Sri Lanka PDPA Informasjonskapsler Samtykke Etterlevelsesguide: Lov nr. 9 av 2022 i kraft for Utgivere i 2026
Sri Lanka brukte mer enn et tiår i den lovgivende prosessen før personopplysningsloven til slutt ble vedtatt som Lov nr. 9 av 2022, sertifisert av Stortingspresidenten 19 March 2022. Loven adopterer den brede arkitekturen som har blitt den globale standarden siden GDPR — formålsbegrensning, rettslig grunnlag, rettigheter for registrerte, ansvarlighet, kontroller for overføring på tvers av grenser, varsling om brudd og en uavhengig tilsynsmyndighet med fullmakter til å ilegge administrative sanksjoner — men forankrer dem i et regime tilpasset kommersielle og konstitusjonelle realiteter i Sør-Asia. Loven trådte i kraft i etapper fra 17 March 2023, med de materielle forpliktelsene som trådte i kraft 18 måneder senere og håndhevingsbestemmelsene som ble innført gradvis gjennom 2025 og inn i 2026. For utgivere og enhver annen enhet som behandler personopplysninger om enkeltpersoner i Sri Lanka, er implikasjonen direkte: en informasjonskapsler-samtykkestilling som tilfredsstilte det tidligere lappeteppet av sektorspesifikke regler, er ikke lenger tilstrekkelig, og en stilling som tilfredsstiller GDPR, vil bare tilfredsstille PDPA hvis integrasjonen er konfigurert for de spesifikke punktene der de to regimene avviker.
Hva Sri Lanka PDPA faktisk krever
PDPA gjelder for behandling av personopplysninger om registrerte som befinner seg i Sri Lanka, uavhengig av hvor den behandlingsansvarlige eller behandleren befinner seg, og for behandlingsansvarlige og behandlere etablert i Sri Lanka uavhengig av hvor de registrerte befinner seg. Det ekstraterritoriale rekkevidden gjenspeiler GDPR artikkel 3 og betyr at en utgiver uten et Sri Lankansk kontor, men med Sri Lankanske lesere, app-installasjoner eller betalende kunder, er fullt innenfor omfanget. Personopplysninger er bredt definert som enhver informasjon relatert til en identifisert eller identifiserbar levende fysisk person, med særlige kategorier av personopplysninger inkludert biometriske, genetiske, finansielle, helse-, rase-, etniske, religiøse overbevisnings-, politisk menings- og strafferegisterdata behandlet under strengere regler.
Loven etablerer syv kjernedata-beskyttelsesprinsipper, seks lovlige grunnlag for behandling, standardsettet med rettigheter for registrerte — tilgang, retting, sletting, begrensning, innsigelse og dataportabilitet der teknisk gjennomførbart — og en tilsynsmyndighet, Datatilsynet i Sri Lanka, med fullmakt til å utstede direktiver, ilegge administrative bøter opp til LKR 10 millioner per brudd og henvise alvorlige saker til straffeforfølgning.
Hvordan PDPA behandler informasjonskapsler-samtykke spesifikt
PDPA inneholder ikke en separat ePrivacy-lignende bestemmelse om informasjonskapsler, slik EUs ePrivacy-direktiv gjør. I stedet folder det informasjonskapsler-behandling inn i det generelle GDPR-lignende samtykkeregelverket: all behandling av personopplysninger som er basert på samtykke som sitt lovlige grunnlag, må innhentes på grunnlag av en klar bekreftende handling der den registrerte gir uttrykk for enighet, fritt gitt, spesifikt, informert og utvetydig. Datatilsynet har, konsekvent med den globale trenden, indikert at forhåndsavkryssede bokser, videre-surfing-språk og buntet samtykke-banner ikke er gyldige former for samtykke under Loven.
Den praktiske effekten er den samme stillingen som utgivere i EEA allerede opprettholder: informasjonskapsler og analoge lagrings-og-tilgangsteknologier som ikke er strengt nødvendige for å levere tjenesten, skal ikke settes inn før brukeren aktivt har samtykket til dem. Strengt nødvendige informasjonskapsler — sesjonsidentifikatorer, handlekurvinnhold, sikkerhetstokener, belastningsbalanserings-informasjonskapsler — kan settes inn uten samtykke fordi de faller under grunnlaget for berettiget interesse knyttet til tjenesten som brukeren aktivt har bedt om. Alt annet, inkludert analyse, annonsering, personalisering, A/B-testing, sesjonsavspilling og tredjeparts-tagger, krever forhåndssamtykke.
Hvordan PDPA avviker fra GDPR
Tre forskjeller er viktige for integrasjonslaget. For det første inkluderer PDPA-katalogen over lovlige grunnlag et grunnlag for allmenne interesser og juridisk forpliktelse som stemmer nøye med GDPR artikkel 6, men inkluderer ikke det frittstående berettiget interesse-grunnlaget i formen europeiske utgivere er avhengige av for annonsemålingsbehandling. PDPAs tilsvarende er smalere og krever en dokumentert balanseringstest som arkiveres sammen med den behandlingsansvarliges behandlingsregister og gjøres tilgjengelig for Datatilsynet på forespørsel. For det andre krever PDPAs regler for overføring på tvers av grenser at Datatilsynet utpeker destinasjonsjurisdiksjoner, og overføringer til ikke-utpekte jurisdiksjoner krever enten eksplisitt samtykke, kontraktsmessige garantier godkjent av Datatilsynet eller ett av de smale unntakene. For det tredje er PDPAs varslingsfrist for databrudd kortere for høyrisikobrudd og lengre for lavrisikobrudd enn den faste 72-timers GDPR-regelen — behandlingsansvarlige må varsle uten unødig forsinkelse og, der gjennomførbart, innenfor et vindu som Datatilsynets veiledning har strammet inn over den gradvise ikrafttredelsesperioden.
Hvordan et kompatibelt informasjonskapsler-banner ser ut under PDPA
De tekniske kravene konvergerer med det enhver moderne CMP allerede produserer, men merkingen og samtykkekartlegget må gjenspeile Sri Lankanske spesifikasjoner. Første-lags-banneret må presentere brukeren med et reelt valg — aksepter, avvis, administrer — der avvisningsalternativet er minst like fremtredende som akseptalternativet. Buntet samtykke er forbudt, så det andre laget må tillate per-kategori opt-in som dekker minimum analyse, annonsering og eventuell overføring på tvers av grenser-avhengig behandling. Kategoriene må som standard settes til av; banneret må ikke laste inn tagger før brukeren aktivt har slått dem på.
Personvernerklæringen som vises fra banneret, må identifisere den behandlingsansvarlige, kategoriene av innsamlede personopplysninger, det lovlige grunnlaget for hvert behandlingsformål, oppbevaringsperioden for data, kategoriene av mottakere inkludert underbehandlere som opererer fra utenfor Sri Lanka, den registrertes rettigheter under PDPA og Datatilsynets kontaktopplysninger for klager. En erklæring som oppfyller GDPR artikkel 13-standarden vil i stor grad overlappe, men Datatilsyn-kontakt- og overføringsjurisdiksjons-linjene må legges til eksplisitt.
Integrasjonsmønsteret som passerer en DPA-gjennomgang
Referanseimplementeringen har fire bevegelige deler. Den første er en CMP som støtter per-kategori, standard-av opt-in og eksponerer brukerens valg via en strukturert samtykke-streng som utgiveren kan lagre i en samtykkekartlegg. Den andre er et taggerlastingslag — vanligvis en server-side taggadministrator eller en CMP-innebygd skriptport — som strengt håndhever samtykketilstand før noen ikke-essensiell informasjonskapsel tillates satt inn. Den tredje er en samtykkekartlegg, server-side, som for hvert samtykke-hendelse registrerer brukerens valg per kategori, tidsstempel, samtykke-banner-versjonen, IP-adressen (avkortet eller hashet hvis den behandlingsansvarlige har bestemt at dette tilfredsstiller dataminimaliseringsanalysen) og kategoriene som ble gitt kontra nektet. Den fjerde er en tilbakekallingssti som er minst like enkel som den opprinnelige tildelingen — en vedvarende bannergjennomgang-lenke i bunnteksten er mønsteret Datatilsynet implisitt har godkjent med henvisning til internasjonal beste praksis.
- Analysetagger skal bare lastes inn etter at analysekategorien er gitt; Google Analytics 4, Adobe Analytics, Matomo, Amplitude og Mixpanel støtter alle en samtykke-gated konfigurasjon som forhindrer informasjonskapsler-skriving før porten skifter.
- Annonsetagger — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatiske header-bydere — må på samme måte gates og, der annonsepartneren overfører data utenfor Sri Lanka, må partnerens destinasjonsjurisdiksjon fremgå av personvernerklæringen.
- Sesjonsavspillings- og varmekartverktøy — Hotjar, Microsoft Clarity, FullStory — må plasseres bak en separat, strengere port fordi Datatilsynet, i tråd med EDPB, har flagget gjengivelse av inndatafelt som en kategori som krever eksplisitt og granulert samtykke.
- Overføring på tvers av grenser-opplysninger må være spesifikke for hver mottakerjurisdiksjon, ikke generiske. Datatilsynet har indikert at data behandles av tjenesteleverandører globalt ikke er en tilstrekkelig opplysning.
Validering og revisjonsposisjon for 2026
En forsvarlig Sri Lankansk distribusjon i 2026 må bestå fire sjekker. For det første må en ren nettlesersesjon fra en Sri Lankansk IP-adresse produsere null ikke-essensielle informasjonskapsler før banneret er blitt handlet på. For det andre må avvis-alt-stien resultere i den samme stillingen som en ikke-handlings-sesjon — ingen analysetagger, ingen annonsetagger, ingen sesjonsavspillingsskript, bare den strengt nødvendige settet. For det tredje må en godta-alt-flyt produsere taggene brukeren har samtykket til, og samtykkekartlegget må inneholde den tilsvarende posten. For det fjerde må en tilbakekallingsflyt umiddelbart stoppe videre taggerignering, utløpe informasjonskapslene satt under den samtykke-gitte sesjonen og utløse eventuell nedstrøms sletting eller opt-out-signaler som mottakerpartnerne krever.
Krav til revisjonsspor er der PDPA er mest særpreget i 2026. Datatilsynet har gitt veiledning som indikerer at behandlingsansvarlige skal kunne produsere, på forespørsel, den spesifikke samtykkejournalen som autoriserte enhver gitt behandlingsaktivitet. Det betyr at samtykkekartlegget må kunne søkes etter brukeridentifikator eller sesjonsidentifikator, oppbevares for en periode som den behandlingsansvarlige har dokumentert i oppbevaringsplanen, og eksporteres i et strukturert format. En korrekt konfigurert CMP med en server-side-logg, kombinert med et taggerlastingslag som håndhever samtykketilstand og en personvernerklæring som navngir hvert destinasjonspunkt for overføring på tvers av grenser, er det som gjør Sri Lanka PDPA om fra en regulatorisk ukjent til en forsvarlig del av en utgivers globale samtykkestilling.