श्रीलंका PDPA कुकी सहमति अनुपालन गाइड: 2026 में प्रकाशकों के लिए 2022 का अधिनियम संख्या 9 लागू
श्रीलंका ने अपने व्यक्तिगत डेटा संरक्षण अधिनियम को अंततः 2022 के अधिनियम संख्या 9 के रूप में अधिनियमित होने से पहले एक दशक से अधिक समय विधायी प्रक्रिया में बिताया, जिसे स्पीकर ने 19 March 2022 को प्रमाणित किया। अधिनियम उस व्यापक वास्तुकला को अपनाता है जो GDPR के बाद से वैश्विक मानक बन गई है — उद्देश्य सीमा, कानूनी आधार, डेटा-विषय अधिकार, जवाबदेही, सीमा-पार हस्तांतरण नियंत्रण, उल्लंघन अधिसूचना और प्रशासनिक-दंड शक्तियों के साथ एक स्वतंत्र नियामक — लेकिन इन्हें दक्षिण एशियाई वाणिज्यिक और संवैधानिक वास्तविकताओं के अनुरूप एक व्यवस्था में शामिल करता है। अधिनियम 17 March 2023 से चरणों में लागू हुआ, मूलभूत दायित्व 18 महीने बाद प्रभावी हुए और प्रवर्तन प्रावधान 2025 और 2026 में क्रमिक रूप से लागू हुए। प्रकाशकों और किसी भी अन्य इकाई के लिए जो श्रीलंका में व्यक्तियों का व्यक्तिगत डेटा प्रोसेस करती है, निहितार्थ प्रत्यक्ष है: कुकी-सहमति स्थिति जो सेक्टर नियमों के पिछले patchwork को संतुष्ट करती थी, अब पर्याप्त नहीं है, और GDPR को संतुष्ट करने वाली स्थिति PDPA को केवल तभी संतुष्ट करेगी जब एकीकरण उन विशिष्ट बिंदुओं के लिए कॉन्फ़िगर किया गया हो जहां दोनों व्यवस्थाएं भिन्न हैं।
श्रीलंका PDPA वास्तव में क्या आवश्यक करता है
PDPA श्रीलंका में स्थित डेटा विषयों के व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है, चाहे नियंत्रक या प्रोसेसर कहीं भी हो, और श्रीलंका में स्थापित नियंत्रकों तथा प्रोसेसरों पर लागू होता है चाहे डेटा विषय कहीं भी हों। क्षेत्रीय पहुंच GDPR अनुच्छेद 3 को दर्शाती है और इसका अर्थ है कि श्रीलंकाई कार्यालय के बिना भी श्रीलंकाई पाठकों, ऐप इंस्टॉल या भुगतान करने वाले ग्राहकों वाला प्रकाशक स्पष्ट रूप से दायरे में है। व्यक्तिगत डेटा को व्यापक रूप से एक पहचाने या पहचाने जा सकने वाले जीवित प्राकृतिक व्यक्ति से संबंधित किसी भी जानकारी के रूप में परिभाषित किया गया है, जिसमें विशेष श्रेणी डेटा में बायोमेट्रिक, आनुवंशिक, वित्तीय, स्वास्थ्य, नस्लीय, जातीय, धार्मिक विश्वास, राजनीतिक राय और आपराधिक रिकॉर्ड डेटा सख्त नियमों के अंतर्गत शामिल हैं।
अधिनियम सात मूल डेटा-संरक्षण सिद्धांत, प्रसंस्करण के लिए छह कानूनी आधार, डेटा-विषय अधिकारों की मानक सूची — एक्सेस, सुधार, मिटाना, प्रतिबंध, आपत्ति और तकनीकी रूप से संभव होने पर डेटा पोर्टेबिलिटी — और एक नियामक, श्रीलंका का डेटा संरक्षण प्राधिकरण, निदेश जारी करने, प्रति उल्लंघन LKR 10 मिलियन तक प्रशासनिक दंड लगाने और गंभीर मामलों को आपराधिक अभियोजन के लिए संदर्भित करने की शक्ति के साथ स्थापित करता है।
PDPA विशेष रूप से कुकी सहमति को कैसे मानता है
PDPA में कुकीज़ पर अलग ePrivacy-शैली का प्रावधान नहीं है, जिस तरह EU की ePrivacy निर्देशिका करती है। इसके बजाय, यह कुकी प्रसंस्करण को सामान्य GDPR-शैली सहमति ढांचे में शामिल करता है: सहमति पर आधारित व्यक्तिगत डेटा का कोई भी प्रसंस्करण एक स्पष्ट सकारात्मक कार्य के आधार पर प्राप्त किया जाना चाहिए जिससे डेटा विषय स्वतंत्र रूप से, विशेष रूप से, सूचित रूप से और स्पष्ट रूप से सहमति व्यक्त करता है। DPA ने वैश्विक प्रवृत्ति के अनुरूप लगातार संकेत दिया है कि पूर्व-चेक बॉक्स, निरंतर-ब्राउज़िंग भाषा और बंडल सहमति बैनर अधिनियम के तहत सहमति के वैध रूप नहीं हैं।
व्यावहारिक प्रभाव वही स्थिति है जो EEA में परिचालन करने वाले प्रकाशक पहले से बनाए रखते हैं: कुकीज़ और कोई भी समान भंडारण-और-पहुंच तकनीक जो सेवा प्रदान करने के लिए सख्ती से आवश्यक नहीं है, उपयोगकर्ता के सक्रिय रूप से सहमति देने से पहले सेट नहीं की जानी चाहिए। सख्ती से आवश्यक कुकीज़ — सत्र पहचानकर्ता, कार्ट सामग्री, सुरक्षा टोकन, लोड-बैलेंसिंग कुकीज़ — बिना सहमति के सेट की जा सकती हैं क्योंकि वे उस सेवा से जुड़े वैध-हित आधार के अंतर्गत आती हैं जिसे उपयोगकर्ता ने सक्रिय रूप से अनुरोध किया है। बाकी सब कुछ, जिसमें एनालिटिक्स, विज्ञापन, व्यक्तिगतकरण, A/B परीक्षण, सत्र रिप्ले और कोई भी थर्ड-पार्टी टैग शामिल हैं, के लिए पूर्व सहमति आवश्यक है।
PDPA GDPR से कैसे भिन्न है
एकीकरण परत के लिए तीन अंतर महत्वपूर्ण हैं। पहला, PDPA के कानूनी-आधार कैटलॉग में सार्वजनिक हित और कानूनी-दायित्व आधार शामिल हैं जो GDPR अनुच्छेद 6 के करीब मैप करते हैं लेकिन उस रूप में स्वतंत्र वैध-हित आधार शामिल नहीं है जिस पर यूरोपीय प्रकाशक विज्ञापन-माप प्रसंस्करण के लिए निर्भर करते हैं। PDPA का समकक्ष संकरा है, एक दस्तावेज़ीकृत संतुलन परीक्षण की आवश्यकता है जो नियंत्रक के प्रसंस्करण के रिकॉर्ड में दर्ज किया जाता है और अनुरोध पर DPA को उपलब्ध कराया जाता है। दूसरा, PDPA के सीमा-पार हस्तांतरण नियमों के लिए DPA को गंतव्य क्षेत्राधिकार निर्दिष्ट करने की आवश्यकता है, और अनिर्दिष्ट क्षेत्राधिकारों में हस्तांतरण के लिए या तो स्पष्ट सहमति, DPA-अनुमोदित संविदात्मक सुरक्षा उपाय, या संकीर्ण अपवादों में से एक की आवश्यकता है। तीसरा, PDPA की उल्लंघन अधिसूचना समयरेखा उच्च-जोखिम उल्लंघनों के लिए GDPR के सपाट 72-घंटे नियम से छोटी और निम्न-जोखिम उल्लंघनों के लिए लंबी है — नियंत्रकों को अनुचित देरी के बिना अधिसूचित करना होगा और जहां संभव हो, उस खिड़की के भीतर जिसे DPA के मार्गदर्शन ने चरणबद्ध-प्रारंभ अवधि में कड़ा किया है।
PDPA के तहत एक अनुपालित कुकी बैनर कैसा दिखता है
तकनीकी आवश्यकताएं उस चीज़ के साथ अभिसरण करती हैं जो हर आधुनिक CMP पहले से उत्पन्न करती है, लेकिन लेबलिंग और सहमति लॉग को श्रीलंकाई विशिष्टताओं को प्रतिबिंबित करना चाहिए। पहली-परत बैनर को उपयोगकर्ता को एक वास्तविक विकल्प प्रस्तुत करना होगा — स्वीकार करें, अस्वीकार करें, प्रबंधित करें — जहां अस्वीकार विकल्प कम से कम स्वीकार विकल्प जितना प्रमुख हो। बंडल सहमति प्रतिबंधित है, इसलिए दूसरी परत को प्रति-श्रेणी ऑप्ट-इन की अनुमति देनी होगी जिसमें न्यूनतम एनालिटिक्स, विज्ञापन और किसी भी सीमा-पार-हस्तांतरण-निर्भर प्रसंस्करण को शामिल किया जाए। श्रेणियां डिफ़ॉल्ट रूप से बंद होनी चाहिए; बैनर तब तक टैग लोड नहीं करेगा जब तक उपयोगकर्ता ने उन्हें सक्रिय रूप से चालू नहीं किया हो।
बैनर से प्रदर्शित गोपनीयता सूचना को नियंत्रक, एकत्रित व्यक्तिगत डेटा की श्रेणियां, प्रत्येक प्रसंस्करण उद्देश्य के लिए कानूनी आधार, डेटा प्रतिधारण अवधि, प्राप्तकर्ताओं की श्रेणियां जिनमें श्रीलंका के बाहर से संचालित होने वाले उप-प्रोसेसर भी शामिल हैं, PDPA के तहत डेटा विषय के अधिकार और शिकायतों के लिए DPA के संपर्क विवरण की पहचान करनी होगी। GDPR के अनुच्छेद 13 मानक को पूरा करने वाली सूचना काफी हद तक ओवरलैप करेगी, लेकिन DPA-संपर्क और सीमा-पार-हस्तांतरण-क्षेत्राधिकार लाइनें स्पष्ट रूप से जोड़ी जानी चाहिए।
एकीकरण पैटर्न जो DPA समीक्षा पास करता है
संदर्भ कार्यान्वयन में चार गतिशील भाग हैं। पहला एक CMP है जो प्रति-श्रेणी, डिफ़ॉल्ट-बंद ऑप्ट-इन का समर्थन करता है और उपयोगकर्ता के विकल्प को एक संरचित सहमति स्ट्रिंग के माध्यम से उजागर करता है जिसे प्रकाशक सहमति लॉग में सहेज सकता है। दूसरा एक टैग-लोडिंग परत है — आमतौर पर एक सर्वर-साइड टैग मैनेजर या CMP-नेटिव स्क्रिप्ट गेट — जो किसी भी गैर-आवश्यक कुकी सेट होने से पहले कड़ाई से सहमति स्थिति लागू करती है। तीसरा एक सहमति लॉग है, सर्वर-साइड, जो प्रत्येक सहमति घटना के लिए उपयोगकर्ता का प्रति श्रेणी विकल्प, टाइमस्टैम्प, सहमति बैनर संस्करण, IP पता (काटा या हैश किया गया यदि नियंत्रक ने तय किया है कि यह उसके डेटा-न्यूनीकरण विश्लेषण को संतुष्ट करता है) और दी गई बनाम अस्वीकृत श्रेणियां दर्ज करता है। चौथा एक निकासी पथ है जो मूल अनुदान जितना आसान है — फुटर में एक स्थायी बैनर पुनः-खोलने का लिंक वह पैटर्न है जिसे DPA ने अंतरराष्ट्रीय सर्वोत्तम प्रथाओं के संदर्भ में चुपचाप समर्थन किया है।
- एनालिटिक्स टैग केवल एनालिटिक्स श्रेणी प्रदान होने के बाद लोड किए जाने चाहिए; Google Analytics 4, Adobe Analytics, Matomo, Amplitude और Mixpanel सभी सहमति-गेटेड कॉन्फ़िगरेशन का समर्थन करते हैं जो गेट पलटने से पहले किसी भी कुकी लेखन को रोकता है।
- विज्ञापन टैग — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, प्रोग्रामेटिक हेडर बिडर्स — को इसी तरह गेट किया जाना चाहिए और जहां विज्ञापन साझेदार श्रीलंका के बाहर डेटा स्थानांतरित करता है, वहां साझेदार का गंतव्य क्षेत्राधिकार गोपनीयता सूचना में दिखना चाहिए।
- सत्र-रिप्ले और हीटमैप उपकरण — Hotjar, Microsoft Clarity, FullStory — एक अलग, सख्त गेट के पीछे होने चाहिए क्योंकि DPA ने EDPB के अनुरूप इनपुट फ़ील्ड के रेंडरिंग को एक श्रेणी के रूप में चिह्नित किया है जिसके लिए स्पष्ट और दानेदार सहमति की आवश्यकता है।
- सीमा-पार हस्तांतरण प्रकटीकरण प्रत्येक प्राप्तकर्ता क्षेत्राधिकार के लिए विशिष्ट होना चाहिए, सामान्य नहीं। DPA ने संकेत दिया है कि दुनिया भर में सेवा प्रदाताओं द्वारा डेटा संसाधित किया जाता है पर्याप्त प्रकटीकरण नहीं है।
2026 के लिए सत्यापन और ऑडिट स्थिति
2026 में एक रक्षनीय श्रीलंकाई तैनाती को चार जांचें पास करनी होंगी। पहला, श्रीलंकाई IP पते से सेवा किए गए एक साफ ब्राउज़र सत्र को बैनर पर कार्रवाई होने से पहले शून्य गैर-आवश्यक कुकीज़ उत्पन्न करनी होगी। दूसरा, सभी-अस्वीकार पथ को एक निष्क्रिय सत्र जैसी स्थिति उत्पन्न करनी होगी — कोई एनालिटिक्स टैग नहीं, कोई विज्ञापन टैग नहीं, कोई सत्र-रिप्ले स्क्रिप्ट नहीं, केवल सख्ती से आवश्यक सेट। तीसरा, सभी-स्वीकार प्रवाह को वे टैग उत्पन्न करने होंगे जिनके लिए उपयोगकर्ता ने सहमति दी है और सहमति लॉग में संबंधित रिकॉर्ड होना चाहिए। चौथा, एक निकासी प्रवाह को तुरंत आगे के टैग फायर रोकने होंगे, सहमत सत्र के दौरान सेट कुकीज़ को एक्सपायर करना होगा और डाउनस्ट्रीम हटाने या ऑप्ट-आउट सिग्नल ट्रिगर करने होंगे जो प्राप्तकर्ता साझेदारों को चाहिए।
ऑडिट-ट्रेल आवश्यकता वह है जहां PDPA 2026 में सबसे विशिष्ट है। DPA ने मार्गदर्शन जारी किया है जो दर्शाता है कि नियंत्रकों को अनुरोध पर किसी भी प्रसंस्करण गतिविधि को अधिकृत करने वाली विशिष्ट सहमति रिकॉर्ड तैयार करने में सक्षम होना चाहिए। इसका मतलब है कि सहमति लॉग उपयोगकर्ता पहचानकर्ता या सत्र पहचानकर्ता द्वारा क्वेरी-योग्य होना चाहिए, उस अवधि के लिए बनाए रखा जाना चाहिए जिसे नियंत्रक ने अपने प्रतिधारण कार्यक्रम में प्रलेखित किया है, और एक संरचित प्रारूप में निर्यात-योग्य होना चाहिए। एक सर्वर-साइड लॉग के साथ सही ढंग से कॉन्फ़िगर किया गया CMP, एक टैग-लोडिंग परत के साथ युग्मित जो सहमति स्थिति लागू करती है और एक गोपनीयता सूचना जो प्रत्येक सीमा-पार-हस्तांतरण गंतव्य का नाम देती है, वह है जो श्रीलंका PDPA को एक नियामक अज्ञात से प्रकाशक की वैश्विक सहमति स्थिति के एक रक्षनीय हिस्से में बदलती है।