Šri Lankos PDPA Slapukų Sutikimo Atitikties Vadovas: 2022 m. Įstatymas Nr. 9 Leidėjams 2026 m.
Šri Lanka praleido daugiau nei dešimtmetį teisėkūros proceso eigoje, kol jos Asmens duomenų apsaugos įstatymas pagaliau buvo priimtas kaip Įstatymas Nr. 9 (2022 m.), kurį 19 March 2022 patvirtino Parlamento pirmininkas. Įstatymas priima platų struktūrinį pagrindą, tapusį pasauliniu standartu nuo GDPR laikų — tikslo apribojimas, teisinis pagrindas, duomenų subjektų teisės, atskaitomybė, tarpvalstybinio perdavimo kontrolė, pažeidimų pranešimas ir nepriklausomas reguliatorius su administracinių nuobaudų įgaliojimais — tačiau juos įtraukia į Pietų Azijos komercinei ir konstitucinei tikrovei pritaikytą sistemą. Įstatymas įsigaliojo etapais nuo 17 March 2023, esminės prievolės suveikė po 18 mėnesių, o vykdymo nuostatos buvo laipsniškai įgyvendinamos iki 2025 m. ir į 2026 m. Leidėjams ir bet kuriems kitiems subjektams, tvarkančiems Šri Lankos gyventojų asmens duomenis, poveikis yra tiesioginis: slapukų sutikimo laikysena, atitikusi ankstesnių sektoriaus taisyklių mozaiką, nebėra pakankama, o GDPR reikalavimus atitinkanti laikysena atitiks PDPA tik tuo atveju, jei integracija sukonfigūruota konkretiems taškams, kuriuose dvi sistemos skiriasi.
Ko iš tikrųjų reikalauja Šri Lankos PDPA
PDPA taikomas duomenų subjektų, esančių Šri Lankoje, asmens duomenų tvarkymui, nepriklausomai nuo to, kur yra valdytojas ar tvarkytojas, ir Šri Lankoje įsisteigusiems valdytojams bei tvarkytojams, nepriklausomai nuo duomenų subjektų buvimo vietos. Ekstrateritorialus taikymas atitinka GDPR 3 straipsnį ir reiškia, kad leidėjas, neturintis biuro Šri Lankoje, bet turintis Šri Lankos skaitytojų, programėlių diegimų ar mokančių klientų, yra aiškiai taikymo apimtyje. Asmens duomenys apibrėžiami plačiai kaip bet kokia informacija, susijusi su identifikuotu arba identifikuojamu gyvu fiziniu asmeniu, o ypatingų kategorijų duomenys — įskaitant biometrinius, genetinius, finansinius, sveikatos, rasinius, etninius, religinių įsitikinimų, politinių pažiūrų ir baudžiamojo registro duomenis — tvarkomi pagal griežtesnes taisykles.
Įstatymas nustato septynis pagrindinius duomenų apsaugos principus, šešis teisinius tvarkymo pagrindus, standartinį duomenų subjektų teisių sąrašą — prieiga, ištaisymas, ištrynimas, apribojimas, prieštaravimas ir duomenų perkeliamumas, kai tai techniškai įmanoma — ir reguliatorių, Data Protection Authority of Sri Lanka, turintį įgaliojimus duoti direktyvas, skirti administracines baudas iki LKR 10 milijonų už pažeidimą ir perduoti rimtas bylas baudžiamajam persekiojimui.
Kaip PDPA reglamentuoja slapukų sutikimą konkrečiai
PDPA nėra atskiros ePrivacy stiliaus nuostatos dėl slapukų, kaip tai yra ES ePrivacy direktyvoje. Vietoj to, slapukų tvarkymą įtraukia į bendrą GDPR stiliaus sutikimo sistemą: bet koks asmens duomenų tvarkymas, remiantis sutikimu kaip teisiniu pagrindu, turi būti gaunamas remiantis aiškiu teigiamu veiksmu, kuriuo duomenų subjektas pareiškia sutikimą, laisvai duotą, konkretų, informuotą ir nedviprasmišką. DPA nuosekliai nurodė, laikydamasi pasaulinės tendencijos, kad iš anksto pažymėti langeliai, naršymo tęsimo kalba ir suvestiniai sutikimo reklamjuostės nėra galiojančios sutikimo formos pagal Įstatymą.
Praktinis poveikis yra tokia pat laikysena, kokią jau išlaiko EEE veikiantys leidėjai: slapukai ir analoginės saugojimo bei prieigos technologijos, kurios nėra griežtai būtinos paslaugai teikti, negali būti nustatytos, kol vartotojas aktyviai nesutiko. Griežtai būtini slapukai — sesijų identifikatoriai, krepšelio turinys, saugos žetonai, apkrovos balansavimo slapukai — gali būti nustatyti be sutikimo, nes patenka į teisėtų interesų pagrindą. Viskas kita, įskaitant analizę, reklamą, personalizavimą, A/B testavimą, sesijų atkūrimą ir bet kokią trečiosios šalies žymę, reikalauja išankstinio sutikimo.
Kuo PDPA skiriasi nuo GDPR
Trys skirtumai svarbūs integracijos sluoksniui. Pirma, PDPA teisinių pagrindų katalogas apima viešojo intereso ir teisinės prievolės pagrindus, artimus GDPR 6 straipsniui, tačiau neapima savarankiško teisėtų interesų pagrindo ta forma, kuria europiečiai leidėjai remiasi reklamos matavimo tvarkymui. PDPA atitikmuo yra siauresnis, reikalaujant dokumentuoto balansavimo testo, kuris pridedamas prie valdytojo tvarkymo įrašo ir pateikiamas DPA paprašius. Antra, PDPA tarpvalstybinio perdavimo taisyklės reikalauja, kad DPA paskirtų paskirties jurisdikcijas, o pervedimai į nepaskirtąsias jurisdikcijas reikalauja aiškaus sutikimo, DPA patvirtintų sutartinių apsaugos priemonių arba vienos iš siaurų nukrypimų. Trečia, PDPA pažeidimų pranešimo terminas yra trumpesnis didelės rizikos pažeidimams ir ilgesnis mažos rizikos pažeidimams nei GDPR standartinė 72 valandų taisyklė — valdytojai turi pranešti nepagrįstai nedelsdami ir, kur įmanoma, per langą, kurį DPA gairės sutrumpino laipsniško įsigaliojimo laikotarpiu.
Kaip atrodo suderinta slapukų reklamjuostė pagal PDPA
Techniniai reikalavimai sutampa su tuo, ką kiekvienas modernus CMP jau sukuria, tačiau etiketavimai ir sutikimo žurnalas turi atspindėti Šri Lankos specifiką. Pirmojo lygio reklamjuostė turi pateikti vartotojui tikrą pasirinkimą — sutikti, atmesti, valdyti — kur atmetimo parinktis yra bent tokia pat ryški kaip sutikimo parinktis. Suvestinis sutikimas yra draudžiamas, todėl antrasis lygis turi leisti pasirinkti pagal kategoriją, apimant bent jau analizę, reklamą ir bet kokį nuo tarpvalstybinio perdavimo priklausantį tvarkymą. Kategorijos turi būti numatytos kaip išjungtos; reklamjuostė neturi įkelti žymių, kol vartotojas jų aktyviai neįjungė.
Iš reklamjuostės rodomas privatumo pranešimas turi identifikuoti valdytoją, renkamų asmens duomenų kategorijas, kiekvieno tvarkymo tikslo teisinį pagrindą, duomenų saugojimo laikotarpį, gavėjų kategorijas, įskaitant subtvarkytojas, veikiančias ne Šri Lankoje, duomenų subjekto teises pagal PDPA ir DPA kontaktinius duomenis skundams pateikti. Pranešimas, atitinkantis GDPR 13 straipsnio standartą, iš esmės sutaps, tačiau DPA kontakto ir tarpvalstybinio perdavimo jurisdikcijos eilutės turi būti aiškiai pridėtos.
Integracijos modelis, praeinantis DPA peržiūrą
Orientacinė įgyvendinimo sistema turi keturias judančias dalis. Pirmoji yra CMP, palaikantis sutikimą pagal kategoriją, numatytąjį išjungimą, ir atskleidžiantis vartotojo pasirinkimą struktūrizuotu sutikimo eilutės formatu, kurį leidėjas gali išsaugoti sutikimo žurnale. Antroji yra žymių įkėlimo sluoksnis — paprastai serverio pusės žymių tvarkyklė arba CMP natyvus scenarijų šliuzas — griežtai vykdantis sutikimo būseną prieš leidžiant nustatyti bet kokius nebūtinus slapukus. Trečioji yra sutikimo žurnalas, serverio pusės, registruojantis kiekvienam sutikimo įvykiui vartotojo pasirinkimą pagal kategoriją, laiko žymę, sutikimo reklamjuostės versiją, IP adresą (sutrumpintą arba pakeistą maišos funkcija, jei valdytojas nusprendė, kad tai atitinka jo duomenų kiekio mažinimo analizę), ir suteiktas bei atmestas kategorijas. Ketvirtoji yra atšaukimo kelias, bent toks pat paprastas kaip ir pradinis suteikimas — nuolatinė reklamjuostės atidarymo nuoroda poraštėje yra modelis, kurį DPA tyliai patvirtino remiantis tarptautine gerąja praktika.
- Analitikos žymės turi būti įkeltos tik suteikus analitikos kategoriją; Google Analytics 4, Adobe Analytics, Matomo, Amplitude ir Mixpanel visos palaiko sutikimu pagrįstą konfigūraciją, neleidžiančią rašyti slapukų prieš atsidaro šliuzui.
- Reklamos žymės — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programiniai antraštės siūlantieji — turi būti panašiai apsaugotos, ir kai reklamos partneris perduoda duomenis ne į Šri Lanką, partnerio paskirties jurisdikcija turi būti nurodyta privatumo pranešime.
- Sesijų atkūrimo ir karštų taškų žemėlapių įrankiai — Hotjar, Microsoft Clarity, FullStory — turi būti už atskiro, griežtesnio šliuzo, nes DPA, laikydamasi EDPB, pažymėjo įvesties laukų atvaizdavimą kaip kategoriją, reikalaujančią aiškaus ir detalizuoto sutikimo.
- Tarpvalstybinio perdavimo informacijos atskleidimas turi būti konkretus kiekvienai gavėjo jurisdikcijai, o ne bendrinis. DPA nurodė, kad duomenis tvarko paslaugų teikėjai visame pasaulyje nėra pakankamas atskleidimas.
Patvirtinimas ir audito laikysena 2026 m.
Gynybiškai parengtas Šri Lankos diegimas 2026 m. turi praeiti keturis patikrinimus. Pirma, švarią naršyklės sesiją, aptarnaujamą iš Šri Lankos IP adreso, turi sudaryti nuliniai nebūtini slapukai prieš reklamjuostei veikiant. Antra, atmesti-viską kelias turi duoti tokią pačią laikyseną kaip ir be-veiksmų sesija — jokių analitikos žymių, jokių reklamos žymių, jokių sesijų atkūrimo scenarijų, tik griežtai būtinas rinkinys. Trečia, sutikti-viską srautas turi sukurti žymes, kurioms vartotojas sutiko, ir sutikimo žurnale turi būti atitinkamas įrašas. Ketvirta, atšaukimo srautas turi iš karto sustabdyti tolesnį žymių aktyvavimą, pasibaigti per sutiktą sesiją nustatytiems slapukams ir suaktyvinti bet kokius gavėjų partnerių reikalaujamus tolygaus ištrynimo ar atsisakymo signalus.
Audito sekos reikalavimas yra tai, kuo PDPA 2026 m. labiausiai išsiskiria. DPA paskelbė gaires, nurodančias, kad valdytojai turėtų gebėti pateikti paprašius konkretų sutikimo įrašą, įgaliojusį bet kokią konkrečią tvarkymo veiklą. Tai reiškia, kad sutikimo žurnalas turi būti užklausiamas pagal vartotojo identifikatorių arba sesijos identifikatorių, saugomas laikotarpiu, kurį valdytojas dokumentavo savo saugojimo grafike, ir eksportuojamas struktūrizuotu formatu. Teisingai sukonfigūruotas CMP su serverio pusės žurnalu, susietas su žymių įkėlimo sluoksniu, kuris vykdo sutikimo būseną, ir privatumo pranešimu, įvardijančiu kiekvieną tarpvalstybinio perdavimo paskirties vietą, yra tai, kas Šri Lankos PDPA paverčia iš reguliuojamos nežinomybės į gynybinę leidėjo pasaulinio sutikimo laikysenos dalį.