შრი-ლანკის PDPA Cookie-ს თანხმობის შესაბამისობის სახელმძღვანელო: 2022 წლის №9 კანონი გამომცემლებისთვის 2026 წელს

შრი-ლანკამ ათ წელზე მეტი გაატარა საკანონმდებლო პროცესში სანამ პერსონალური მონაცემების დაცვის კანონი საბოლოოდ მიღებული იქნა 2022 წლის №9 კანონად, სპიკერის მიერ სერტიფიცირებული 19 March 2022-ს. კანონი იღებს ფართო არქიტექტურას, რომელიც გახდა გლობალური სტანდარტი GDPR-ის შემდეგ — მიზნის შეზღუდვა, კანონიერი საფუძველი, მონაცემთა სუბიექტის უფლებები, პასუხისმგებლობა, საზღვარგარეთის გადაცემის კონტროლი, დარღვევის შეტყობინება და ადმინისტრაციული ჯარიმის უფლებამოსილების მქონე დამოუკიდებელი მარეგულირებელი — მაგრამ ათავსებს მათ სამხრეთ აზიის კომერციულ და კონსტიტუციურ სინამდვილეზე მორგებულ რეჟიმში. კანონი ეტაპობრივად ამოქმედდა 17 March 2023-დან, მატერიალური ვალდებულებები 18 თვის შემდეგ გააქტიურდა, ხოლო სამართლებრივი დებულებები 2025 წლამდე და 2026 წელში ეტაპობრივად შევიდა ძალაში. გამომცემლებისა და სხვა ერთეულებისთვის, რომლებიც ამუშავებენ შრი-ლანკაში მყოფი პირების პერსონალურ მონაცემებს, შედეგი პირდაპირია: cookie-ს თანხმობის პოზა, რომელიც წინა სექტორული წესების მოზაიკას აკმაყოფილებდა, საკმარისი აღარ არის, ხოლო GDPR-ს შემსაბამებელი პოზა PDPA-ს მხოლოდ მაშინ დააკმაყოფილებს, თუ ინტეგრაცია კონფიგურირებულია კონკრეტული წერტილებისთვის, სადაც ორი რეჟიმი განსხვავდება.

რასაც შრი-ლანკის PDPA სინამდვილეში მოითხოვს

PDPA ვრცელდება შრი-ლანკაში მყოფი მონაცემთა სუბიექტების პერსონალური მონაცემების დამუშავებაზე, მიუხედავად კონტროლორის ან მამუშავებლის მდებარეობისა, ასევე შრი-ლანკაში დაფუძნებულ კონტროლორებსა და მამუშავებლებზე, მიუხედავად მონაცემთა სუბიექტების მდებარეობისა. ექსტერიტორიული охвати ასახავს GDPR-ის მე-3 მუხლს და ნიშნავს, რომ გამომცემელი შრი-ლანკის ოფისის გარეშე, მაგრამ შრი-ლანკელი მკითხველებით, აპლიკაციის ინსტალაციებით ან მომხმარებლებით, ნამდვილად ექვემდებარება გამოყენების სფეროს. პერსონალური მონაცემები ფართოდ არის განმარტებული, როგორც ნებისმიერი ინფორმაცია, რომელიც ეხება იდენტიფიცირებულ ან იდენტიფიცირებად ცოცხალ ფიზიკურ პირს, სპეციალური კატეგორიის მონაცემები — მათ შორის ბიომეტრული, გენეტიკური, ფინანსური, ჯანმრთელობის, რასობრივი, ეთნიკური, რელიგიური შეხედულებების, პოლიტიკური მოსაზრებებისა და სისხლისსამართლებრივი ჩანაწერის მონაცემები — უფრო მკაცრი წესების მიხედვით განიხილება.

კანონი ადგენს შვიდ ძირითად მონაცემთა დაცვის პრინციპს, დამუშავების ექვს კანონიერ საფუძველს, მონაცემთა სუბიექტის უფლებების სტანდარტულ ჩამონათვალს — წვდომა, გასწორება, წაშლა, შეზღუდვა, წინააღმდეგობა და მონაცემთა გადაცემა ტექნიკურად შესაძლებლობის შემთხვევაში — და მარეგულირებელს, Data Protection Authority of Sri Lanka-ს, რომელსაც აქვს უფლება გასცეს დირექტივები, დააკისროს ადმინისტრაციული ჯარიმები თითო დარღვევაზე LKR 10 მილიონამდე და გადასცეს სერიოზული საქმეები სისხლის სამართლის დევნისთვის.

როგორ ეხება PDPA cookie-ს თანხმობას კონკრეტულად

PDPA არ შეიცავს cookie-ებზე ცალკე ePrivacy სტილის დებულებას, ისე, როგორც ამას ევროკავშირის ePrivacy დირექტივა აკეთებს. სამაგიეროდ, ის cookie-ს დამუშავებას ზოგადი GDPR სტილის თანხმობის ჩარჩოში ათავსებს: ნებისმიერი პერსონალური მონაცემების დამუშავება, რომელიც ეყრდნობა თანხმობას კანონიერ საფუძვლად, უნდა მიღებული იყოს მკაფიო დადებითი ქმედების საფუძველზე, რომლითაც მონაცემთა სუბიექტი გამოხატავს თანხმობას, თავისუფლად მიცემულს, კონკრეტულს, ინფორმირებულს და ცალსახას. DPA-მ მიუთითა, გლობალური ტენდენციის შესაბამისად, რომ წინასწარ მონიშნული ველები, გვერდის გადათვალიერების გაგრძელების ენა და ერთობლივი თანხმობის ბანერები არ წარმოადგენს კანონის შესაბამის სამართლებრივ თანხმობის ფორმებს.

პრაქტიკული ეფექტი იგივეა, რაც EEA-ში მოქმედი გამომცემლები უკვე ინარჩუნებენ: cookie-ები და ნებისმიერი ანალოგიური შენახვა-და-წვდომის ტექნოლოგია, რომელიც მკაცრად საჭირო არ არის სერვისის მიწოდებისთვის, არ უნდა დაყენდეს სანამ მომხმარებელი აქტიურად არ დათანხმდა. მკაცრად საჭირო cookie-ები — სესიის იდენტიფიკატორები, კალათის შინაარსი, უსაფრთხოების ნიშნები, დატვირთვის განაწილების cookie-ები — შეიძლება დაყენდეს თანხმობის გარეშე, რადგან ისინი კანონიერი ინტერესის საფუძველის ქვეშ ხვდებიან. ყველაფერი სხვა, მათ შორის ანალიტიკა, რეკლამა, პერსონალიზაცია, A/B ტესტირება, სესიის ჩამწერი და ნებისმიერი მესამე მხარის ტეგი, მოითხოვს წინასწარ თანხმობას.

როგორ განსხვავდება PDPA GDPR-ისგან

სამი განსხვავება მნიშვნელოვანია ინტეგრაციის ფენისთვის. პირველი, PDPA-ს კანონიერი საფუძვლების კატალოგი მოიცავს საჯარო ინტერესისა და სამართლებრივი ვალდებულების საფუძვლებს, რომლებიც GDPR-ის მე-6 მუხლთან ახლოს დგანან, მაგრამ არ მოიცავს დამოუკიდებელ კანონიერი ინტერესის საფუძველს იმ ფორმით, რომელზეც ევროპელი გამომცემლები ეყრდნობიან რეკლამის გაზომვის დამუშავებისთვის. PDPA-ს ეკვივალენტი უფრო ვიწროა და მოითხოვს დოკუმენტირებულ დაბალანსების ტესტს, რომელიც ინახება კონტროლორის დამუშავების ჩანაწერთან ერთად და ხელმისაწვდომია DPA-სთვის მოთხოვნის შემთხვევაში. მეორე, PDPA-ს სასაზღვრო გადაცემის წესები მოითხოვს, რომ DPA-მ დანიშნოს სასამართლო განსჯის ადგილები, ხოლო განუსაზღვრელ სასამართლო განსჯის ადგილებში გადაცემა მოითხოვს ან ცალსახა თანხმობას, DPA-ს მიერ დამტკიცებულ სახელშეკრულებო გარანტიებს, ან ვიწრო გამონაკლისებიდან ერთ-ერთს. მესამე, PDPA-ს დარღვევის შეტყობინების ვადა უფრო მოკლეა მაღალი რისკის დარღვევებისთვის და უფრო გრძელი დაბალი რისკის დარღვევებისთვის, ვიდრე GDPR-ის 72 საათის ბრტყელი წესი — კონტროლორებმა უნდა შეატყობინონ უსაფუძვლო დაყოვნების გარეშე.

როგორ გამოიყურება PDPA-ს შესაბამისი cookie-ის ბანერი

ტექნიკური მოთხოვნები ემთხვევა იმას, რასაც თანამედროვე CMP უკვე ქმნის, მაგრამ ეტიკეტირება და თანხმობის ჟურნალი უნდა ასახავდეს შრი-ლანკის სპეციფიკას. პირველი ფენის ბანერი უნდა წარუდგენდეს მომხმარებელს რეალურ არჩევანს — მიღება, უარყოფა, მართვა — სადაც უარყოფის ვარიანტი ნაკლებ არ არის გამოჩენილი, ვიდრე მიღების ვარიანტი. ერთობლივი თანხმობა აკრძალულია, ამიტომ მეორე ფენა უნდა იძლეოდეს კატეგორიის მიხედვით opt-in, მინიმუმ ანალიტიკის, რეკლამის და ნებისმიერი სასაზღვრო გადაცემაზე დამოკიდებული დამუშავების მოიცვა. კატეგორიები ნაგულისხმევად უნდა იყოს გამორთული; ბანერი ტეგებს არ უნდა ატვირთავდეს სანამ მომხმარებელი მათ აქტიურად არ ჩართავს.

ბანერიდან ნაჩვენები კონფიდენციალობის შეტყობინება უნდა ადგენდეს კონტროლორს, შეგროვებული პერსონალური მონაცემების კატეგორიებს, თითოეული დამუშავების მიზნის კანონიერ საფუძველს, მონაცემთა შენახვის პერიოდს, მიმღებების კატეგორიებს, მათ შორის ქვე-მამუშავებლებს, რომლებიც შრი-ლანკის გარეთ მუშაობენ, PDPA-ს ქვეშ მონაცემთა სუბიექტის უფლებებს და DPA-ს საკონტაქტო ინფორმაციას საჩივრებისთვის. GDPR-ის მე-13 მუხლის სტანდარტის დამაკმაყოფილებელი შეტყობინება მნიშვნელოვნად გადაფარავს, მაგრამ DPA-ს კონტაქტი და სასაზღვრო გადაცემის სასამართლო განსჯის ხაზები ცალსახად უნდა დაემატოს.

ინტეგრაციის ნიმუში, რომელიც DPA-ს განხილვას გაივლის

სარეფერენციო განხორციელებას ოთხი მოძრავი ნაწილი აქვს. პირველი არის CMP, რომელიც მხარს უჭერს კატეგორიის მიხედვით, ნაგულისხმევად გამორთულ opt-in-ს და ამჟღავნებს მომხმარებლის არჩევანს სტრუქტურული თანხმობის სტრიქონის მეშვეობით, რომელიც გამომცემელს შეუძლია შეინახოს თანხმობის ჟურნალში. მეორე არის ტეგის ჩატვირთვის ფენა — ჩვეულებრივ სერვერის მხარის ტეგ მენეჯერი ან CMP-ნატიური სკრიპტის კარიბჭე — რომელიც მკაცრად ახორციელებს თანხმობის სტატუსს სანამ ნებისმიერი არაარსებითი cookie-ს დაყენებას დაუშვებდეს. მესამე არის თანხმობის ჟურნალი, სერვერის მხარის, რომელიც თითოეული თანხმობის მოვლენისთვის ინიშნება მომხმარებლის კატეგორიის მიხედვით არჩევანს, დროის ნიშანს, თანხმობის ბანერის ვერსიას, IP მისამართს (შემოკლებულ ან ჰეშირებულ, თუ კონტროლორმა გადაწყვიტა, რომ ეს მონაცემთა მინიმიზაციის ანალიზს აკმაყოფილებს) და მინიჭებულ კატეგორიებს უარყოფილებთან შედარებით. მეოთხე არის გამოხმობის გზა, რომელიც სულ ცოტა ისეთივე მარტივია, როგორც თავდაპირველი მინიჭება — ფუტერში მუდმივი ბანერის ხელახლა გახსნის ბმული არის ნიმუში, რომელიც DPA-მ ირიბად დაამტკიცა საერთაშორისო საუკეთესო პრაქტიკაზე მითითებით.

ვალიდაცია და ოდიტის პოზა 2026 წლისთვის

შრი-ლანკის დაცვადი განლაგება 2026 წელს ოთხ შემოწმებას უნდა გაივლიდეს. პირველი, შრი-ლანკის IP მისამართიდან მომსახურებული სუფთა ბრაუზერის სესია ნულოვანი არაარსებითი cookie-ების წარმოება უნდა გამოიღოს ბანერის მოქმედებამდე. მეორე, ყველა-უარყოფის გზამ ისეთივე პოზა უნდა გამოიღოს, როგორც მოქმედება-არ-ყოფილა სესია — ანალიტიკის ტეგები არ, სარეკლამო ტეგები არ, სესიის ჩამწერი სკრიპტები არ, მხოლოდ მკაცრად საჭირო კომპლექტი. მესამე, ყველა-მიღების ნაკადმა ტეგები უნდა გამოიღოს, რომლებზეც მომხმარებელი დათანხმდა, და თანხმობის ჟურნალი შესაბამის ჩანაწერს უნდა შეიცავდეს. მეოთხე, გამოხმობის ნაკადმა დაუყოვნებლივ უნდა შეაჩეროს ტეგის შემდგომი გამოყენება, ვადა გაუსვას cookie-ებს, რომლებიც თანხმობილი სესიის განმავლობაში დაყენდა, და მიმღები პარტნიორების მიერ მოთხოვნილ ქვედინებურ წაშლის ან opt-out სიგნალებს მოახდინოს ტრიგერი.

ოდიტის კვალის მოთხოვნა ის ადგილია, სადაც PDPA 2026 წელს ყველაზე გამოირჩევა. DPA-მ გამოაქვეყნა სახელმძღვანელო, სადაც მითითებულია, რომ კონტროლორები უნდა შეძლებდნენ მოთხოვნისამებრ, კონკრეტული თანხმობის ჩანაწერის წარდგენას, რომელმაც ნებართვა მისცა ნებისმიერ მოცემულ დამუშავების საქმიანობას. ეს ნიშნავს, რომ თანხმობის ჟურნალი მომხმარებლის იდენტიფიკატორის ან სესიის იდენტიფიკატორის მიხედვით უნდა იყოს შეკითხვადი, შენახული პერიოდისთვის, რომელიც კონტროლორმა დაასუფთავა შენახვის განრიგში, და ექსპორტირებადი სტრუქტურული ფორმატში. სწორად კონფიგურირებული CMP სერვერის მხარის ჟურნალით, შეწყვილებული ტეგის ჩატვირთვის ფენასთან, რომელიც ახორციელებს თანხმობის სტატუსს, და კონფიდენციალობის შეტყობინებასთან, რომელიც თითოეულ სასაზღვრო გადაცემის დანიშნულებას ასახელებს, არის ის, რაც შრი-ლანკის PDPA-ს მარეგულირებელი უცნობიდან გამომცემლის გლობალური თანხმობის პოზის დაცვად ნაწილად გარდაქმნის.

← ბlodelays delays ყველას წაკითხვა →