Vodič za usklađenost pristanka na kolačiće po PDPA-u Šri Lanke: Zakon br. 9 iz 2022. na snazi za izdavače u 2026.
Šri Lanka je provela više od desetljeća u zakonodavnom procesu prije nego što je njezin Zakon o zaštiti osobnih podataka konačno donesen kao Zakon br. 9 iz 2022., koji je predsjednik parlamenta potvrdio 19 March 2022. Zakon usvaja široku arhitekturu koja je postala globalnim standardom od GDPR-a — ograničenje svrhe, pravna osnova, prava ispitanika, odgovornost, kontrole prekograničnog prijenosa, obavješćivanje o kršenjima i neovisni regulator s ovlastima za administrativne kazne — ali ih ugrađuje u režim prilagođen južnoazijskim komercijalnim i ustavnim realnostima. Zakon je počeo stupati na snagu u fazama od 17 March 2023., s aktiviranjem materijalnih obveza 18 mjeseci kasnije i postupnim uvođenjem odredbi o provedbi kroz 2025. i 2026. Za izdavače i sve druge subjekte koji obrađuju osobne podatke pojedinaca na Šri Lanki, implikacija je izravna: stav o pristanku na kolačiće koji je zadovoljavao prethodni mozaik sektorskih pravila više nije dovoljan, a stav koji zadovoljava GDPR zadovoljit će PDPA samo ako je integracija konfigurirana za specifične točke u kojima se dva režima razilaze.
Što PDPA Šri Lanke zapravo zahtijeva
PDPA se primjenjuje na obradu osobnih podataka ispitanika koji se nalaze na Šri Lanki, bez obzira na lokaciju voditelja ili izvršitelja obrade, te na voditelje i izvršitelje obrade sa sjedištem na Šri Lanki bez obzira na lokaciju ispitanika. Izvanteritorijalni doseg odražava članak 3. GDPR-a i znači da je izdavač bez šrilanškog ureda, ali sa šrilanškim čitateljima, instalacijama aplikacija ili platećim klijentima, jasno u opsegu primjene. Osobni podaci definirani su široko kao svaka informacija koja se odnosi na identificiranu ili identificabilnu živu fizičku osobu, pri čemu se posebne kategorije podataka, uključujući biometrijske, genetske, financijske, zdravstvene, rasne, etničke, vjerske uvjerenje, političke mišljenje i podatke o kaznenom registru, tretiraju prema strožim pravilima.
Zakon uspostavlja sedam temeljnih načela zaštite podataka, šest pravnih osnova za obradu, standardni katalog prava ispitanika — pristup, ispravak, brisanje, ograničenje, prigovor i prenosivost podataka gdje je tehnički izvedivo — i regulatora, Tijelo za zaštitu podataka Šri Lanke, s ovlastima za izdavanje direktiva, izricanje administrativnih kazni do LKR 10 milijuna po kršenju i upućivanje ozbiljnih predmeta na kazneni progon.
Kako PDPA tretira pristanak na kolačiće konkretno
PDPA ne sadrži zasebnu odredbu u stilu ePrivacy o kolačićima, na način na koji to čini EU-ova Direktiva o ePrivacyju. Umjesto toga, obradu kolačića uključuje u opći okvir pristanka u stilu GDPR-a: svaka obrada osobnih podataka koja se oslanja na pristanak kao svoju pravnu osnovu mora biti dobivena na temelju jasnog afirmativnog čina kojim ispitanik izražava suglasnost, slobodno danu, specifičnu, informiranu i nedvosmislenu. DPA je dosljedno naznačilo, u skladu s globalnim trendom, da unaprijed označeni okviri, jezik nastavka pregledavanja i banneri s paketiranim pristankom nisu valjani oblici pristanka u skladu sa Zakonom.
Praktični učinak je isti stav koji izdavači koji djeluju u EGP-u već održavaju: kolačići i sve analoghe tehnologije pohrane i pristupa koje nisu strogo potrebne za pružanje usluge ne smiju se postavljati prije nego što korisnik aktivno pristane na njih. Strogo potrebni kolačići — identifikatori sesije, sadržaji košarice, sigurnosni tokeni, kolačići za uravnoteženje opterećenja — mogu se postavljati bez pristanka jer spadaju pod osnovu legitimnog interesa vezanu uz uslugu koju je korisnik aktivno zatražio. Sve ostalo, uključujući analitiku, oglašavanje, personalizaciju, A/B testiranje, snimanje sesije i svaki oznaku treće strane, zahtijeva prethodni pristanak.
Kako se PDPA razlikuje od GDPR-a
Tri razlike su važne za integracijski sloj. Prvo, katalog pravnih osnova PDPA-a uključuje osnovu javnog interesa i zakonske obveze koje se usko preslikavaju na članak 6. GDPR-a, ali ne uključuje samostalnu osnovu legitimnog interesa u obliku na koji se europski izdavači oslanjaju za obradu mjerenja oglasa. PDPA-ov ekvivalent je uži, zahtijevajući dokumentirani test uravnoteženja koji se podnosi u evidenciju obrade voditelja i stavlja na raspolaganje DPA-u na zahtjev. Drugo, pravila prekograničnog prijenosa PDPA-a zahtijevaju od DPA-a da odredi odredišne jurisdikcije, a prijenosi u neodređene jurisdikcije zahtijevaju ili izričit pristanak, ugovorna jamstva odobrena od strane DPA-a ili jednu od uskih derogacija. Treće, rok za obavješćivanje o kršenjima prema PDPA-u kraći je za kršenja visokog rizika i duži za kršenja niskog rizika od fiksnog 72-satnog pravila GDPR-a — voditelji moraju obavijestiti bez nepotrebnog odgađanja i, gdje je izvedivo, unutar prozora koji je smjernica DPA-a postrožila tijekom faznog perioda stupanja na snagu.
Kako izgleda sukladni banner za kolačiće prema PDPA-u
Tehnički zahtjevi konvergiraju s onim što svaki moderan CMP već proizvodi, ali označavanje i evidencija pristanka moraju odražavati specifičnosti Šri Lanke. Banner prvog sloja mora korisniku predstaviti pravi izbor — prihvati, odbij, upravljaj — gdje je opcija odbijanja barem jednako istaknuta kao opcija prihvaćanja. Paketni pristanak je zabranjen, pa stoga drugi sloj mora omogućiti opt-in po kategoriji koji pokriva najmanje analitiku, oglašavanje i svaku obradu ovisnu o prekograničnom prijenosu. Kategorije moraju biti zadano postavljene na isključeno; banner ne smije učitavati oznake dok ih korisnik aktivno ne uključi.
Obavijest o privatnosti prikazana iz bannera mora identificirati voditelja, kategorije prikupljenih osobnih podataka, pravnu osnovu za svaku svrhu obrade, period zadržavanja podataka, kategorije primatelja uključujući izvršitelje obrade koji djeluju izvan Šri Lanke, prava ispitanika prema PDPA-u i kontaktne podatke DPA-a za pritužbe. Obavijest koja ispunjava standard članka 13. GDPR-a znatno će se preklapati, ali retci s kontaktom DPA-a i jurisdikcijom prekograničnog prijenosa moraju biti dodani izričito.
Integracijski obrazac koji prolazi pregled DPA-a
Referentna implementacija ima četiri pokretna dijela. Prvo je CMP koji podržava opt-in po kategoriji, zadano isključen, i izlaže izbor korisnika putem strukturiranog niza pristanka koji izdavač može trajno pohraniti u evidenciju pristanka. Drugi je sloj za učitavanje oznaka — tipično upravljač oznakama na strani poslužitelja ili CMP-nativna skripta - koji strogo provodi stanje pristanka prije dopuštanja postavljanja bilo kojeg neophodnog kolačića. Treći je evidencija pristanka, na strani poslužitelja, koja za svaki događaj pristanka bilježi izbor korisnika po kategoriji, vremensku oznaku, verziju bannera za pristanak, IP adresu (skraćenu ili hashiranu ako je voditelj odlučio da to zadovoljava njegovu analizu minimizacije podataka) i kategorije koje su odobrene nasuprot odbijenih. Četvrti je put povlačenja koji je barem jednako lak kao i izvorno odobravanje — trajna veza za ponovano otvaranje bannera u podnožju stranice je obrazac koji je DPA prešutno odobrio pozivanjem na međunarodnu dobru praksu.
- Oznake za analitiku smiju se učitavati samo nakon što je odobrena kategorija analitike; Google Analytics 4, Adobe Analytics, Matomo, Amplitude i Mixpanel svi podržavaju konfiguraciju ograničenu pristankom koja sprječava bilo koje pisanje kolačića prije nego što se vrata otvore.
- Oglašivačke oznake — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programatski zaglavni licitatori — moraju biti na sličan način ograničeni, a gdje oglašivački partner prenosi podatke izvan Šri Lanke, odredišna jurisdikcija partnera mora se pojaviti u obavijesti o privatnosti.
- Alati za snimanje sesije i toplinsku kartu — Hotjar, Microsoft Clarity, FullStory — moraju se nalaziti iza zasebnih, strožih vrata jer je DPA, u skladu s EDPB-om, označio renderiranje polja za unos kao kategoriju koja zahtijeva izričit i granularni pristanak.
- Otkrivanja o prekograničnom prijenosu moraju biti specifična za svaku jurisdikciju primatelja, a ne generička. DPA je naznačio da podatke obrađuju pružatelji usluga diljem svijeta nije dostatno otkrivanje.
Validacija i revizijsko stajalište za 2026.
Obranjiva šrilanška implementacija u 2026. mora proći četiri provjere. Prvo, čista sesija preglednika koja se poslužuje s šrilanške IP adrese mora proizvesti nula neophodnih kolačića prije nego što se banner aktivira. Drugo, put odbij-sve mora rezultirati istim stavom kao sesija bez akcije — bez oznaka za analitiku, bez oglašivačkih oznaka, bez skripti za snimanje sesije, samo strogo neophodan skup. Treće, tok prihvati-sve mora proizvesti oznake na koje je korisnik pristao, a evidencija pristanka mora sadržavati odgovarajući zapis. Četvrto, tok povlačenja mora odmah zaustaviti daljnje aktivacije oznaka, isteći kolačiće postavljene tijekom suglašene sesije i pokrenuti sve signale brisanja ili odjave koji se nalaze nizvodno, a koje zahtijevaju partnerski primatelji.
Zahtjev za revizijskim tragom je mjesto gdje PDPA u 2026. jest najdistinktivniji. DPA je izdao smjernice koje ukazuju da voditelji trebaju moći na zahtjev predočiti specifičan zapis pristanka koji je odobrio svaku određenu aktivnost obrade. To znači da evidencija pristanka mora biti podložna upitima prema identifikatoru korisnika ili identifikatoru sesije, zadržana za period koji je voditelj dokumentirao u svom rasporedu čuvanja i izvoziva u strukturiranom formatu. Ispravno konfiguriran CMP s evidencijom na strani poslužitelja, u paru sa slojem za učitavanje oznaka koji provodi stanje pristanka i obavijesti o privatnosti koja imenuje svako odredište prekograničnog prijenosa, jest ono što PDPA Šri Lanke pretvara iz regulatornog nepoznatog u obranjivi dio globalnog stava o pristanku izdavača.