Sri Lanka PDPA Cookie Hozzájárulás Megfelelőségi Útmutató: A 2022. évi 9. sz. törvény érvényes a kiadók számára 2026-ban

Sri Lanka több mint egy évtizedes jogalkotási folyamat után fogadta el a Személyes Adatok Védelméről szóló törvényt, amelyet 2022. évi 9. sz. törvényként hirdettek ki, és a Házelnök 19 March 2022-én hitelesített. A törvény átveszi a GDPR óta globális szabványgá vált általános szerkezetet — célhoz kötöttség, jogszerű alap, érintetti jogok, elszámoltathatóság, határokon átnyúló adattovábbítás ellenőrzése, adatvédelmi incidens bejelentése és közigazgatási szankcióval rendelkező független szabályozó — azonban ezeket a dél-ázsiai kereskedelmi és alkotmányos valósághoz igazított keretbe illeszti. A törvény fokozatosan lépett hatályba 17 March 2023-tól, az érdemi kötelezettségek 18 hónappal később aktiválódtak, a végrehajtási rendelkezések pedig 2025-ig és 2026-ba nyúlóan kerültek fokozatosan bevezetésre. A Sri Lanka-i személyes adatokat kezelő kiadók és más szervezetek számára ez közvetlen következménnyel jár: a korábbi ágazati szabályok mozaikjának megfelelő cookie-hozzájárulási helyzet már nem elegendő, és a GDPR-nak megfelelő helyzet csak akkor felel meg a PDPA-nak, ha az integráció azokra a pontokra van konfigurálva, ahol a két rendszer eltér egymástól.

Mit ír elő valójában a Sri Lanka-i PDPA

A PDPA vonatkozik a Sri Lankán tartózkodó személyek személyes adatainak kezelésére, függetlenül attól, hogy az adatkezelő vagy adatfeldolgozó hol telepedett le, valamint a Sri Lankán letelepedett adatkezelőkre és adatfeldolgozókra, függetlenül az érintettek tartózkodási helyétől. A területen kívüli hatály tükrözi a GDPR 3. cikkét, és azt jelenti, hogy a sri lankai irodával nem rendelkező, de sri lankai olvasókkal, alkalmazástelepítőkkel vagy fizető ügyfelekkel rendelkező kiadó is egyértelműen hatály alá esik. A személyes adat tágabban van meghatározva: minden azonosított vagy azonosítható természetes élő személyre vonatkozó információt jelent, és a különleges adatokat — beleértve a biometrikus, genetikai, pénzügyi, egészségügyi, faji, etnikai, vallási meggyőződésre, politikai véleményre és büntetett előéletre vonatkozó adatokat — szigorúbb szabályok alá vonják.

A törvény hét alapelvet, hat jogszerű adatkezelési alapot, a szokásos érintetti jogok körét — hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás és adathordozhatóság, ahol technikailag megvalósítható — és egy szabályozó hatóságot, a Sri Lanka Adatvédelmi Hatóságát (Data Protection Authority of Sri Lanka) hozza létre, amely irányelvek kiadására, esetenként legfeljebb LKR 10 millió összegű közigazgatási bírság kiszabására és súlyos ügyek büntetőeljárásba utalására jogosult.

Hogyan kezeli a PDPA a cookie-hozzájárulást

A PDPA nem tartalmaz az EU ePrivacy irányelvéhez hasonló, önálló cookie-ra vonatkozó ePrivacy-jellegű rendelkezést. Ehelyett a cookie-kezelést az általános GDPR-stílusú hozzájárulási keretrendszerbe foglalja: minden olyan személyes adatkezelés, amely a hozzájárulást jogszerű alapként használja, az érintett egyértelmű megerősítő cselekményén kell alapuljon, amely szabadon adott, konkrét, tájékoztatáson alapuló és egyértelmű. A DPA következetesen jelezte — összhangban a globális trenddel —, hogy az előre bejelölt négyzetek, az oldal további böngészését hozzájárulásnak tekintő nyelvezet és a csomago-lt hozzájárulású bannerek a törvény szerint nem érvényes hozzájárulási formák.

A gyakorlati hatás ugyanolyan, mint amit az EEA-ban működő kiadók már fenntartanak: a nem feltétlenül szükséges cookie-kat — és bármely analóg tárolási és hozzáférési technológiát — nem szabad elhelyezni azelőtt, hogy a felhasználó aktívan hozzájárult volna. A feltétlenül szükséges cookie-k — munkamenet-azonosítók, kosár tartalmak, biztonsági tokenek, terheléselosztó cookie-k — beleegyezés nélkül elhelyezhetők, mert a törvényes érdek alapja alá esnek. Minden más — analitika, hirdetés, személyre szabás, A/B tesztelés, munkamenet-visszajátszás és harmadik féltől származó tag — előzetes hozzájárulást igényel.

Miben tér el a PDPA a GDPR-tól

Az integrációs réteg szempontjából három különbség fontos. Először, a PDPA jogszerű alapok katalógusa tartalmaz közérdekű és jogi kötelezettségi alapot, amelyek szorosan megfelelnek a GDPR 6. cikkének, de nem tartalmazza az önálló jogos érdek alapot abban a formában, amelyre az európai kiadók a hirdetésmérési adatkezelésnél támaszkodnak. A PDPA megfelelője szűkebb: dokumentált mérlegelési tesztet igényel, amelyet az adatkezelő adatkezelési nyilvántartásához mellékelnek, és a DPA kérésére rendelkezésre bocsátanak. Másodszor, a PDPA határokon átnyúló adattovábbítási szabályai megkövetelik, hogy a DPA jelöljön ki célterületeket, és a nem kijelölt területekre irányuló adattovábbítás vagy kifejezett hozzájárulást, vagy a DPA által jóváhagyott szerződéses biztosítékokat, vagy az egyik szűk kivételt igényli. Harmadszor, a PDPA adatvédelmi incidensek bejelentési határideje rövidebb a magas kockázatú incidenseknél és hosszabb az alacsony kockázatúaknál, mint a GDPR egységes 72 órás szabálya — az adatkezelőknek indokolatlan késedelem nélkül kell értesítést küldeniük, és ahol lehetséges, az ablakon belül, amelyet a DPA útmutatása a fokozatos bevezetési szakaszban szűkített.

Hogyan néz ki egy megfelelő cookie banner a PDPA szerint

A technikai követelmények összeegyeztethetők azzal, amit minden modern CMP már produkál, de a feliratozásnak és a hozzájárulás-naplónak tükröznie kell a sri lankai sajátosságokat. Az első szintű bannernek valódi választást kell kínálnia a felhasználónak — elfogadás, elutasítás, kezelés —, ahol az elutasítási lehetőség legalább annyira szembetűnő, mint az elfogadási. Az összesített hozzájárulás tilos, ezért a második szintnek kategóriánkénti opt-int kell lehetővé tennie, legalább analitika, hirdetés és bármely határokon átnyúló adattovábbítástól függő adatkezelés tekintetében. A kategóriáknak alapértelmezés szerint kikapcsolt állapotban kell lenniük; a banner nem tölthet be tageket addig, amíg a felhasználó aktívan be nem kapcsolta őket.

A bannerből elérhető adatvédelmi értesítésnek azonosítania kell az adatkezelőt, a gyűjtött személyes adatok kategóriáit, az egyes adatkezelési célok jogszerű alapját, az adatmegőrzési időszakot, a kedvezményezettek kategóriáit — beleértve a Sri Lankán kívülről működő aladatfeldolgozókat is —, az érintett PDPA szerinti jogait és a DPA panasztételhez szükséges elérhetőségeit. A GDPR 13. cikkének szabályait teljesítő értesítés nagymértékben átfed, de a DPA-elérhetőséget és a határokon átnyúló adattovábbítás célterületét kifejezetten hozzá kell adni.

Az integrációs minta, amely átmegy egy DPA felülvizsgálatán

A referencia-implementációnak négy mozgó részből áll. Az első egy CMP, amely kategóriánkénti, alapértelmezés szerint kikapcsolt opt-int támogat, és a felhasználó döntését egy strukturált hozzájárulási karakterláncon keresztül teszi elérhetővé, amelyet a kiadó hozzájárulás-naplóban tárolhat. A második egy tag-betöltési réteg — jellemzően szerveroldali tag manager vagy CMP-natív szkript kapu —, amely szigorúan érvényesíti a hozzájárulási állapotot, mielőtt nem-alapvető cookie-t engeddne elhelyezni. A harmadik egy szerveroldali hozzájárulás-napló, amely minden hozzájárulási eseménynél rögzíti a felhasználó kategóriánkénti döntését, az időbélyeget, a hozzájárulási banner verzióját, az IP-címet (csonkított vagy kivonatolódott, ha az adatkezelő úgy döntött, hogy ez kielégíti adatminimalizálási elemzését), valamint a megadott és elutasított kategóriákat. A negyedik egy visszavonási útvonal, amely legalább olyan könnyen elérhető, mint az eredeti hozzájárulás — egy állandó banner-újramegnyitási link a láblécben az a minta, amelyet a DPA a nemzetközi legjobb gyakorlatra való hivatkozással hallgatólagosan jóváhagyott.

Ellenőrzés és auditálási helyzet 2026-ra

Egy 2026-ban védhető Sri Lanka-i telepítésnek négy ellenőrzésen kell átmennie. Először, egy Sri Lanka-i IP-címről kiszolgált tiszta böngészési munkamenetnek a banner végrehajtása előtt nulla nem-alapvető cookie-t kell produkálnia. Másodszor, az összes elutasítása útvonalnak ugyanolyan eredményt kell produkálnia, mint egy semmilyen műveletet nem végző munkamenet — nincs analitikai tag, nincs hirdetési tag, nincs munkamenet-visszajátszó szkript, csak a feltétlenül szükséges készlet. Harmadszor, az összes elfogadása folyamatnak azokat a tageket kell produkálnia, amelyekhez a felhasználó hozzájárult, és a hozzájárulás-naplónak tartalmaznia kell a megfelelő rekordot. Negyedszer, egy visszavonási folyamatnak azonnal le kell állítania a további tag-tüzeléseket, lejárttá kell tennie a hozzájárult munkamenet során elhelyezett cookie-kat, és le kell indítania a kedvezményezett partnerek által megkövetelt downstream törlési vagy opt-out jelzéseket.

Az audit-nyomvonal követelménye az, ahol a PDPA 2026-ban a leginkább megkülönböztető. A DPA útmutatást adott ki, amelyben jelzi, hogy az adatkezelőknek kérésre be kell tudniuk mutatni azt a konkrét hozzájárulási rekordot, amely adott adatkezelési tevékenységet engedélyezett. Ez azt jelenti, hogy a hozzájárulás-napló felhasználói azonosítóval vagy munkamenet-azonosítóval lekérdezhető kell legyen, egy olyan időszakig megőrizve, amelyet az adatkezelő megőrzési ütemtervében dokumentált, és strukturált formátumban exportálható. Egy megfelelően konfigurált CMP szerveroldali naplóval, párosítva egy tag-betöltési réteggel, amely érvényesíti a hozzájárulási állapotot, és egy adatvédelmi értesítéssel, amely minden határokon átnyúló adattovábbítási célterületet megnevez, az, ami a Sri Lanka-i PDPA-t a szabályozói ismeretlenből egy kiadó globális hozzájárulási helyzetének védhető részévé teszi.

← Blog Összes olvasása →