Leiðarvísir um samræmi við PDPA Sri Lanka í vafrakökusamþykki: Lög nr. 9 frá 2022 í gildi fyrir útgefendur árið 2026
Sri Lanka eyddi meira en áratug í löggjafarlegar rætur áður en lög um persónuvernd voru loks samþykkt sem lög nr. 9 frá 2022, vottaðar af forseta þingsins 19 March 2022. Lögin taka upp þá víðtæku uppbyggingu sem hefur orðið að alþjóðlegum staðli frá GDPR — takmörkun tilgangs, lögmætur grunnur, réttindi gagnaefna, ábyrgð, eftirlit með þverlandsflutningi, tilkynning um brot og sjálfstæður eftirlitsaðili með heimildir til stjórnvaldssekta — en innleiðir þær í kerfi sem er sérsniðið að suður-asískum verslunar- og stjórnarskrárlegum raunveruleika. Lögin tóku gildi í stigum frá 17 March 2023, með efnislegum skyldum sem virkjuðust 18 mánuðum síðar og framkvæmdarákvæðum sem tóku smám saman gildi þar til 2025 og inn í 2026. Fyrir útgefendur og aðrar einingar sem vinna persónuupplýsingar einstaklinga á Sri Lanka er afleiðingin bein: staða vafrakökusamþykkis sem uppfyllti fyrra mosaikkerfi geiralaga er ekki lengur nóg, og staða sem uppfyllir GDPR mun aðeins uppfylla PDPA ef samþætting er stillt fyrir sérstaka punkta þar sem tvö kerfi eru ólík.
Hvað PDPA Sri Lanka krefst í raun og veru
PDPA á við um vinnslu persónuupplýsinga gagnaefna sem eru á Sri Lanka, óháð því hvar stjórnandi eða vinnsluaðili er staðsettur, og á stjórnendur og vinnsluaðila sem eru staðsettir á Sri Lanka óháð staðsetningu gagnaefnanna. Þverlandsleg færni endurspeglar GDPR 3. gr. og þýðir að útgefandi án Sri Lanka-skrifstofu en með sri lankskum lesendum, forritauppsetningum eða greiðanda viðskiptavinum er beinlínis innan gildissviðs. Persónuupplýsingar eru skilgreindar á víðan hátt sem allar upplýsingar sem varða auðþekktan eða auðþekkjanlegann lifandi einstaking, og sérstöðuflokksgögn — þar á meðal lífræn, erfðafræðileg, fjárhagsleg, heilsufarsleg, kynþátta-, þjóðernislegar, trúarleg skoðun, stjórnmálaskoðun og glæpaferilsgögn — eru meðhöndluð með þrengri reglum.
Lögin koma á sjö grunnmeginreglum um persónuvernd, sex lögmætum grunnum fyrir vinnslu, hefðbundnum réttindaskrá gagnaefna — aðgangur, leiðrétting, eyðing, takmörkun, mótmæli og gagnaflutningur þar sem tæknilega mögulegt — og eftirlitsaðila, Data Protection Authority of Sri Lanka, með vald til að gefa út leiðbeiningar, leggja á stjórnvaldssektir allt að LKR 10 milljónum á hvert brot og vísa alvarlegum málum til refsivörsluyfirvaldana.
Hvernig PDPA meðhöndlar vafrakökusamþykki sérstaklega
PDPA inniheldur ekki sérstakt ePrivacy-stílsákvæði um vafrakökur, á þann hátt sem ePrivacy-tilskipun ESB gerir. Þess í stað fellir hún vafrakökuvinnslu inn í almenna GDPR-stíls samþykkisramma: allar vinnslur persónuupplýsinga sem reiða sig á samþykki sem lögmætan grunn þarf að fá á grundvelli skýrrar jákvæðrar athafnar þar sem gagnaefnið gefur til kynna samþykki, gefið frjálst, sérstaklega, upplýst og ótvírætt. DPA hefur gefið til kynna, í samræmi við alþjóðlegar tilhneigingar, að fyrirframmerktar reiti, tungumál um áframhaldandi vafur og söfnuðar samþykkisspjaldur eru ekki gildar samþykkisform samkvæmt lögunum.
Hagnýtur áhrif er sú sama staða og útgefendur sem starfa í EEA viðhalda nú þegar: vafrakökur og hverjar sem er hliðstæðar geymslu-og-aðgangstæknir sem eru ekki nauðsynlegar til að veita þjónustuna mega ekki vera stilltar áður en notandinn hefur virkur samþykkt þær. Nauðsynlegar vafrakökur — lotukennar, körfuinnihald, öryggismerki, vafrakökur fyrir álagsjöfnun — er hægt að stilla án samþykkis vegna þess að þær falla undir lögmætar-hagsmuna-grundvöllinn sem tengist þjónustunni sem notandinn hefur virkur beðið um. Allt annað, þar á meðal greiningar, auglýsingar, sérsniðið efni, A/B-prófanir, lotuendurspilun og hvers konar þriðja aðila merki, krefst fyrirfram samþykkis.
Hvernig PDPA er frábrugðinn GDPR
Þrír munur skiptir máli fyrir samþætningarstigið. Í fyrsta lagi inniheldur lögmætt-grunn-skrá PDPA almenningshagsmunagrunn og lagaskyldagrunn sem falla nær GDPR 6. gr. en inniheldur ekki sjálfstæðan lögmætra-hagsmuna-grunn á þeirri mynd sem evrópskir útgefendur nota fyrir vinnslu auglýsingamælinga. Jafngildi PDPA er þrengra og krefst skjalfestrar jafngildisprófs sem er lögð fram með skráningu um vinnslu stjórnandans og gerð DPA aðgengileg að beiðni. Í öðru lagi krefjast þverlandsflutningsreglur PDPA að DPA tilnefni marklögsögu, og flutningar til ótilnefndra lögsagna krefjast annað hvort beinlínis samþykkis, samningslíkana samþykkt af DPA, eða ein þrengra undanþágna. Í þriðja lagi er tilkynningartímabil um brot PDPA styttra fyrir háhættu brot og lengra fyrir lágáhættu brot en flata 72 stunda GDPR-regluna — stjórnendur verða að tilkynna án óhæfilegrar tafar og, þar sem mögulegt er, innan glugga sem leiðbeiningar DPA hafa þrengst á stigskiptu-gildistöku-tímabilinu.
Hvernig samræmt vafrakökuspjald lítur út samkvæmt PDPA
Tæknilegar kröfur sameinist því sem sérhver nútíma CMP framleiðir nú þegar, en merkimiðar og samþykknisferillinn verða að endurspegla sri lanksk sérálit. Fyrsta lags spjaldið verður að bjóða notandanum upp á raunverulegt val — samþykkja, hafna, stjórna — þar sem hafsturvalkosturinn er að minnsta kosti jafn áberandi og samþykktarvalkosturinn. Söfnuðu samþykki er bannað, þannig að annað lag verður að leyfa samþykki á hverja flokk sem nær yfir að lágmarki greiningar, auglýsingar og hverja sem er vinnslu sem er háð þverlandsflutningi. Flokkar verða að vera sjálfgefið af; spjaldið má ekki hlaða inn merkjum fyrr en notandinn hefur virkur kveikt á þeim.
Persónuverndartilkynningin sem birtist í spjaldinu verður að auðkenna stjórnandann, flokka persónuupplýsinga sem safnað er, lögmætan grunn fyrir hverja vinnslutilgang, gagnageymsludagsetninguna, flokka viðtakenda þar á meðal undirvinnsluaðilar sem starfa utan Sri Lanka, réttindi gagnaefnis samkvæmt PDPA og samskiptaupplýsingar DPA vegna kvartana. Tilkynning sem uppfyllir GDPR 13. gr.-staðal mun skarast að mestu, en DPA-samskipti og þverlandsflutnings-lögsögulinur verða bætt við sérstaklega.
Samþætningarmynstrið sem stenst DPA-endurskoðun
Tilvísunarinnleiðing hefur fjóra hreyfanlega hluta. Sá fyrsti er CMP sem styður opt-in á hverja flokk, sjálfgefinn slökktur og afhjúpar val notandans í gegnum skipulægð samþykkisstreng sem útgefandinn getur varðveitt í samþykknisferli. Seinni hlutinn er merki-hleðslulag — venjulega netþjónahlið-merki-stjórnandi eða CMP-innfæddur forskriftarhlið — sem beitir samþykkisástandi stranglega áður en leyft er að stilla neitt óþarfa kaka. Þriðji hlutinn er samþykknisferlir, netþjónahlið, sem skráir fyrir hvert samþykkisatvik val notandans á flokk, tímamerki, útgáfu samþyknisspjalds, IP-tölu (styttan eða hakkaðan ef stjórnandinn hefur ákveðið að þetta uppfylli gagnahagkvæmnigreiningu sína), og flokka sem voru veittir á móti hafnað. Fjórði hlutinn er afturköllunarleiðin sem er að minnsta kosti jafn auðveld og upphaflega veiting — viðvarandi spjald-enduropnunartengill í fæti er mynstrið sem DPA hefur í þögn samþykkt með tilvísun í alþjóðlegar bestu venjur.
- Greiningarmerkis verður aðeins hlaðið inn eftir að greiningarflokkurinn hefur verið veittur; Google Analytics 4, Adobe Analytics, Matomo, Amplitude og Mixpanel styðja öll samþykki-opnaða stillingu sem kemur í veg fyrir hvers konar kökurit áður en hliðin opnast.
- Auglýsingamerki — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, forritanlegar hausar-bjóðendur — verða á svipaðan hátt opnaðir og þar sem auglýsingafélaginn flytur gögn utan Sri Lanka verður marklögsaga félaga að birtast í persónuverndartilkynningunni.
- Lotuendurspilun og hita-kort verkfæri — Hotjar, Microsoft Clarity, FullStory — verður að setja á bak við sérstakan, þrengri hlið vegna þess að DPA, í samræmi við EDPB, hefur flaggað flutning innsláttarreita sem flokk sem krefst sérstaklega og nákvæmlega samþykkis.
- Þverlandsflutnings-upplýsingagjöf verður að vera sérstaklega fyrir hverja lögsögu viðtakanda, ekki almenn. DPA hefur gefið til kynna að gögn eru unnin af þjónustuaðilum um heim er ekki fullnægjandi uppljóstrun.
Staðfesting og endurskoðunarstaða fyrir 2026
Varnarhæf Sri Lanka-dreifing árið 2026 verður að standast fjórar athuganir. Í fyrsta lagi verður hreinn vafurlotur sem er þjónustur frá Sri Lanka IP-tölu að framleiða núll óþarfa kökur áður en spjaldið hefur verið aðhafst. Í öðru lagi verður hafna-allt-leiðin að leiða til sömu stöðu og engar-aðgerðir-lota — engin greiningarmerkis, engin auglýsingamerkis, engin lotuendurspilun-forskriftar, aðeins nauðsynlegar-settar. Í þriðja lagi verður samþykkja-allt-flæðið að framleiða merkjum sem notandinn hefur samþykkt og samþykknisferlirinn verður að innihalda samsvarandi skrá. Í fjórða lagi verður afturköllun-flæðið að stöðva beinar merki-skot, renna út kökurnar sem settar voru á meðan samþykktan lotu og kveikja á hvers konar niðurstreymis-eyðingar- eða opt-out-merkjum sem móttökufélagarnir krefjast.
Endurskoðunarspor-krafan er þar sem PDPA er einstaklegur árið 2026. DPA hefur gefið út leiðbeiningar sem gefa til kynna að stjórnendur ættu að vera fær um að framleiða, að beiðni, sérstaka samþykknisferlaskrá sem heimilaði hverja tiltekna vinnsluviðburð. Það þýðir að samþykknisferlirinn verður að vera fyrirspurnarhæft eftir notandaskilríki eða lotuskilríki, geymdur í tímabil sem stjórnandinn hefur skjalagillt í geymsluáætlun sinni, og flytjanlegur á skipulögðu sniði. Rétt stilltur CMP með netþjónahlið-ferli, paraður við merki-hleðslulag sem beitir samþykkisstöðu og persónuverndartilkynning sem nefnir hvert þverlandsflutnings-markmið, er það sem breytir Sri Lanka PDPA úr reglugerjandi óþekktu í varnarhæfan hluta af samþykknisstöðu útgefanda á heimsvísu.