Шри-Ланка PDPA Cookie Келісімінің Сәйкестік Нұсқаулығы: 2026 жылы Баспагерлерге Арналған 2022 жылғы №9 Заң
Шри-Ланка Жеке деректерді қорғау туралы заңы 2022 жылғы №9 Заң ретінде қабылданғанға дейін он жылдан астам уақыт заң шығарушылық процесте болды, оны спикер 19 March 2022-де куәландырды. Заң GDPR-дан бері жаһандық стандартқа айналған кең архитектураны қабылдады — мақсатты шектеу, заңды негіз, деректер субъектісінің құқықтары, есептілік, шетелдік беруді бақылау, бұзылу туралы хабарлама және әкімшілік жаза өкілеттіктері бар тәуелсіз реттеуші — бірақ оларды Оңтүстік Азияның коммерциялық және конституциялық шындықтарына бейімделген режимге енгізді. Заң 17 March 2023-тен бастап кезең-кезеңімен күшіне енді, мәнді міндеттемелер 18 айдан кейін іске қосылды, ал орындау ережелері 2025 жылға дейін және 2026 жылға кіре кезең-кезеңімен енгізілді. Шри-Ланкадағы жеке тұлғалардың жеке деректерін өңдейтін баспагерлер мен басқа ұйымдар үшін нәтиже тікелей: бұрынғы салалық ережелер жиынтығын қанағаттандырған cookie келісімі жағдайы енді жеткіліксіз, ал GDPR-ды қанағаттандыратын жағдай екі режим ерекшеленетін арнайы нүктелер үшін интеграция конфигурацияланған жағдайда ғана PDPA-ны қанағаттандырады.
Шри-Ланка PDPA Нақтылы Не Талап Етеді
PDPA бақылаушы немесе өңдеуші қай жерде орналасқанына қарамастан Шри-Ланкада тұратын деректер субъектілерінің жеке деректерін өңдеуге және деректер субъектілерінің орналасқан жерінен тәуелсіз Шри-Ланкада орналасқан бақылаушылар мен өңдеушілерге қолданылады. Экстерриториялық қамту GDPR-дың 3-бабын көрсетеді және Шри-Ланка кеңсесі жоқ, бірақ шри-ланкалық оқырмандары, қолданбалы орнатулары немесе төлеуші тұтынушылары бар баспагер қолдану аясына кіретінін білдіреді. Жеке деректер кеңінен анықталады — сәйкестендірілген немесе сәйкестендірілетін тірі жеке тұлғаға қатысты кез келген ақпарат, арнайы санаттағы деректер — биометриялық, генетикалық, қаржылық, денсаулық, нәсілдік, этникалық, діни наным, саяси пікір және қылмыстық жазба деректерін қоса алғанда — қатаң ережелер бойынша өңделеді.
Заң жеті негізгі деректерді қорғау принципін, өңдеудің алты заңды негізін, деректер субъектісінің стандартты құқықтарының тізімін — қол жеткізу, түзету, өшіру, шектеу, қарсылық және техникалық мүмкін болса деректердің портативтілігі — және реттеушіні, Data Protection Authority of Sri Lanka-ны, орнатты; оның өкілетті нұсқаулар беруге, бір бұзылым үшін LKR 10 миллионға дейін әкімшілік жаза салуға және ауыр мәселелерді қылмыстық жауапкершілікке тарту үшін бағыттауға өкілеттігі бар.
PDPA Cookie Келісімін Нақтылы Қалай Қарастырады
PDPA ЕО ePrivacy директивасы сияқты cookie-лер туралы жеке ePrivacy стиліндегі ережені қамтымайды. Оның орнына, cookie өңдеуін жалпы GDPR стиліндегі келісім шеңберіне ендіреді: заңды негіз ретінде келісімге сүйенетін жеке деректерді кез келген өңдеу деректер субъектісі еркін, нақты, ақпаратты және анық берілген келісімді білдіретін айқын растаушы қадам негізінде алынуы тиіс. DPA жаһандық трендке сәйкес алдын ала белгіленген жолақтар, шолуды жалғастыру тілі және жинақталған келісім баннерлері Заң бойынша жарамды келісім нысандары емес екенін тұрақты түрде көрсетті.
Практикалық әсер EEA-да жұмыс істейтін баспагерлер бұрыннан сақтайтынмен бірдей: қызметті ұсыну үшін мүлдем қажет емес cookie-лер мен аналогтық сақтау-қол жеткізу технологиялары пайдаланушы белсенді түрде келісімін бермей тұрып орнатылмауы тиіс. Мүлдем қажет cookie-лер — сеанс идентификаторлары, себет мазмұны, қауіпсіздік таңбалауыштары, жүктемені теңестіру cookie-лері — пайдаланушы белсенді сұраған қызметпен байланысты заңды мүдде негізіне кіретіндіктен келісімсіз орнатылуы мүмкін. Аналитика, жарнама, жекелендіру, A/B тестілеу, сеансты қайтадан ойнату және кез келген үшінші тарап тегі қоса алғанда барлық басқалары алдын ала келісімді талап етеді.
PDPA GDPR-дан Қалай Ерекшеленеді
Интеграция қабатына үш айырмашылық маңызды. Біріншіден, PDPA-ның заңды негіздер каталогы GDPR-дың 6-бабына жақын қоғамдық мүдде мен заңды міндеттеме негіздерін қамтиды, бірақ еуропалық баспагерлер жарнаманы өлшеу өңдеуіне сүйенетін тұрпатта дербес заңды мүдде негізін қамтымайды. PDPA-ның баламасы тарырақ — бақылаушының өңдеу жазбасымен бірге сақталатын және талап бойынша DPA-ға ұсынылатын құжатталған теңестіру тестін талап етеді. Екіншіден, PDPA-ның шекарааралық беру ережелері DPA-ның тағайындалмаған юрисдикцияларға берулер үшін тағайындалған юрисдикцияларды белгілеуін талап етеді, ал тағайындалмаған юрисдикцияларға берулер не нақты келісімді, не DPA мақұлдаған шарттық кепілдіктерді, не тар жеңілдіктердің бірін талап етеді. Үшіншіден, PDPA-ның бұзылу туралы хабарлама мерзімі жоғары тәуекелді бұзылулар үшін GDPR-дың жалпақ 72 сағаттық ережесінен қысқа және төмен тәуекелді бұзылулар үшін ұзағырақ — бақылаушылар негізсіз кідіріссіз хабарлауы тиіс.
PDPA Бойынша Сәйкес Cookie Баннері Қандай Болып Көрінеді
Техникалық талаптар барлық заманауи CMP бұрыннан шығаратынмен сәйкес келеді, бірақ таңбалау мен келісім журналы Шри-Ланка ерекшеліктерін көрсетуі тиіс. Бірінші деңгейлі баннер пайдаланушыға нақты таңдау ұсынуы керек — қабылдау, бас тарту, басқару — мұнда бас тарту опциясы қабылдау опциясынан кем айқын болмауы тиіс. Жинақталған келісім тыйым салынған, сондықтан екінші деңгей кем дегенде аналитика, жарнама және шекарааралық берулерге тәуелді өңдеуді қамтитын санат бойынша opt-in-ге рұқсат беруі тиіс. Санаттар әдепкі бойынша өшіру күйіне орнатылуы тиіс; пайдаланушы оларды белсенді түрде қоспайынша баннер тегтерді жүктемеуі тиіс.
Баннерден берілген құпиялылық хабарламасы бақылаушыны, жиналатын жеке деректер санаттарын, әрбір өңдеу мақсатының заңды негізін, деректерді сақтау кезеңін, Шри-Ланкадан тыс жерде жұмыс істейтін ішкі өңдеушілерді қоса алғандағы алушылар санаттарын, PDPA бойынша деректер субъектісінің құқықтарын және шағым үшін DPA-ның байланыс деректерін анықтауы тиіс. GDPR-дың 13-бабы стандартын қанағаттандыратын хабарлама едәуір қабаттасады, бірақ DPA байланысы мен шекарааралық берулер юрисдикциясының жолдарын нақты қосу керек.
DPA Тексеруінен Өтетін Интеграция Үлгісі
Сілтемелік іске асырудың төрт қозғалмалы бөлігі бар. Бірінші — санат бойынша, әдепкі өшіру opt-in-ді қолдайтын және пайдаланушының таңдауын баспагер келісім журналында сақтай алатын құрылымдық келісім жолы арқылы ашатын CMP. Екінші — тег жүктеу қабаты, — әдетте сервер жақтағы тег менеджері немесе CMP-нативті скрипт шлюзі — кез келген маңызды емес cookie орнатылуына рұқсат бермес бұрын келісім күйін қатаң орындайды. Үшінші — сервер жағындағы келісім журналы, ол әрбір келісім оқиғасы үшін санат бойынша пайдаланушының таңдауын, уақыт белгісін, келісім баннерінің нұсқасын, IP мекенжайын (бақылаушы деректерді азайту талдауын қанағаттандырады деп шешсе қысқартылған немесе хэштелген) және берілген санаттарды бас тартылғандармен тіркейді. Төртінші — кем дегенде бастапқы берумен бірдей оңай болуы тиіс жою жолы — нижесінде тұрақты баннерді қайта ашу сілтемесі DPA халықаралық үздік тәжірибеге сілтеме жасай отырып жанама мақұлдаған үлгі.
- Аналитика тегтері аналитика санаты берілгеннен кейін ғана жүктелуі тиіс; Google Analytics 4, Adobe Analytics, Matomo, Amplitude және Mixpanel барлығы шлюз ашылғанға дейін cookie жазбаларының алдын алатын келісіммен бекітілген конфигурацияны қолдайды.
- Жарнама тегтері — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, бағдарламалық header бидерлер — ұқсас бекітілуі тиіс және жарнамалық серіктес деректерді Шри-Ланкадан тыс жерге берсе, серіктестің тағайындалған юрисдикциясы құпиялылық хабарламасында көрсетілуі тиіс.
- Сеансты қайтадан ойнату және жылу картасы құралдары — Hotjar, Microsoft Clarity, FullStory — бөлек, қатаңырақ шлюздің артында болуы тиіс, өйткені DPA EDPB-мен қатар кіріс өрістерін визуализациялауды нақты және бөлшектелген келісімді талап ететін санат ретінде белгіледі.
- Шекарааралық беру ашулары жалпылама емес, әрбір алушы юрисдикциясына арнайы болуы тиіс. DPA деректер бүкіл әлем бойынша қызмет провайдерлері арқылы өңделеді жеткілікті ашу емес екенін көрсетті.
2026 жылға Арналған Тексеру және Аудит Жағдайы
2026 жылы Шри-Ланкада қорғаныс мүмкін орналастыру төрт тексеруден өтуі тиіс. Біріншіден, Шри-Ланка IP мекенжайынан берілетін таза браузер сеансы баннерге іс-қимыл жасалмай тұрып нөлдік маңызды емес cookie-лерді шығаруы тиіс. Екіншіден, барлығынан бас тарту жолы ешқандай іс-қимыл жасалмаған сеанспен бірдей жағдай шығаруы тиіс — аналитика тегтері жоқ, жарнама тегтері жоқ, сеансты қайтадан ойнату сценарийлері жоқ, тек мүлдем қажет жиынтық. Үшіншіден, барлығын қабылдау ағымы пайдаланушы келіскен тегтерді шығаруы тиіс және келісім журналы сәйкес жазбаны қамтуы тиіс. Төртіншіден, жою ағымы тегтің одан әрі жануын дереу тоқтатуы, келісілген сеанс кезінде орнатылған cookie-лердің мерзімін аяқтауы және алушы серіктестер талап ететін ағынды жою немесе бас тарту сигналдарын іске қосуы тиіс.
Аудит ізінің талабы 2026 жылы PDPA ең айрықша болатын жер. DPA бақылаушылардың сұраныс бойынша кез келген өңдеу қызметіне рұқсат берген нақты келісім жазбасын шығара алуы керек екенін көрсететін нұсқаулық шығарды. Бұл келісім журналы пайдаланушы идентификаторы немесе сеанс идентификаторы бойынша сұрауға болатын болуы тиіс, бақылаушы өзінің сақтау кестесінде құжаттаған кезеңде сақталады және құрылымдық форматта экспортталуы мүмкін дегенді білдіреді. Сервер жағындағы журналы бар дұрыс конфигурацияланған CMP, келісім күйін орындайтын тег жүктеу қабатымен және әрбір шекарааралық берулер тағайындалған жерін атайтын құпиялылық хабарламасымен жұптасқан, Шри-Ланка PDPA-ны реттеушілік белгісіз жерден баспагердің жаһандық келісім жағдайының қорғаушы бөлігіне айналдыратын нәрсе осы.