Gabay sa Pagsunod sa Cookie Consent ng Sri Lanka PDPA: Batas Blg. 9 ng 2022 na Ipinapatupad para sa mga Publisher sa 2026

Ang Sri Lanka ay gumugol ng mahigit isang dekada sa prosesong pambatas bago naitatag ang Personal Data Protection Act nito bilang Act No. 9 of 2022, na sertipikado ng Speaker noong 19 March 2022. Inaangkop ng Batas ang malawak na arkitektura na naging pandaigdigang pamantayan mula nang lumabas ang GDPR — limitasyon ng layunin, legal na batayan, karapatan ng data subject, pananagutan, mga kontrol sa cross-border transfer, notification ng paglabag, at isang independiyenteng regulator na may kapangyarihang mag-isyu ng mga parusa sa administrasyon — ngunit inilalagay ang mga ito sa isang rehimeng inangkop sa komersyal at konstitusyonal na katotohanan ng South Asia. Nagsimulang magkabisa ang Batas sa mga yugto mula noong 17 March 2023, na na-trigger ang mga substantibong obligasyon 18 buwan pa, at ang mga probisyon ng pagpapatupad ay paunti-unting isinasabuhay sa 2025 at 2026. Para sa mga publisher at anumang ibang entity na nagpoproseso ng personal na data ng mga indibidwal sa Sri Lanka, ang implikasyon ay direkta: ang postura ng cookie consent na naaayon sa nakaraang patchwork ng mga sektoral na alituntunin ay hindi na sapat, at ang postura na sumusunod sa GDPR ay matutugunan lamang ang PDPA kung ang integrasyon ay naka-configure para sa mga tiyak na punto kung saan nagkakaiba ang dalawang rehimen.

Ano talaga ang hinihingi ng Sri Lanka PDPA

Ang PDPA ay naaangkop sa pagpoproseso ng personal na data ng mga data subject na nasa Sri Lanka, anuman ang lokasyon ng controller o processor, at sa mga controller at processor na nakatayo sa Sri Lanka anuman ang lokasyon ng mga data subject. Ang extraterritorial na saklaw ay sumasalamin sa GDPR Article 3 at nangangahulugang ang isang publisher na walang opisina sa Sri Lanka ngunit may mga mambabasa, app install, o nagbabayad na mga customer na Sri Lankan ay malinaw na nasa saklaw. Ang personal na data ay malawak na tinukoy bilang anumang impormasyon na may kaugnayan sa isang natukoy o naitukoy na natural na taong nabubuhay, na may espesyal na kategorya ng data kabilang ang biometrik, genetiko, pinansiyal, kalusugan, lahi, etniko, relihiyosong paniniwala, pulitikal na opinyon, at data ng talaan ng kriminal na tinatrato sa ilalim ng mas mahigpit na mga alituntunin.

Nagtatag ang Batas ng pitong pangunahing prinsipyo ng proteksyon ng data, anim na legal na batayan para sa pagpoproseso, ang karaniwang talaan ng mga karapatan ng data subject — access, rectification, erasure, restriction, objection, at data portability kung technically feasible — at isang regulator, ang Data Protection Authority of Sri Lanka, na may kapangyarihang mag-isyu ng mga direktibo, magpataw ng mga parusa sa administrasyon hanggang LKR 10 milyon bawat paglabag, at i-refer ang mga seryosong bagay para sa kriminal na pag-uusig.

Paano tinatrato ng PDPA ang cookie consent nang partikular

Ang PDPA ay hindi naglalaman ng hiwalay na probisyon sa estilo ng ePrivacy sa cookies, sa paraang ginagawa ng EU ePrivacy Directive. Sa halip, isinasama nito ang pagpoproseso ng cookie sa pangkalahatang balangkas ng consent na estilo ng GDPR: anumang pagpoproseso ng personal na data na umaasa sa consent bilang legal na batayan nito ay kailangang makuha batay sa isang malinaw na affirmative na kilos kung saan ang data subject ay nagpapahayag ng kasunduan, na ibinibigay nang malaya, tiyak, may kaalaman, at walang alinlangan. Tuloy-tuloy na ipinahayag ng DPA, naaayon sa pandaigdigang uso, na ang mga pre-ticked na kahon, wikang patuloy-na-pagba-browse, at mga na-bundle na consent banner ay hindi mga wastong anyo ng consent sa ilalim ng Batas.

Ang praktikal na epekto ay ang parehong postura na pinapanatili na ng mga publisher na nagpapatakbo sa EEA: ang mga cookies at anumang katulad na teknolohiya ng pag-iimbak at pag-access na hindi mahigpit na kinakailangan para sa pagbibigay ng serbisyo ay hindi dapat itakda bago aktibong sumang-ayon ang gumagamit sa mga ito. Ang mahigpit na kinakailangang cookies — mga identifier ng session, mga nilalaman ng cart, mga security token, mga cookies ng load-balancing — ay maaaring itakda nang walang consent dahil sila ay nahuhulog sa ilalim ng batayan ng legitimate interest na nakatali sa serbisyong aktibong hiniling ng gumagamit. Lahat ng iba pa, kabilang ang analytics, advertising, personalisasyon, A/B testing, session replay, at anumang third-party tag, ay nangangailangan ng naunang consent.

Kung paano naiiba ang PDPA sa GDPR

Tatlong pagkakaiba ang mahalaga para sa integration layer. Una, ang katalogo ng legal na batayan ng PDPA ay kinabibilangan ng batayan ng pampublikong interes at legal na obligasyon na malapit na naaayon sa GDPR Article 6 ngunit hindi kasama ang standalone na batayan ng legitimate interest sa anyo na inaasahan ng mga European publisher para sa pagpoproseso ng ad-measurement. Ang katumbas ng PDPA ay mas makitid, na nangangailangan ng dokumentadong balancing test na iniharap sa talaan ng pagpoproseso ng controller at ginagawang available sa DPA sa kahilingan. Pangalawa, ang mga panuntunang cross-border transfer ng PDPA ay nangangailangan ng DPA na mag-designate ng mga jurisdiction ng destinasyon, at ang mga paglilipat sa mga hindi natukoy na jurisdiction ay nangangailangan ng alinman sa hayagang consent, mga kontraktwal na garantiya na inaprubahan ng DPA, o isa sa mga makitid na derogasyon. Pangatlo, ang timeline ng notification ng paglabag ng PDPA ay mas maikli para sa mga paglabag na may mataas na panganib at mas mahaba para sa mga paglabag na may mababang panganib kaysa sa flat na 72-oras na panuntunan ng GDPR — ang mga controller ay dapat mag-notify nang walang hindi makatwirang pagkaantala at, kung posible, sa loob ng isang window na pinaligpit ng gabay ng DPA sa panahon ng staged commencement.

Ano ang hitsura ng isang sumusunod na cookie banner sa ilalim ng PDPA

Ang mga teknikal na kinakailangan ay nagtatagpo sa kung ano na ginagawa ng bawat modernong CMP, ngunit ang labeling at ang consent log ay dapat magpakita ng mga partikular ng Sri Lanka. Ang unang-layer na banner ay dapat na magpakita sa gumagamit ng tunay na pagpipilian — tanggapin, tanggihan, pamahalaan — kung saan ang opsyon na tanggihan ay hindi bababa sa kasingsukdol ng opsyon na tanggapin. Ang naka-bundle na consent ay ipinagbabawal, kaya ang pangalawang layer ay dapat payagan ang per-category opt-in na sumasaklaw nang minimum sa analytics, advertising, at anumang pagpoprosesong nakasalalay sa cross-border transfer. Ang mga kategorya ay dapat na default na naka-off; ang banner ay hindi dapat mag-load ng mga tag hanggang hindi aktibong i-flip ng gumagamit ang mga ito.

Ang abiso sa privacy na ibinibigay mula sa banner ay dapat tukuyin ang controller, ang mga kategorya ng personal na data na nakolekta, ang legal na batayan para sa bawat layunin ng pagpoproseso, ang panahon ng pagpapanatili ng data, ang mga kategorya ng mga tatanggap kabilang ang anumang mga sub-processor na nagpapatakbo mula sa labas ng Sri Lanka, ang mga karapatan ng data subject sa ilalim ng PDPA, at ang mga detalye ng pakikipag-ugnayan ng DPA para sa mga reklamo. Ang isang abiso na nakakatugon sa pamantayan ng GDPR Article 13 ay malaking bahagi ang magkakatugma, ngunit ang mga linya ng DPA-contact at cross-border-transfer-jurisdiction ay kailangang idagdag nang malinaw.

Ang pattern ng integrasyon na pumapasa sa pagsusuri ng DPA

Ang reference implementation ay may apat na gumagalaw na bahagi. Ang una ay isang CMP na sumusuporta sa per-category, default-off opt-in at inilalantad ang pagpipilian ng gumagamit sa pamamagitan ng isang structured consent string na maaaring i-persist ng publisher sa isang consent log. Ang pangalawa ay isang tag-loading layer — karaniwang isang server-side tag manager o isang CMP-native na script gate — na mahigpit na ipinapatupad ang consent state bago payagan ang anumang hindi mahalagang cookie na itakda. Ang pangatlo ay isang consent log, server-side, na nagtatala para sa bawat kaganapan ng consent ang pagpipilian ng gumagamit bawat kategorya, ang timestamp, ang bersyon ng consent banner, ang IP address (truncated o hashed kung napagpasyahan ng controller na ito ay nagbibigay-kasiyahan sa pagsusuri nito sa data minimisation), at ang mga kategoryang ipinagkaloob kumpara sa tinanggihan. Ang pang-apat ay isang landas ng pag-alis na hindi bababa sa kadaling baguhing parang orihinal na pagbibigay — isang patuloy na banner re-open na link sa footer ang pattern na tahimik na inaprubahan ng DPA sa pamamagitan ng sanggunian sa pinakamabuting internasyonal na praktis.

Validasyon at postura ng audit para sa 2026

Ang isang mapagtatanggolang deployment sa Sri Lanka sa 2026 ay dapat makapasa sa apat na pagsusuri. Una, ang isang malinis na session ng browser na pinagsilbihan mula sa isang Sri Lankan na IP address ay dapat gumawa ng zero na hindi mahalagang cookies bago ang banner ay kumilos. Pangalawa, ang landas ng reject-all ay dapat magresulta sa parehong postura bilang isang session na walang aksyon — walang mga tag ng analytics, walang mga tag ng advertising, walang mga script ng session-replay, tanging ang mahigpit na kinakailangang hanay lamang. Pangatlo, ang isang daloy ng accept-all ay dapat gumawa ng mga tag na pinagbigyan ng consent ng gumagamit at ang consent log ay dapat naglalaman ng kaukulang rekord. Pang-apat, ang isang daloy ng pag-alis ay dapat agad na ihinto ang mga karagdagang pagsusunog ng tag, mag-expire ng mga cookies na itinakda sa panahon ng sumayanon na session, at mag-trigger ng anumang downstream na mga signal ng pagtanggal o opt-out na kailangan ng mga katambal na tatanggap.

Ang kinakailangan ng audit-trail ang pinaka-natatangi ng PDPA sa 2026. Naglabas ang DPA ng gabay na nagpapahiwatig na ang mga controller ay dapat na makagawa, sa kahilingan, ng tiyak na rekord ng consent na nagpapahintulot sa anumang partikular na aktibidad ng pagpoproseso. Nangangahulugan ito na ang consent log ay dapat na ma-query sa pamamagitan ng identifier ng gumagamit o identifier ng session, napanatili para sa isang panahon na naidokumento ng controller sa schedule ng pagpapanatili nito, at na-export sa isang structured na format. Ang tamang configured na CMP na may server-side na log, ipinares sa isang tag-loading layer na nagpapatupad ng consent state at isang abiso sa privacy na pinangalanan ang bawat destinasyon ng cross-border transfer, ang nagbabago sa Sri Lanka PDPA mula sa isang regulatory unknown patungo sa isang mapagtatanggolang bahagi ng postura ng global na consent ng publisher.

← Blog Basahin Lahat →