Šrilankas PDPA sīkdatņu piekrišanas atbilstības rokasgrāmata: Likums Nr. 9 (2022) izdevēju darbībā 2026. gadā

Šrilanka pavadīja vairāk nekā desmit gadus likumdošanas procesā, pirms tās Personas datu aizsardzības likums tika galīgi pieņemts kā Likums Nr. 9 (2022), ko sertificēja spīkers 2022. gada 19. martā. Likums pieņem plašo arhitektūru, kas ir kļuvusi par globālo standartu kopš GDPR — mērķa ierobežojums, likumīgs pamats, datu subjektu tiesības, atbildība, pārrobežu pārsūtīšanas kontrole, pārkāpumu paziņošana un neatkarīgs regulators ar administratīvo sodu pilnvarām — bet iestata tos režīmā, kas pielāgots Dienvidāzijas komerciālajiem un konstitucionālajiem apstākļiem. Likums stājās spēkā pakāpeniski no 2023. gada 17. marta, ar būtiskajiem pienākumiem aktivizējoties 18 mēnešus vēlāk un izpildes noteikumiem pakāpeniski ieviešoties caur 2025. gadu un ienākot 2026. gadā. Izdevējiem un jebkurai citai vienībai, kas apstrādā Šrilankā esošo personu personas datus, sekas ir tieša: sīkdatņu piekrišanas pozīcija, kas apmierināja iepriekšējo nozaru noteikumu mozaīku, vairs nav pietiekama, un pozīcija, kas apmierina GDPR, apmierinās PDPA tikai tad, ja integrācija ir konfigurēta konkrētajiem punktiem, kuros abi režīmi atšķiras.

Ko Šrilankas PDPA faktiski prasa

PDPA attiecas uz tādu personu personas datu apstrādi, kas atrodas Šrilankā, neatkarīgi no tā, kur atrodas pārzinis vai apstrādātājs, kā arī uz Šrilankā reģistrētiem pārziņiem un apstrādātājiem neatkarīgi no tā, kur atrodas datu subjekti. Teritoriālā piemērojamība atspoguļo GDPR 3. pantu un nozīmē, ka izdevējs bez Šrilankas biroja, bet ar šrilankas lasītājiem, lietoņu instalācijām vai maksājošiem klientiem ir pilnīgi pakļauts tā darbības jomai. Personas dati ir plaši definēti kā jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku dzīvu personu, ar īpašo kategoriju datiem, ieskaitot biometriskos, ģenētiskos, finansiālos, veselības, rases, etniskos, reliģisko uzskatu, politisko uzskatu un kriminālās ierakstu datus, uz kuriem attiecas stingrāki noteikumi.

Likums nosaka septiņus galvenos datu aizsardzības principus, sešus likumīgos apstrādes pamatus, standarta datu subjektu tiesību kopumu — piekļuvi, labošanu, dzēšanu, ierobežošanu, iebildumus un datu pārnesamību, kur tehniski iespējams — un regulatoru, Šrilankas Datu aizsardzības iestādi, ar pilnvarām izdot direktīvas, uzlikt administratīvos sodus līdz LKR 10 miljoniem par katru pārkāpumu un nodot nopietnas lietas kriminālvajāšanai.

Kā PDPA īpaši izturas pret sīkdatņu piekrišanu

PDPA nesatur atsevišķu ePrivacy veida noteikumu par sīkdatnēm, kā to dara ES ePrivacy direktīva. Tā vietā tā sīkdatņu apstrādi iekļauj vispārējā GDPR stila piekrišanas ietvarā: jebkurai personas datu apstrādei, kas balstās uz piekrišanu kā tās likumīgo pamatu, jāiegūst, pamatojoties uz skaidru apstiprinošu darbību, ar kuru datu subjekts pauž piekrišanu, brīvi dotu, konkrētu, informētu un nepārprotamu. DPA ir norādījis, saskanīgi ar globālo tendenci, ka iepriekš atzīmētas rūtiņas, turpinošās pārlūkošanas valoda un apvienotie piekrišanas banneri nav derīgas piekrišanas formas saskaņā ar Likumu.

Praktiskā iedarbība ir tā pati pozīcija, ko izdevēji, kas darbojas EEA, jau uztur: sīkdatnes un jebkuras analogās glabāšanas un piekļuves tehnoloģijas, kas nav stingri nepieciešamas pakalpojuma sniegšanai, nedrīkst iestatīt pirms lietotājs ir aktīvi tām piekritis. Stingri nepieciešamās sīkdatnes — sesijas identifikatori, groza saturs, drošības marķieri, slodzes balansēšanas sīkdatnes — var iestatīt bez piekrišanas, jo tās ietilpst leģitīmo interešu pamatā, kas saistīts ar pakalpojumu, ko lietotājs aktīvi pieprasījis. Viss pārējais, ieskaitot analītiku, reklāmu, personalizāciju, A/B testēšanu, sesiju atkārtošanu un jebkuru trešās puses tagu, prasa iepriekšēju piekrišanu.

Kā PDPA atšķiras no GDPR

Trīs atšķirības ir svarīgas integrācijas slānim. Pirmkārt, PDPA likumīgā pamata katalogs ietver sabiedriskās intereses un juridiskā pienākuma pamatu, kas cieši atbilst GDPR 6. pantam, bet neietver atsevišķu leģitīmo interešu pamatu formā, ko Eiropas izdevēji izmanto reklāmas mērīšanas apstrādei. PDPA ekvivalents ir šaurāks, prasot dokumentētu līdzsvarošanas testu, kas tiek iesniegts kopā ar pārziņa apstrādes uzskaiti un darīts pieejams DPA pēc pieprasījuma. Otrkārt, PDPA pārrobežu pārsūtīšanas noteikumi prasa DPA norādīt galamērķa jurisdikcijas, un pārsūtīšanai uz nenorādītajām jurisdikcijām nepieciešama vai nu nepārprotama piekrišana, DPA apstiprinātas līgumiskās garantijas vai kāda no šaurajām atkāpēm. Treškārt, PDPA pārkāpumu paziņošanas termiņš augsta riska pārkāpumiem ir īsāks un zema riska pārkāpumiem garāks nekā vienādais 72 stundu GDPR noteikums — pārziņiem jāpaziņo bez nepamatotas kavēšanās un, kur iespējams, laikā, ko DPA norādījumi ir sasprindzinājuši pakāpeniskās ieviešanas periodā.

Kā izskatās atbilstošs sīkdatņu banneris saskaņā ar PDPA

Tehniskās prasības sakrīt ar to, ko jau ražo katra moderna CMP, bet marķējumam un piekrišanas žurnālam jāatspoguļo Šrilankas specifika. Pirmā slāņa bannerim jāsniedz lietotājam reāla izvēle — pieņemt, noraidīt, pārvaldīt — kur noraidīšanas iespēja ir vismaz tikpat pamanāma kā pieņemšanas iespēja. Apvienotā piekrišana ir aizliegta, tāpēc otrais slānis ir jāļauj kategoriju piekrišanai, kas aptver vismaz analītiku, reklāmu un jebkuru pārrobežu pārsūtīšanai atkarīgu apstrādi. Kategorijām pēc noklusējuma jābūt iestatītām uz izslēgtu; bannerim nedrīkst ielādēt tagus, kamēr lietotājs tos aktīvi neieslēdz.

Privātuma paziņojumam, kas rādīts no bannera, jāidentificē pārzinis, apkopoto personas datu kategorijas, likumīgais pamats katram apstrādes mērķim, datu glabāšanas periods, saņēmēju kategorijas, ieskaitot apakšapstrādātājus, kas darbojas ārpus Šrilankas, datu subjekta tiesības saskaņā ar PDPA, un DPA kontaktinformācija sūdzībām. Paziņojums, kas atbilst GDPR 13. panta standartam, būtībā pārklāsies, bet DPA kontakta un pārrobežu pārsūtīšanas jurisdikcijas rindiņas ir jāpievieno skaidri.

Integrācijas modelis, kas iztur DPA pārbaudi

Atsauces implementācijai ir četras kustīgās daļas. Pirmā ir CMP, kas atbalsta kategoriju piekrišanu, pēc noklusējuma izslēgtu, un pakļauj lietotāja izvēli caur strukturētu piekrišanas virkni, ko izdevējs var saglabāt piekrišanas žurnālā. Otrā ir tagu ielādes slānis — parasti servera puses tagu pārvaldnieks vai CMP natīvais skriptu vārti — kas stingri ievieš piekrišanas stāvokli pirms atļauj iestatīt jebkuru nevajadzīgo sīkdatni. Trešais ir piekrišanas žurnāls, servera pusē, kas reģistrē katram piekrišanas notikumam lietotāja izvēli katrā kategorijā, laika zīmogu, piekrišanas bannera versiju, IP adresi (saīsinātu vai jauktu, ja pārzinis ir nolēmis, ka tas apmierina tā datu minimizācijas analīzi) un kategorijas, kas tika piešķirtas salīdzinājumā ar atteiktajām. Ceturtais ir atsaukšanas ceļš, kas ir vismaz tikpat viegls kā sākotnējais piešķīrums — pastāvīga bannera atkārtotas atvēršanas saite kājenē ir modelis, ko DPA ir netieši apstiprinājis, atsaucoties uz starptautisko labāko praksi.

Validācija un audita pozīcija 2026. gadā

Aizsargājama Šrilankas izvietošana 2026. gadā ir jāiztur četras pārbaudes. Pirmkārt, tīra pārlūkprogrammas sesija, kas apkalpota no Šrilankas IP adreses, jārada nulle nevajadzīgo sīkdatņu pirms banneris ir darbojies. Otrkārt, noraidīt visu ceļam jārada tāda pati pozīcija kā darbības neveikšanas sesijai — bez analītikas tagiem, bez reklāmas tagiem, bez sesiju atkārtošanas skriptiem, tikai stingri nepieciešamie. Treškārt, pieņemt visu plūsmai jārada tagi, kuriem lietotājs ir piekritis, un piekrišanas žurnālam ir jāsatur atbilstošs ieraksts. Ceturtkārt, atsaukšanas plūsmai nekavējoties jāaptur turpmākā tagu aktivizēšana, jāizdzēš piekrišanas sesijā iestatītās sīkdatnes un jāaktivizē jebkādi lejupposma dzēšanas vai atteikšanās signāli, ko prasa saņēmēju partneri.

Audita pierakstu prasība ir tā, kur PDPA 2026. gadā ir visizteiktākā. DPA ir izdevusi norādījumus, kas norāda, ka pārziņiem jāspēj pēc pieprasījuma uzrādīt konkrēto piekrišanas ierakstu, kas autorizēja jebkuru apstrādes darbību. Tas nozīmē, ka piekrišanas žurnāls ir jāspēj meklēt pēc lietotāja identifikatora vai sesijas identifikatora, jāsaglabā periodā, ko pārzinis ir dokumentējis savā saglabāšanas grafikā, un jāeksportē strukturētā formātā. Pareizi konfigurēta CMP ar servera puses žurnālu, apvienota ar tagu ielādes slāni, kas ievieš piekrišanas stāvokli, un privātuma paziņojumu, kas nosauktu katru pārrobežu pārsūtīšanas galamērķi, pārvērš Šrilankas PDPA no normatīvā nezināmā uz aizsargājamu daļu no izdevēja globālās piekrišanas pozīcijas.

← Blogs Lasīt visu →