Sri Lankan PDPA-evästeiden suostumusmääräysteopas: Laki nro 9 vuodelta 2022 voimassa julkaisijoille vuonna 2026
Sri Lanka vietti yli vuosikymmenen lainsäädäntöprosessissa, ennen kuin sen henkilötietosuojalaki lopulta hyväksyttiin lakina nro 9 vuodelta 2022, jonka puhemies vahvisti 19 March 2022. Laki omaksuu laajan arkkitehtuurin, josta on tullut GDPRin jälkeinen globaali standardi — käyttötarkoituksen rajoittaminen, oikeudellinen perusta, rekisteröidyn oikeudet, vastuu, rajat ylittävien siirtojen kontrollit, tietoturvaloukkauksista ilmoittaminen ja riippumaton valvoja hallinnollisilla seuraamusvaltioilla — mutta sijoittaa ne Etelä-Aasian kaupallisiin ja perustuslaillisiin realiteetteihin sopeutettuun järjestelmään. Laki tuli voimaan vaiheittain 17 March 2023 alkaen, aineellisten velvollisuuksien aktivoituessa 18 kuukautta myöhemmin ja täytäntöönpanosäännösten asteittaisesti 2025 ja 2026 aikana. Julkaisijoille ja kaikille muille tahoille, jotka käsittelevät Sri Lankassa olevien henkilöiden henkilötietoja, vaikutus on suora: evästeiden suostumusasema, joka tyydytti aiemman sektorikohtaisten sääntöjen patchwork-kokoelman, ei enää riitä, ja GDPR:n täyttävä asema täyttää PDPA:n vain, jos integraatio on määritetty niitä erityiskohtia varten, joissa kaksi järjestelmää poikkeavat toisistaan.
Mitä Sri Lankan PDPA käytännössä vaatii
PDPA soveltuu Sri Lankassa olevien rekisteröityjen henkilötietojen käsittelyyn riippumatta rekisterinpitäjän tai käsittelijän sijainnista sekä Sri Lankaan sijoittautuneisiin rekisterinpitäjiin ja käsittelijöihin riippumatta rekisteröityjen sijainnista. Alueellinen ulottuvuus heijastaa GDPR:n 3 artiklaa ja tarkoittaa, että julkaisija, jolla ei ole Sri Lankan toimistoa mutta jolla on Sri Lankan lukijoita, sovellusasennuksia tai maksavia asiakkaita, kuuluu selvästi soveltamisalaan. Henkilötiedot on määritelty laajasti tarkoittamaan mitä tahansa tietoa, joka liittyy tunnistettuun tai tunnistettavissa olevaan elävään luonnolliseen henkilöön, erityisiin kategorioihin kuuluvien tietojen, kuten biometristen, geneettisten, taloudellisten, terveys-, rotu-, etnisten, uskonnollisten, poliittisten mielipiteiden ja rikosrekisteritietojen, ollessa tiukempien sääntöjen alaisia.
Laki vahvistaa seitsemän keskeistä tietosuojaperiaatetta, kuusi oikeudellista käsittelyperustetta, rekisteröidyn oikeuksien vakioluettelon — pääsy, oikaisu, poistaminen, rajoittaminen, vastustaminen ja tietojen siirrettävyys teknisesti toteuttamiskelpoisissa tapauksissa — sekä valvojan, Sri Lankan tietosuojaviranomaisen, jolla on valtuudet antaa määräyksiä, määrätä hallinnollisia seuraamuksia enintään LKR 10 miljoonaa rikkomusta kohden ja ohjata vakavat asiat rikosoikeudelliseen syytteeseenpanoon.
Miten PDPA käsittelee evästeiden suostumusta erityisesti
PDPA ei sisällä erillisiä ePrivacy-tyylisiä säännöksiä evästeistä, kuten EU:n ePrivacy-direktiivi tekee. Sen sijaan se sisällyttää evästeiden käsittelyn yleiseen GDPR-tyyliseen suostumusjärjestelmään: kaiken henkilötietojen käsittelyn, joka perustuu suostumukseen oikeudellisena perusteena, on perustuttava rekisteröidyn selkeään myönteiseen tekoon, jolla hän ilmaisee vapaasti annetun, erityisen, tietoisen ja yksiselitteisen suostumuksensa. Tietosuojaviranomainen on johdonmukaisesti osoittanut, että ennalta rastitetut ruudut, “selaamisen jatkaminen”-kieli ja paketoidut suostumusbännerit eivät ole päteviä suostumuksen muotoja lain mukaan.
Käytännön vaikutus on sama kuin ETA-alueella toimivilla julkaisijoilla jo on: evästeitä ja muita vastaavia tallennus- ja pääsyteknologioita, jotka eivät ole ehdottoman välttämättömiä palvelun toimittamiselle, ei saa asettaa ennen kuin käyttäjä on aktiivisesti antanut suostumuksensa. Ehdottoman välttämättömät evästeet — istuntotunnisteet, ostoskorin sisällöt, suojaustunnukset, kuormituksentasaustavasteet — voidaan asettaa ilman suostumusta, koska ne kuuluvat käyttäjän aktiivisesti pyytämään palveluun liittyvään oikeutettuun etuun. Kaikki muu, mukaan lukien analytiikka, mainonta, personointi, A/B-testaus, istunnon tallennus ja kolmannen osapuolen tagit, vaatii etukäteissuostumuksen.
Miten PDPA eroaa GDPR:stä
Kolme eroa on merkittävä integraatiokerrokselle. Ensinnäkin, PDPA:n oikeudellisen perustan luettelo sisältää yleisen edun ja lakisääteisen velvollisuuden perusteet, jotka vastaavat pitkälti GDPR:n 6 artiklaa, mutta ei sisällä itsenäistä oikeutetun edun perustetta siinä muodossa, johon eurooppalaiset julkaisijat luottavat mainosmittausten käsittelyä varten. PDPA:n vastaava on suppeampi, edellyttäen dokumentoitua tasapainotestiä, joka arkistoidaan rekisterinpitäjän käsittelytoimien rekisteriin ja asetetaan tietosuojaviranomaisen saataville pyydettäessä. Toiseksi, PDPA:n rajanylittäviä siirtoja koskevat säännöt edellyttävät, että tietosuojaviranomainen nimeää kohturisdiktion, ja siirrot nimeämättömiin toimipaikkoihin edellyttävät joko nimenomaista suostumusta, tietosuojaviranomaisen hyväksymiä sopimusvakuuksia tai yhtä kapeista poikkeuksista. Kolmanneksi, PDPA:n tietoturvaloukkauksista ilmoittamisen aikataulu on lyhyempi korkeariskisille loukkauksille ja pidempi matalakiskisille loukkauksille kuin GDPR:n tasainen 72 tunnin sääntö — rekisterinpitäjien on ilmoitettava ilman aiheetonta viivytystä ja, jos mahdollista, tietosuojaviranomaisen ohjeistuksen tiukentaman aikataulun puitteissa.
Miltä PDPA:n mukainen evästebanneri näyttää
Tekniset vaatimukset kohtaavat sen kanssa, mitä jokainen moderni CMP jo tuottaa, mutta nimikkeistön ja suostumuslokin on heijastettava Sri Lankan erityispiirteitä. Ensimmäisen kerroksen bannerin on esitettävä käyttäjälle aito valinta — hyväksy, hylkää, hallinnoi — jossa hylkäysvaihtoehto on vähintään yhtä näkyvä kuin hyväksymisvaihtoehto. Paketoitu suostumus on kielletty, joten toisen kerroksen on sallittava kategoriapohjainen opt-in kattaen vähintään analytiikan, mainonnan ja rajanylittävistä siirroista riippuvan käsittelyn. Kategorioiden on oletuksena oltava pois päältä; banneri ei saa ladata tageja ennen kuin käyttäjä on aktiivisesti kytkenyt ne päälle.
Bannerista avautuvan tietosuojailmoituksen on tunnistettava rekisterinpitäjä, kerättyjen henkilötietojen kategoriat, kunkin käsittelytarkoituksen oikeudellinen perusta, tietojen säilyttämisaika, vastaanottajien kategoriat mukaan lukien Sri Lankan ulkopuolelta toimivat alihankkijat, rekisteröidyn oikeudet PDPA:n mukaan ja tietosuojaviranomaisen yhteystiedot valituksia varten. GDPR:n 13 artiklan standardin täyttävä ilmoitus kattaa suurelta osin saman, mutta tietosuojaviranomaisen yhteystiedot ja rajanylittävän siirron toimipaikkarivit on lisättävä nimenomaisesti.
Integrointimalli, joka läpäisee tietosuojaviranomaisen tarkastelun
Referenssitoteutuksessa on neljä liikkuvaa osaa. Ensimmäinen on CMP, joka tukee kategoriakohtaista, oletusarvoisesti-pois opt-inia ja paljastaa käyttäjän valinnan strukturoidun suostumustiedoston kautta, jonka julkaisija voi tallentaa suostumuslokiin. Toinen on tagilatauskerros — tyypillisesti palvelinpuolen taginhallintaohjelma tai CMP-natiivi skriptportti — joka tiukasti noudattaa suostumustilaa ennen kuin sallii ei-välttämättömän evästeen asettamisen. Kolmas on palvelinpuolen suostumusloki, joka tallentaa jokaisen suostumustapahtuman käyttäjän valinnan kategorioittain, aikaleiman, suostumusbannerin version, IP-osoitteen (lyhennetty tai hajautettu jos rekisterinpitäjä on päättänyt sen täyttävän tietojen minimointianalyysin) ja kategoriat, jotka myönnettiin vastaan kieltäytyminen. Neljäs on peruutuspolku, joka on vähintään yhtä helppo kuin alkuperäinen myöntäminen — pysyvä bannerinavaauslinkki alatunnisteessa on malli, jonka tietosuojaviranomainen on viittaamalla kansainväliseen parhaaseen käytäntöön hiljaisesti hyväksynyt.
- Analytiikkatagit on ladattava vasta analytiikkakategorian myöntämisen jälkeen; Google Analytics 4, Adobe Analytics, Matomo, Amplitude ja Mixpanel tukevat kaikki suostumuspohjaista konfigurointia, joka estää evästeen kirjoittamisen ennen portin avautumista.
- Mainontatagit — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, ohjelmallinen otsikkotarjoaja — on vastaavasti portitettava ja silloin, kun mainoskumppani siirtää tietoja Sri Lankan ulkopuolelle, kumppanin kohdejurisdiktio on mainittava tietosuojailmoituksessa.
- Istunnon tallennuksen ja lämpökartan työkalut — Hotjar, Microsoft Clarity, FullStory — on sijoitettava erillisen, tiukemman portin taakse, koska tietosuojaviranomainen on EDPB:n linjauksen mukaisesti merkinnyt syöttökenttien renderöinnin kategoriaksi, joka vaatii nimenomaisen ja yksityiskohtaisen suostumuksen.
- Rajanylittävän siirron tiedonannot on kohdistettava jokaiseen vastaanottajan toimipaikkaan erikseen, ei yleisesti. Tietosuojaviranomainen on osoittanut, että tietoja käsittelevät palveluntarjoajat maailmanlaajuisesti ei ole riittävä tiedonanto.
Validointi ja tarkastusasema vuodelle 2026
Puolustettavan Sri Lankan käyttöönoton vuonna 2026 on läpäistävä neljä tarkistusta. Ensinnäkin Sri Lankan IP-osoitteesta palveltu puhdas selainsessio ei saa tuottaa yhtään ei-välttämätöntä evästettä ennen kuin banneria on käsitelty. Toiseksi, hylkää-kaikki-polun on tuotettava sama asema kuin toimenpiteettömässä sessiossa — ei analytiikkatageja, ei mainontatageja, ei istuntotallennusskriptejä, vain ehdottoman välttämätön joukko. Kolmanneksi hyväksy-kaikki-virran on tuotettava tagit, joihin käyttäjä on suostunut, ja suostumuslokin on sisällettävä vastaava tietue. Neljänneksi peruutusvirran on välittömästi pysäytettävä lisätagilaukaisut, vanhennutettava suostutun session aikana asetetut evästeet ja käynnistettävä kaikki vastaanottavien kumppaneiden vaatimat alavirran poisto- tai kieltäytymissignaalit.
Tarkastusketjun vaatimus on se, missä PDPA on vuonna 2026 erottuvimmillaan. Tietosuojaviranomainen on antanut ohjeistusta, jonka mukaan rekisterinpitäjien pitäisi pystyä pyydettäessä tuottamaan tietty suostumustietue, joka on valtuuttanut minkä tahansa käsittelytoiminnan. Tämä tarkoittaa, että suostumuksen loki on oltava kyselytettävissä käyttäjätunnisteella tai istunnon tunnisteella, säilytettävä ajaksi, jonka rekisterinpitäjä on dokumentoinut säilytysaikatauluunsa, ja exportoitavissa strukturoidussa muodossa. Oikein konfiguroitu CMP palvelinpuolen lokilla, yhdistettynä tagilatauskerrokseen, joka noudattaa suostumustilaa, ja tietosuojailmoitukseen, joka nimeää jokaisen rajanylittävän siirron kohteen, on se, mikä muuttaa Sri Lankan PDPA:n sääntelyyn tuntemattomasta osaksi julkaisijan globaalia suostumuksen puolustettavaa asemaa.