Panduan Kepatuhan Persetujuan Cookie PDPA Sri Lanka: UU No. 9 Tahun 2022 Berlaku bagi Publisher di 2026
Sri Lanka menghabiskan lebih dari satu dekade dalam jalur legislatif sebelum Undang-Undang Perlindungan Data Pribadinya akhirnya disahkan sebagai UU No. 9 Tahun 2022, disertifikasi oleh Ketua DPR pada 19 March 2022. UU ini mengadopsi arsitektur luas yang telah menjadi standar global sejak GDPR — pembatasan tujuan, dasar hukum, hak subjek data, akuntabilitas, kontrol transfer lintas batas, pemberitahuan pelanggaran, dan regulator independen dengan kewenangan penalti administratif — tetapi menanamkannya dalam rezim yang disesuaikan dengan realitas komersial dan konstitusional Asia Selatan. UU ini mulai berlaku secara bertahap sejak 17 March 2023, dengan kewajiban substantif yang diaktifkan 18 bulan kemudian dan ketentuan penegakan yang secara bertahap diberlakukan hingga 2025 dan memasuki 2026. Bagi publisher dan entitas lain yang memproses data pribadi individu di Sri Lanka, implikasinya langsung: postur persetujuan cookie yang memenuhi mosaik aturan sektoral sebelumnya tidak lagi memadai, dan postur yang memenuhi GDPR hanya akan memenuhi PDPA jika integrasinya dikonfigurasi untuk titik-titik spesifik di mana kedua rezim berbeda.
Apa yang Sebenarnya Disyaratkan PDPA Sri Lanka
PDPA berlaku untuk pemrosesan data pribadi subjek data yang berada di Sri Lanka, terlepas dari lokasi pengontrol atau pemroses, dan untuk pengontrol serta pemroses yang berdomisili di Sri Lanka terlepas dari lokasi subjek data. Jangkauan ekstrateritorial mencerminkan Pasal 3 GDPR dan berarti bahwa publisher tanpa kantor Sri Lanka tetapi memiliki pembaca Sri Lanka, instalasi aplikasi, atau pelanggan berbayar jelas berada dalam lingkup ini. Data pribadi didefinisikan secara luas sebagai informasi apa pun yang berkaitan dengan orang hidup yang teridentifikasi atau dapat diidentifikasi, dengan data kategori khusus — termasuk biometrik, genetik, keuangan, kesehatan, ras, etnis, keyakinan agama, opini politik, dan data catatan kriminal — diperlakukan dengan aturan yang lebih ketat.
UU ini menetapkan tujuh prinsip perlindungan data inti, enam dasar hukum untuk pemrosesan, daftar standar hak subjek data — akses, rektifikasi, penghapusan, pembatasan, keberatan, dan portabilitas data jika layak secara teknis — dan sebuah regulator, Data Protection Authority of Sri Lanka, dengan kewenangan untuk mengeluarkan arahan, mengenakan penalti administratif hingga LKR 10 juta per pelanggaran, dan merujuk hal-hal serius untuk penuntutan pidana.
Bagaimana PDPA Memperlakukan Persetujuan Cookie Secara Khusus
PDPA tidak mengandung ketentuan terpisah bergaya ePrivacy mengenai cookie, seperti yang dilakukan Direktif ePrivacy Uni Eropa. Sebaliknya, ia memasukkan pemrosesan cookie ke dalam kerangka persetujuan gaya GDPR umum: setiap pemrosesan data pribadi yang mengandalkan persetujuan sebagai dasar hukumnya harus diperoleh berdasarkan tindakan afirmatif yang jelas di mana subjek data menandakan persetujuan, diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu. DPA telah mengindikasikan, konsisten dengan tren global, bahwa kotak yang telah dicentang sebelumnya, bahasa melanjutkan-penelusuran, dan banner persetujuan terbundel bukan merupakan bentuk persetujuan yang valid di bawah UU.
Efek praktisnya sama dengan postur yang sudah dipertahankan publisher yang beroperasi di EEA: cookie dan teknologi penyimpanan-dan-akses analog yang tidak benar-benar diperlukan untuk memberikan layanan tidak boleh diatur sebelum pengguna secara aktif menyetujuinya. Cookie yang benar-benar diperlukan — pengidentifikasi sesi, isi keranjang, token keamanan, cookie penyeimbang beban — dapat diatur tanpa persetujuan karena berada di bawah dasar kepentingan sah yang terkait dengan layanan yang secara aktif diminta pengguna. Semua yang lain, termasuk analitik, periklanan, personalisasi, pengujian A/B, pemutaran ulang sesi, dan tag pihak ketiga mana pun, memerlukan persetujuan terlebih dahulu.
Bagaimana PDPA Berbeda dari GDPR
Tiga perbedaan penting untuk lapisan integrasi. Pertama, katalog dasar hukum PDPA mencakup dasar kepentingan publik dan kewajiban hukum yang sangat mirip dengan Pasal 6 GDPR tetapi tidak mencakup dasar kepentingan sah mandiri dalam bentuk yang diandalkan publisher Eropa untuk pemrosesan pengukuran iklan. Ekuivalen PDPA lebih sempit, memerlukan uji penyeimbangan yang didokumentasikan yang diajukan bersama catatan pemrosesan pengontrol dan tersedia bagi DPA atas permintaan. Kedua, aturan transfer lintas batas PDPA mengharuskan DPA untuk menunjuk yurisdiksi tujuan, dan transfer ke yurisdiksi yang tidak ditunjuk memerlukan persetujuan eksplisit, perlindungan kontraktual yang disetujui DPA, atau salah satu derogasi yang sempit. Ketiga, jadwal pemberitahuan pelanggaran PDPA lebih pendek untuk pelanggaran berisiko tinggi dan lebih panjang untuk pelanggaran berisiko rendah daripada aturan GDPR 72 jam yang tetap — pengontrol harus memberi tahu tanpa penundaan yang tidak semestinya dan, jika memungkinkan, dalam jangka waktu yang panduan DPA telah diperketat selama periode dimulainya bertahap.
Seperti Apa Banner Cookie yang Patuh di Bawah PDPA
Persyaratan teknis menyatu dengan apa yang sudah dihasilkan setiap CMP modern, tetapi pelabelan dan log persetujuan harus mencerminkan kekhususan Sri Lanka. Banner lapisan pertama harus menyajikan kepada pengguna pilihan nyata — terima, tolak, kelola — di mana opsi tolak setidaknya sama menonjolnya dengan opsi terima. Persetujuan terbundel dilarang, sehingga lapisan kedua harus memungkinkan opt-in per kategori yang mencakup minimal analitik, periklanan, dan pemrosesan apa pun yang bergantung pada transfer lintas batas. Kategori harus diatur secara default ke off; banner tidak boleh memuat tag sampai pengguna secara afirmatif mengaktifkannya.
Pemberitahuan privasi yang ditampilkan dari banner harus mengidentifikasi pengontrol, kategori data pribadi yang dikumpulkan, dasar hukum untuk setiap tujuan pemrosesan, periode penyimpanan data, kategori penerima termasuk sub-pemroses yang beroperasi dari luar Sri Lanka, hak subjek data di bawah PDPA, dan detail kontak DPA untuk keluhan. Pemberitahuan yang memenuhi standar Pasal 13 GDPR akan tumpang tindih secara substansial, tetapi baris kontak DPA dan yurisdiksi transfer lintas batas harus ditambahkan secara eksplisit.
Pola Integrasi yang Lulus Tinjauan DPA
Implementasi referensi memiliki empat bagian yang bergerak. Yang pertama adalah CMP yang mendukung opt-in per kategori, default-off dan mengekspos pilihan pengguna melalui string persetujuan terstruktur yang dapat disimpan publisher dalam log persetujuan. Yang kedua adalah lapisan pemuatan tag — biasanya tag manager sisi server atau gerbang skrip native CMP — yang secara ketat menegakkan status persetujuan sebelum mengizinkan cookie non-esensial apa pun untuk diatur. Yang ketiga adalah log persetujuan, sisi server, yang merekam untuk setiap acara persetujuan pilihan pengguna per kategori, cap waktu, versi banner persetujuan, alamat IP (dipotong atau di-hash jika pengontrol telah memutuskan ini memenuhi analisis minimasi datanya), dan kategori yang diberikan versus ditolak. Yang keempat adalah jalur penarikan yang setidaknya semudah pemberian asli — tautan pembukaan ulang banner persisten di footer adalah pola yang secara diam-diam didukung DPA dengan merujuk pada praktik terbaik internasional.
- Tag analitik hanya boleh dimuat setelah kategori analitik diberikan; Google Analytics 4, Adobe Analytics, Matomo, Amplitude, dan Mixpanel semuanya mendukung konfigurasi yang dibatasi persetujuan yang mencegah penulisan cookie apa pun sebelum gerbang terbuka.
- Tag periklanan — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, header bidder programatik — harus dibatasi serupa dan, di mana mitra periklanan mentransfer data di luar Sri Lanka, yurisdiksi tujuan mitra harus muncul dalam pemberitahuan privasi.
- Alat pemutaran ulang sesi dan heatmap — Hotjar, Microsoft Clarity, FullStory — harus berada di belakang gerbang yang terpisah dan lebih ketat karena DPA, sejalan dengan EDPB, telah menandai rendering bidang input sebagai kategori yang memerlukan persetujuan eksplisit dan granular.
- Pengungkapan transfer lintas batas harus spesifik untuk setiap yurisdiksi penerima, bukan generik. DPA telah mengindikasikan bahwa data diproses oleh penyedia layanan secara global bukan pengungkapan yang memadai.
Validasi dan Postur Audit untuk 2026
Penerapan Sri Lanka yang dapat dipertahankan di tahun 2026 harus melewati empat pemeriksaan. Pertama, sesi browser bersih yang dilayani dari alamat IP Sri Lanka harus menghasilkan nol cookie non-esensial sebelum banner dijalankan. Kedua, jalur tolak-semua harus menghasilkan postur yang sama dengan sesi tanpa-tindakan — tidak ada tag analitik, tidak ada tag periklanan, tidak ada skrip pemutaran ulang sesi, hanya set yang benar-benar diperlukan. Ketiga, alur terima-semua harus menghasilkan tag yang telah disetujui pengguna dan log persetujuan harus berisi catatan yang sesuai. Keempat, alur penarikan harus segera menghentikan tembakan tag lebih lanjut, mengakhiri cookie yang diatur selama sesi yang disetujui, dan memicu sinyal penghapusan atau opt-out hilir yang diperlukan mitra penerima.
Persyaratan jejak audit adalah di mana PDPA paling khas di tahun 2026. DPA telah mengeluarkan panduan yang mengindikasikan bahwa pengontrol harus dapat memproduksi, atas permintaan, catatan persetujuan spesifik yang mengotorisasi aktivitas pemrosesan tertentu. Itu berarti log persetujuan harus dapat dikueri berdasarkan pengidentifikasi pengguna atau pengidentifikasi sesi, disimpan untuk periode yang telah didokumentasikan pengontrol dalam jadwal retensinya, dan dapat diekspor dalam format terstruktur. CMP yang dikonfigurasi dengan benar dengan log sisi server, dipasangkan dengan lapisan pemuatan tag yang menegakkan status persetujuan dan pemberitahuan privasi yang menyebutkan setiap tujuan transfer lintas batas, adalah yang mengubah PDPA Sri Lanka dari hal yang tidak diketahui secara regulasi menjadi bagian yang dapat dipertahankan dari postur persetujuan global publisher.