מדריך עמידה בדרישות הסכמה לעוגיות PDPA בסרי לנקה: חוק מספר 9 משנת 2022 בתוקף לעורכי תוכן ב-2026
סרי לנקה עברה יותר מעשור בתהליך החקיקה לפני שחוק הגנת המידע האישי שלה אושר סופית כחוק מספר 9 משנת 2022, שאושר על ידי יושב ראש הפרלמנט ב-19 March 2022. החוק אימץ את הארכיטקטורה הרחבה שהפכה לסטנדרט הגלובלי מאז ה-GDPR — הגבלת מטרה, בסיס חוקי, זכויות נושאי נתונים, אחריותיות, בקרות העברה חוצת גבולות, הודעה על פרצות ורגולטור עצמאי בעל סמכויות עיצום מנהלי — אך הם מוטמעים במשטר המותאם למציאות המסחרית והחוקתית של דרום אסיה. החוק נכנס לתוקף בשלבים מ-17 March 2023, כשהמחויבויות המהותיות מופעלות 18 חודשים מאוחר יותר והוראות האכיפה נכנסות בהדרגה לאורך 2025 ו-2026. עבור עורכי תוכן וכל גורם אחר המעבד נתונים אישיים של יחידים בסרי לנקה, המשמעות ישירה: עמדת הסכמת עוגיות שסיפקה את ה-patchwork הקודם של כללים ענפיים אינה עוד מספיקה, ועמדה המספקת את ה-GDPR תספק את ה-PDPA רק אם האינטגרציה מוגדרת לנקודות הספציפיות שבהן שני המשטרים סוטים זה מזה.
מה ה-PDPA של סרי לנקה דורש בפועל
ה-PDPA חל על עיבוד נתונים אישיים של נושאי נתונים הנמצאים בסרי לנקה, ללא קשר למיקום הבקר או המעבד, ועל בקרים ומעבדים שהוקמו בסרי לנקה ללא קשר למיקום נושאי הנתונים. ההישג החוץ-טריטוריאלי משקף את סעיף 3 ל-GDPR ומשמעו שעורך תוכן שאין לו משרד בסרי לנקה אך יש לו קוראים, התקנות אפליקציה או לקוחות משלמים סרי לנקאים נמצא בבירור בתחום היישום. נתונים אישיים מוגדרים באופן רחב ככל מידע הנוגע לאדם טבעי חי מזוהה או ניתן לזיהוי, כאשר נתוני קטגוריה מיוחדת כולל נתונים ביומטריים, גנטיים, פיננסיים, בריאותיים, גזעיים, אתניים, אמונה דתית, דעה פוליטית ורשומות עבריינות מטופלים תחת כללים מחמירים יותר.
החוק קובע שבעה עקרונות הגנת נתונים מרכזיים, שישה בסיסים חוקיים לעיבוד, רשימת זכויות נושאי הנתונים הסטנדרטית — גישה, תיקון, מחיקה, הגבלה, התנגדות וניידות נתונים היכן שניתן מבחינה טכנית — ורגולטור, רשות הגנת הנתונים של סרי לנקה, בעל סמכות להוציא הנחיות, להטיל עיצומים מנהליים עד LKR 10 מיליון לכל פרצה ולהפנות עניינים חמורים לתביעה פלילית.
כיצד ה-PDPA מתייחס להסכמת עוגיות באופן ספציפי
ה-PDPA אינו מכיל הוראה נפרדת בסגנון ePrivacy על עוגיות, כפי שהנחיית ePrivacy של האיחוד האירופי עושה. במקום זאת, הוא מקפל את עיבוד העוגיות למסגרת ההסכמה הכללית בסגנון GDPR: כל עיבוד של נתונים אישיים המסתמך על הסכמה כבסיסו החוקי חייב להתקבל על בסיס פעולה חיובית ברורה שבה נושא הנתונים מביע הסכמה, הניתנת בחופשיות, ספציפית, מדעת וחד-משמעית. הרשות הצביעה, בהתאמה למגמה הגלובלית, שתיבות מסומנות מראש, שפת המשך גלישה ובאנרי הסכמה ארוזים אינם צורות תקינות של הסכמה לפי החוק.
ההשפעה המעשית היא אותה עמדה שעורכי תוכן הפועלים ב-EEA כבר שומרים: עוגיות וכל טכנולוגיית אחסון וגישה אנלוגית שאינה נחוצה בהחלט לאספקת השירות אסורות להיקבע לפני שהמשתמש הסכים להן באופן פעיל. עוגיות הנחוצות בהחלט — מזהי סשן, תכולת עגלת קניות, אסימוני אבטחה, עוגיות איזון עומסים — ניתנות לקביעה ללא הסכמה משום שהן נופלות תחת בסיס האינטרס הלגיטימי הקשור לשירות שהמשתמש ביקש באופן פעיל. כל השאר, כולל אנליטיקה, פרסום, התאמה אישית, בדיקות A/B, הקלטת סשן וכל תג של צד שלישי, דורש הסכמה מוקדמת.
כיצד ה-PDPA שונה מה-GDPR
שלושה הבדלים חשובים לשכבת האינטגרציה. ראשית, קטלוג הבסיסים החוקיים של ה-PDPA כולל בסיס עניין ציבורי וחובה חוקית הממפים בקרבה לסעיף 6 ל-GDPR אך אינו כולל בסיס האינטרס הלגיטימי העצמאי בצורה שעורכי התוכן האירופיים מסתמכים עליה לעיבוד מדידת פרסום. המקבילה ב-PDPA צרה יותר ודורשת מבחן איזון מתועד המוגש לרשומות העיבוד של הבקר ומועמד לרשות לפי בקשה. שנית, כללי ההעברה חוצת הגבולות של ה-PDPA מחייבים את הרשות לייעד תחומי שיפוט יעד, והעברות לתחומי שיפוט לא מיועדים דורשות הסכמה מפורשת, ערבויות חוזיות שאושרו על ידי הרשות, או אחת מהחריגות הצרות. שלישית, לוח הזמנים של הודעת פרצה ב-PDPA קצר יותר לפרצות בסיכון גבוה וארוך יותר לפרצות בסיכון נמוך מכלל ה-72 שעות השטוח של GDPR — על הבקרים להודיע ללא עיכוב בלתי סביר וכשניתן, בתוך חלון שהנחיות הרשות צמצמו במהלך תקופת הכניסה לתוקף בשלבים.
איך נראה באנר עוגיות תואם תחת ה-PDPA
הדרישות הטכניות מתכנסות עם מה שכל CMP מודרני כבר מייצר, אך התיוג ורישום ההסכמה חייבים לשקף את הייחודיות של סרי לנקה. הבאנר בשכבה הראשונה חייב להציג למשתמש בחירה אמיתית — קבל, דחה, נהל — שבה אפשרות הדחייה בולטת לפחות כמו אפשרות הקבלה. הסכמה ארוזה אסורה, לכן השכבה השנייה חייבת לאפשר opt-in לפי קטגוריה המכסה לפחות אנליטיקה, פרסום וכל עיבוד התלוי בהעברה חוצת גבולות. הקטגוריות חייבות להיות מוגדרות ככבוי כברירת מחדל; הבאנר לא יטען תגים עד שהמשתמש יהפוך אותם באופן פעיל.
הודעת הפרטיות המוצגת מהבאנר חייבת לזהות את הבקר, את קטגוריות הנתונים האישיים שנאספו, את הבסיס החוקי לכל מטרת עיבוד, את תקופת שמירת הנתונים, את קטגוריות הנמענים כולל כל מעבדי משנה הפועלים מחוץ לסרי לנקה, את זכויות נושא הנתונים תחת ה-PDPA ואת פרטי יצירת הקשר של הרשות לתלונות. הודעה העומדת בתקן סעיף 13 ל-GDPR תכסה חפיפה משמעותית, אך שורות איש קשר ברשות ותחום שיפוט ההעברה חוצת הגבולות חייבות להיוסף במפורש.
תבנית האינטגרציה העוברת ביקורת הרשות
למימוש הייחוס יש ארבעה חלקים נעים. הראשון הוא CMP התומך ב-opt-in לפי קטגוריה, כבוי כברירת מחדל, וחושף את בחירת המשתמש דרך מחרוזת הסכמה מובנית שעורך התוכן יכול לשמר ברישום הסכמה. השני הוא שכבת טעינת תגים — בדרך כלל מנהל תגים בצד שרת או שער סקריפט מקורי של CMP — האוכפת בקפדנות את מצב ההסכמה לפני שהיא מאפשרת קביעת עוגייה לא חיונית כלשהי. השלישי הוא רישום הסכמה בצד שרת הרושם לכל אירוע הסכמה את בחירת המשתמש לפי קטגוריה, חותמת הזמן, גרסת באנר ההסכמה, כתובת ה-IP (קטומה או מושחרת אם הבקר החליט שזה מספק את ניתוח מזעור הנתונים שלו), והקטגוריות שהוענקו לעומת שנדחו. הרביעי הוא נתיב ביטול שהוא לפחות קל כמו ההענקה המקורית — קישור קבוע לפתיחה מחדש של הבאנר בכותרת התחתית הוא התבנית שהרשות אישרה בשתיקה בהפניה לשיטות עבודה מומלצות בינלאומיות.
- תגי אנליטיקה חייבים להיטען רק לאחר הענקת קטגוריית האנליטיקה; Google Analytics 4, Adobe Analytics, Matomo, Amplitude ו-Mixpanel כולם תומכים בתצורה מופעלת הסכמה המונעת כל כתיבת עוגייה לפני פתיחת השער.
- תגי פרסום — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, מציעי כותרת פרוגרמטיים — חייבים להיות מוגדרים בדומה עם שער, ושם שותף הפרסום מעביר נתונים מחוץ לסרי לנקה, תחום השיפוט של יעד השותף חייב להופיע בהודעת הפרטיות.
- כלי הקלטת סשן ומפת חום — Hotjar, Microsoft Clarity, FullStory — חייבים לשבת מאחורי שער נפרד ומחמיר יותר משום שהרשות, בהתאמה ל-EDPB, סיימנה את עיבוד שדות קלט כקטגוריה הדורשת הסכמה מפורשת וגרנולרית.
- גילויי העברה חוצת גבולות חייבים להיות ספציפיים לכל תחום שיפוט של נמען, לא גנריים. הרשות ציינה שנתונים מעובדים על ידי ספקי שירות ברחבי העולם אינו גילוי מספיק.
אימות ועמדת ביקורת ל-2026
פריסת סרי לנקה ניתנת להגנה ב-2026 חייבת לעבור ארבעה בדיקות. ראשית, סשן דפדפן נקי המוגש מכתובת IP של סרי לנקה חייב לייצר אפס עוגיות לא חיוניות לפני שהבאנר הופעל. שנית, נתיב דחה-הכל חייב לגרום לאותה עמדה כמו סשן ללא פעולה — אין תגי אנליטיקה, אין תגי פרסום, אין סקריפטים להקלטת סשן, רק הסט הנחוץ בהחלט. שלישית, זרימת קבל-הכל חייבת לייצר את התגים שהמשתמש הסכים להם ורישום ההסכמה חייב להכיל את הרשומה המתאימה. רביעית, זרימת ביטול חייבת להפסיק מיד ירי תגים נוספים, לפוג את העוגיות שנקבעו במהלך הסשן המוסכם ולהפעיל כל אות מחיקה או ביטול הסכמה במורד הזרם שדורשים שותפי הנמענים.
דרישת נתיב הביקורת היא המקום שבו ה-PDPA הבולט ביותר ב-2026. הרשות הוציאה הנחיות המציינות שעל הבקרים להיות מסוגלים לייצר, לפי בקשה, את רשומת ההסכמה הספציפית שאישרה כל פעילות עיבוד נתונה. משמעות הדבר שרישום ההסכמה חייב להיות ניתן לשאילתה לפי מזהה משתמש או מזהה סשן, נשמר לתקופה שהבקר תיעד בלוח שמירת הנתונים שלו, וניתן לייצוא בפורמט מובנה. CMP מוגדר כראוי עם רישום בצד שרת, בשילוב עם שכבת טעינת תגים האוכפת מצב הסכמה והודעת פרטיות המכנה כל יעד העברה חוצת גבולות, הוא מה שהופך את ה-PDPA של סרי לנקה מלא-ידוע רגולטורי לחלק ניתן להגנה מעמדת ההסכמה הגלובלית של עורך התוכן.