راهنمای رعایت رضایت کوکی PDPA سریلانکا: قانون شماره ۹ سال ۲۰۲۲ برای ناشران در ۲۰۲۶

سریلانکا بیش از یک دهه در مسیر قانونگذاری سپری کرد پیش از آنکه قانون حفاظت از داده‌های شخصی‌اش سرانجام به عنوان قانون شماره ۹ سال ۲۰۲۲ تصویب شود و توسط رئیس مجلس در ۱۹ March 2022 تأیید گردد. این قانون معماری گسترده‌ای را که از زمان GDPR به استاندارد جهانی تبدیل شده اتخاذ می‌کند — محدودیت هدف، پایه قانونی، حقوق موضوع داده، مسئولیت‌پذیری، کنترل‌های انتقال فرامرزی، اطلاع‌رسانی نقض و یک تنظیم‌کننده مستقل با اختیارات مجازات اداری — اما آن‌ها را در رژیمی متناسب با واقعیت‌های تجاری و قانون اساسی جنوب آسیا جای می‌دهد. قانون از ۱۷ March 2023 به صورت مرحله‌ای اجرا شد، با تعهدات اساسی ۱۸ ماه بعد و مقررات اجرایی به تدریج از سال ۲۰۲۵ تا ۲۰۲۶. برای ناشران و هر نهاد دیگری که داده‌های شخصی افراد ساکن سریلانکا را پردازش می‌کند، نتیجه مستقیم است: موضع رضایت کوکی که با مجموعه قوانین سکتوری قبلی رضایت می‌داد دیگر کافی نیست، و موضعی که GDPR را ارضا می‌کند تنها در صورتی PDPA را نیز ارضا خواهد کرد که یکپارچه‌سازی برای نقاط خاصی که دو رژیم از هم متمایز می‌شوند پیکربندی شده باشد.

آنچه PDPA سریلانکا واقعاً طلب می‌کند

PDPA برای پردازش داده‌های شخصی موضوعات داده‌ای که در سریلانکا هستند اعمال می‌شود، صرف نظر از محل کنترل‌کننده یا پردازنده، و برای کنترل‌کنندگان و پردازندگان مستقر در سریلانکا صرف نظر از محل موضوعات داده. دامنه سرزمینی، ماده ۳ GDPR را منعکس می‌کند و به این معناست که ناشری که دفتری در سریلانکا ندارد اما خوانندگان، نصب اپلیکیشن یا مشتریان پرداخت‌کننده‌ی سریلانکایی دارد، به وضوح در حوزه شمول است. داده‌های شخصی به طور گسترده به عنوان هر اطلاعاتی مربوط به یک شخص زنده شناخته‌شده یا قابل شناسایی تعریف می‌شوند، با داده‌های دسته خاص شامل بیومتریک، ژنتیک، مالی، سلامت، نژادی، قومی، عقاید مذهبی، عقاید سیاسی و سوابق جنایی تحت قوانین سختگیرانه‌تر.

قانون هفت اصل اساسی حفاظت از داده، شش پایه قانونی برای پردازش، مجموعه استاندارد حقوق موضوع داده — دسترسی، اصلاح، حذف، محدودیت، اعتراض و قابلیت انتقال داده در صورت امکان فنی — و یک تنظیم‌کننده، مرجع حفاظت از داده سریلانکا، با اختیار صدور دستورالعمل، اعمال مجازات‌های اداری تا LKR ۱۰ میلیون در هر نقض و ارجاع موارد جدی برای تعقیب کیفری ایجاد می‌کند.

چگونه PDPA با رضایت کوکی به طور خاص برخورد می‌کند

PDPA حاوی مقررات جداگانه‌ای به سبک ePrivacy درباره کوکی‌ها نیست، به روشی که دستورالعمل ePrivacy اتحادیه اروپا انجام می‌دهد. در عوض، پردازش کوکی را در چارچوب رضایت عمومی به سبک GDPR ادغام می‌کند: هر پردازش داده شخصی که به رضایت به عنوان پایه قانونی متکی است باید بر اساس یک عمل تأییدی روشن که موضوع داده آزادانه، خاص، آگاهانه و بدون ابهام رضایت می‌دهد، اخذ شود. DPA به طور مداوم نشان داده که کادرهای از پیش تیک‌زده، زبان مرور-ادامه، و بنرهای رضایت بسته‌بندی‌شده اشکال معتبر رضایت تحت این قانون نیستند.

اثر عملی همان موضعی است که ناشران فعال در EEA در حال حاضر حفظ می‌کنند: کوکی‌ها و هر فناوری ذخیره‌سازی و دسترسی مشابه که برای ارائه خدمت کاملاً ضروری نیستند نباید قبل از آنکه کاربر به آن‌ها رضایت فعال داده باشد تنظیم شوند. کوکی‌های کاملاً ضروری — شناسه‌های نشست، محتوای سبد خرید، توکن‌های امنیتی، کوکی‌های تعادل بار — می‌توانند بدون رضایت تنظیم شوند زیرا تحت پایه منافع مشروع مرتبط با خدمتی که کاربر به طور فعال درخواست کرده قرار می‌گیرند. همه چیز دیگر، از جمله تجزیه‌وتحلیل، تبلیغات، شخصی‌سازی، آزمون A/B، بازپخش نشست و هر برچسب شخص ثالث، نیاز به رضایت قبلی دارد.

تفاوت PDPA با GDPR

سه تفاوت برای لایه یکپارچه‌سازی اهمیت دارند. اول، فهرست پایه‌های قانونی PDPA شامل پایه منافع عمومی و تعهد قانونی است که به ماده ۶ GDPR نزدیک است اما پایه مستقل منافع مشروع به شکلی که ناشران اروپایی برای پردازش اندازه‌گیری آگهی به آن متکی هستند را ندارد. معادل PDPA محدودتر است و نیاز به آزمون تعادل مستنداتی دارد که در سوابق پردازش کنترل‌کننده بایگانی شده و در صورت درخواست DPA در دسترس قرار می‌گیرد. دوم، قوانین انتقال فرامرزی PDPA از DPA می‌خواهند که قضاوت‌های مقصد را تعیین کند، و انتقال به قضاوت‌های تعیین‌نشده نیاز به رضایت صریح، تضمین‌های قراردادی تأیید شده توسط DPA، یا یکی از استثنائات محدود دارد. سوم، جدول زمانی اطلاع‌رسانی نقض PDPA برای نقض‌های پر خطر کوتاه‌تر و برای نقض‌های کم خطر طولانی‌تر از قانون تخت ۷۲ ساعته GDPR است — کنترل‌کنندگان باید بدون تأخیر غیرموجه اطلاع دهند و در صورت امکان در پنجره‌ای که راهنمایی DPA در دوره شروع مرحله‌ای سخت‌گیرانه‌تر شده است.

ظاهر یک بنر کوکی مطابق در چارچوب PDPA

الزامات فنی با آنچه هر CMP مدرن از قبل تولید می‌کند همگرایی دارند، اما برچسب‌گذاری و گزارش رضایت باید مشخصات سریلانکا را منعکس کنند. بنر لایه اول باید انتخاب واقعی را به کاربر ارائه دهد — پذیرفتن، رد کردن، مدیریت — جایی که گزینه رد حداقل به همان اندازه گزینه پذیرفتن برجسته است. رضایت بسته‌بندی‌شده ممنوع است، بنابراین لایه دوم باید opt-in به ازای هر دسته را حداقل شامل تجزیه‌وتحلیل، تبلیغات و هر پردازش وابسته به انتقال فرامرزی امکان‌پذیر سازد. دسته‌ها باید به طور پیش‌فرض خاموش باشند؛ بنر نباید برچسب‌ها را بارگذاری کند تا زمانی که کاربر به طور فعال آن‌ها را روشن کرده باشد.

اعلامیه حریم خصوصی که از بنر ظاهر می‌شود باید کنترل‌کننده، دسته‌های داده‌های شخصی جمع‌آوری شده، پایه قانونی برای هر هدف پردازش، دوره نگهداری داده، دسته‌های گیرندگان از جمله هر پردازنده فرعی که خارج از سریلانکا فعالیت می‌کند، حقوق موضوع داده تحت PDPA و جزئیات تماس DPA برای شکایات را مشخص کند. اعلامیه‌ای که با استاندارد ماده ۱۳ GDPR مطابقت دارد تا حد زیادی همپوشانی دارد، اما خطوط تماس DPA و قضاوت انتقال فرامرزی باید به صراحت اضافه شوند.

الگوی یکپارچه‌سازی که بررسی DPA را پشت سر می‌گذارد

پیاده‌سازی مرجع چهار بخش متحرک دارد. اول یک CMP است که opt-in به ازای هر دسته، پیش‌فرض خاموش را پشتیبانی می‌کند و انتخاب کاربر را از طریق یک رشته رضایت ساختاریافته که ناشر می‌تواند در گزارش رضایت ذخیره کند نمایش می‌دهد. دوم یک لایه بارگذاری برچسب است — معمولاً یک مدیر برچسب سمت سرور یا دروازه اسکریپت بومی CMP — که وضعیت رضایت را قبل از اجازه دادن به هر کوکی غیر ضروری برای تنظیم شدن به شدت اعمال می‌کند. سوم یک گزارش رضایت سمت سرور است که برای هر رویداد رضایت انتخاب کاربر به ازای دسته، تایم‌استمپ، نسخه بنر رضایت، آدرس IP (کوتاه‌شده یا هش شده اگر کنترل‌کننده تصمیم گرفته باشد که این تحلیل به حداقل رساندن داده را برآورده می‌کند)، و دسته‌هایی که اعطا در مقابل رد شده‌اند را ثبت می‌کند. چهارم یک مسیر خروج است که حداقل به همان اندازه اعطای اصلی آسان است — یک لینک باز کردن مجدد بنر دائم در پاورقی الگویی است که DPA با اشاره به بهترین شیوه‌های بین‌المللی به آرامی تأیید کرده است.

موضع اعتبارسنجی و حسابرسی برای ۲۰۲۶

یک استقرار سریلانکایی قابل دفاع در ۲۰۲۶ باید چهار بررسی را پشت سر بگذارد. اول، یک نشست مرورگر تمیز که از یک آدرس IP سریلانکایی ارائه شده باشد باید قبل از اقدام بنر هیچ کوکی غیر ضروری تولید نکند. دوم، مسیر رد-همه باید همان موضع یک نشست بدون اقدام را منجر شود — هیچ برچسب تجزیه‌وتحلیل، هیچ برچسب تبلیغاتی، هیچ اسکریپت بازپخش نشست، فقط مجموعه کاملاً ضروری. سوم، یک جریان پذیرفتن-همه باید برچسب‌هایی که کاربر رضایت داده است تولید کند و گزارش رضایت باید سابقه مربوطه را داشته باشد. چهارم، یک جریان خروج باید فوراً آتش‌های برچسب بعدی را متوقف کند، کوکی‌های تنظیم شده در نشست رضایت داده شده را منقضی کند و هر سیگنال حذف یا انصراف پایین‌دستی که شرکای گیرنده نیاز دارند را فعال کند.

الزام ردپای حسابرسی جایی است که PDPA در ۲۰۲۶ متمایزترین است. DPA راهنمایی صادر کرده که نشان می‌دهد کنترل‌کنندگان باید بتوانند در صورت درخواست، سابقه رضایت خاصی که هر فعالیت پردازشی را مجاز کرده است ارائه دهند. این به این معناست که گزارش رضایت باید بر اساس شناسه کاربر یا شناسه نشست قابل جستجو باشد، برای دوره‌ای که کنترل‌کننده در برنامه نگهداری مستند کرده نگه داشته شود، و در یک قالب ساختاریافته قابل صادرکردن باشد. یک CMP به درستی پیکربندی شده با یک گزارش سمت سرور، همراه با یک لایه بارگذاری برچسب که وضعیت رضایت را اعمال می‌کند و یک اعلامیه حریم خصوصی که هر مقصد انتقال فرامرزی را نام می‌برد، همان چیزی است که PDPA سریلانکا را از یک مجهول نظارتی به بخش قابل دفاع از موضع رضایت جهانی ناشر تبدیل می‌کند.

← وبaderegistrdelays delays خواندن همه →