik on vähemalt sama prominentne kui nõustumise valik. Pakendatud nõusolek on keelatud, seega teise kihi peab võimaldama kategooriate kaupa opt-in, mis hõlmab minimaalselt analüütikat, reklaami ja mis tahes piiriülesest edastamisest sõltuvat töötlemist. Kategooriad peavad olema vaikimisi väljas; bänner ei tohi laadida silte enne, kui kasutaja on neid aktiivselt sisse lülitanud.
Privaatsusteade, mis bännerist avaneb, peab tuvastama vastutava töötleja, kogutud isikuandmete kategooriad, iga töötlemise eesmärgi seadusliku aluse, andmete säilitamise aja, vastuvõtjate kategooriad, sealhulgas alltöötlejad, kes tegutsevad väljaspool Sri Lankat, andmesubjekti õigused PDPA alusel, ja DPA kontaktandmed kaebuste esitamiseks. GDPR artikli 13 standardile vastav teade kattub suurel määral, kuid DPA-kontakti ja piiriülese edastamise jurisdiktsiooni read tuleb lisada selgesõnaliselt.
Integratsioonimuster, mis läbib DPA ülevaatuse
Viiterakendamisel on neli liikuvat osa. Esimene on CMP, mis toetab kategooriate kaupa, vaikimisi-väljas opt-in ja eksponeerib kasutaja valikut struktureeritud nõusoleku stringi kaudu, mida kirjastaja saab nõusoleku logis persisteerida. Teine on siltide laadimiskiht — tavaliselt serveripoolne sildihaldur või CMP-natiivne skriptide värav — mis tagab rangelt nõusoleku oleku enne mis tahes mittevajalike küpsiste seadistamist. Kolmas on serveripoolne nõusoleku logi, mis registreerib iga nõusolekusündmuse jaoks kasutaja valiku kategooriate kaupa, ajatempli, nõusolekubänneri versiooni, IP-aadressi (kärbitud või räsitud, kui vastutav töötleja on otsustanud, et see rahuldab andmete minimeerimise analüüsi) ja kategooriad, mis anti versus keelduti. Neljas on loobumise tee, mis on vähemalt sama lihtne kui algne andmine — püsiv bänneri taasavamise link jaluses on muster, mida DPA on kaudselt heaks kiitnud viidates rahvusvahelisele parimale praktikale.
- Analüütika sildid tuleb laadida ainult pärast analüütika kategooria andmist; Google Analytics 4, Adobe Analytics, Matomo, Amplitude ja Mixpanel toetavad kõik nõusoleku väravaga konfiguratsiooni, mis takistab küpsiste kirjutamist enne värava avanemist.
- Reklaamisildid — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatiline päisepakkuja — peavad olema samamoodi väravaga kontrollitud ning seal, kus reklaamipartner edastab andmed väljaspool Sri Lankat, peab partneri sihtjurisdiktion ilmuma privaatsusteates.
- Seansi taasesituse ja kuumust kaardistamise tööriistad — Hotjar, Microsoft Clarity, FullStory — peavad asuma eraldi, rangema värava taga, kuna DPA on kooskõlas EDPBga märkinud, et sisestuspolju renderdamine on kategooria, mis nõuab selgesõnalist ja granulaarset nõusolekut.
- Piiriülese edastamise avalikustamine peab olema spetsiifiline iga saaja jurisdiktsiooni suhtes, mitte üldine. DPA on näidanud, et andmeid töötlevad teenusepakkujad ülemaailmselt ei ole piisav avalikustamine.
Valideerimine ja auditeerimise positsioon 2026. aastaks
Kaitstav Sri Lanka kasutuselevõtt 2026. aastal peab läbima neli kontrolli. Esiteks, Sri Lanka IP-aadressilt teenindatud puhas brauseri seanss peab tootma null mittevajalikke küpsiseid enne bänneri toimingut. Teiseks, keeldu-kõigest tee peab andma sama positsiooni nagu toiminguta seanss — analüütika silte pole, reklaamisilte pole, seansi taasesituse skripte pole, ainult rangelt vajalik komplekt. Kolmandaks, nõustu-kõigest voog peab tootma sildid, millega kasutaja on nõustunud, ja nõusoleku logi peab sisaldama vastavat kirjet. Neljandaks, loobumise voog peab kohe peatama edasised siltide käivitamised, aeguma nõustunud seansi ajal seadistatud küpsised ja käivitama allpool olevad kustutamis- või loobumissignaalid, mida vastuvõtvad partnerid nõuavad.
Auditijälje nõue on koht, kus PDPA on 2026. aastal kõige eristuvam. DPA on andnud juhiseid, et vastutavad töötlejad peaksid suutma nõudmisel esitada konkreetse nõusoleku kirje, mis volitas mis tahes töötlemistegevust. See tähendab, et nõusoleku logi peab olema päritav kasutaja identifikaatori või seansi identifikaatori järgi, säilitatud perioodi jooksul, mille vastutav töötleja on dokumenteerinud säilituskavas, ja eksporditav struktureeritud formaadis. Õigesti konfigureeritud CMP serveripoolse logiga, koos siltide laadimiskihiga, mis tagab nõusoleku oleku, ja privaatsusteate, mis nimetab iga piiriülese edastamise sihtkoha, muudab Sri Lanka PDPA regulatoorsest tundmatusest kirjastaja ülemaailmse nõusoleku positsiooni kaitstava osaks.