Przewodnik po zgodności zgody na pliki cookie PDPA Sri Lanki: Ustawa Nr 9 z 2022 r. w mocy dla wydawców w 2026 r.
Sri Lanka spędziła ponad dekadę w procesie legislacyjnym, zanim jej Ustawa o ochronie danych osobowych została ostatecznie uchwalona jako Ustawa Nr 9 z 2022 r., zatwierdzona przez Marszałka 19 March 2022. Ustawa przyjmuje szeroką architekturę, która stała się globalnym standardem od czasu GDPR — ograniczenie celu, podstawa prawna, prawa podmiotów danych, rozliczalność, kontrole transferów transgranicznych, powiadamianie o naruszeniach i niezależny organ regulacyjny z uprawnieniami do nakładania kar administracyjnych — ale osadza je w reżimie dostosowanym do południowoazjatyckich realiów komercyjnych i konstytucyjnych. Ustawa zaczęła obowiązywać etapami od 17 March 2023, przy czym zasadnicze obowiązki zaczęły obowiązywać 18 miesięcy później, a przepisy wykonawcze były stopniowo wprowadzane przez 2025 r. i w 2026 r. Dla wydawców i każdego innego podmiotu przetwarzającego dane osobowe osób fizycznych na Sri Lance implikacja jest bezpośrednia: pozycja zgody na pliki cookie, która spełniała poprzednią mozaikę przepisów sektorowych, nie jest już wystarczająca, a pozycja spełniająca GDPR spełni PDPA tylko wtedy, gdy integracja jest skonfigurowana dla konkretnych punktów, w których oba reżimy się różnią.
Czego faktycznie wymaga PDPA Sri Lanki
PDPA ma zastosowanie do przetwarzania danych osobowych podmiotów danych przebywających na Sri Lance, niezależnie od tego, gdzie znajduje się administrator lub podmiot przetwarzający, oraz do administratorów i podmiotów przetwarzających z siedzibą na Sri Lance, niezależnie od tego, gdzie przebywają podmioty danych. Zasięg ekstraterytorialny odzwierciedla art. 3 GDPR i oznacza, że wydawca bez biura na Sri Lance, ale ze sri lankijskimi czytelnikami, instalacjami aplikacji lub płacącymi klientami jest w pełni objęty zakresem. Dane osobowe są szeroko zdefiniowane jako wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej, przy czym dane szczególnych kategorii, w tym dane biometryczne, genetyczne, finansowe, zdrowotne, rasowe, etniczne, dotyczące przekonań religijnych, poglądów politycznych i rejestru karnego, podlegają surowszym zasadom.
Ustawa ustanawia siedem podstawowych zasad ochrony danych, sześć podstaw prawnych przetwarzania, standardowy zestaw praw podmiotów danych — dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw i przenoszalność danych tam, gdzie jest to technicznie wykonalne — oraz organ regulacyjny, Organ Ochrony Danych Sri Lanki, z uprawnieniami do wydawania dyrektyw, nakładania kar administracyjnych do LKR 10 milionów za naruszenie i kierowania poważnych spraw do ścigania karnego.
Jak PDPA traktuje zgodę na pliki cookie
PDPA nie zawiera odrębnego przepisu w stylu ePrivacy dotyczącego plików cookie, tak jak czyni to unijna dyrektywa ePrivacy. Zamiast tego włącza przetwarzanie plików cookie do ogólnych ram zgody w stylu GDPR: wszelkie przetwarzanie danych osobowych opierające się na zgodzie jako podstawie prawnej musi być uzyskane na podstawie wyraźnego działania twierdzącego, przez które podmiot danych wyraża zgodę, swobodnie udzieloną, konkretną, świadomą i jednoznaczną. DPA wskazał, konsekwentnie z globalnym trendem, że wstępnie zaznaczone pola, język kontynuowania przeglądania i zbiorcze bannery zgody nie są ważnymi formami zgody w rozumieniu ustawy.
Praktyczny skutek jest tą samą pozycją, którą utrzymują już wydawcy działający w EOG: pliki cookie i wszelkie analogiczne technologie przechowywania i dostępu, które nie są ściśle niezbędne do świadczenia usługi, nie mogą być ustawiane przed aktywnym wyrażeniem na nie zgody przez użytkownika. Ściśle niezbędne pliki cookie — identyfikatory sesji, zawartość koszyka, tokeny bezpieczeństwa, pliki cookie równoważenia obciążenia — mogą być ustawiane bez zgody, ponieważ należą do podstawy uzasadnionego interesu związanego z usługą, o którą użytkownik aktywnie wnioskował. Wszystko inne, w tym analityka, reklama, personalizacja, testy A/B, odtwarzanie sesji i wszelkie tagi firm trzecich, wymaga uprzedniej zgody.
Jak PDPA różni się od GDPR
Trzy różnice mają znaczenie dla warstwy integracji. Po pierwsze, katalog podstaw prawnych PDPA obejmuje podstawę interesu publicznego i obowiązku prawnego, które ściśle odpowiadają art. 6 GDPR, ale nie obejmuje samodzielnej podstawy uzasadnionych interesów w formie, na której polegają europejscy wydawcy przy przetwarzaniu pomiarów reklam. Odpowiednik PDPA jest węższy i wymaga udokumentowanego testu równoważenia, który jest składany wraz z rejestrem przetwarzania administratora i udostępniany DPA na żądanie. Po drugie, zasady transferów transgranicznych PDPA wymagają, aby DPA wyznaczył docelowe jurysdykcje, a transfery do niewyznaczonych jurysdykcji wymagają wyraźnej zgody, umownych zabezpieczeń zatwierdzonych przez DPA lub jednego z wąskich wyjątków. Po trzecie, termin powiadamiania o naruszeniach PDPA jest krótszy w przypadku naruszeń wysokiego ryzyka i dłuższy w przypadku naruszeń niskiego ryzyka niż stała zasada GDPR 72 godzin — administratorzy muszą powiadamiać bez zbędnej zwłoki i, tam gdzie jest to wykonalne, w oknie, które wytyczne DPA zaostrzały w trakcie etapowego okresu wejścia w życie.
Jak wygląda zgodny baner plików cookie na podstawie PDPA
Wymagania techniczne pokrywają się z tym, co każdy nowoczesny CMP już produkuje, ale etykietowanie i dziennik zgód muszą odzwierciedlać specyfikę sri lankijską. Baner pierwszej warstwy musi przedstawiać użytkownikowi realny wybór — akceptuj, odrzuć, zarządzaj — gdzie opcja odrzucenia jest co najmniej tak samo widoczna jak opcja akceptacji. Zbiorcza zgoda jest zabroniona, więc druga warstwa musi umożliwiać opt-in per-kategorię obejmujący co najmniej analitykę, reklamę i wszelkie przetwarzanie zależne od transferu transgranicznego. Kategorie muszą być domyślnie ustawione na wyłączone; baner nie może ładować tagów, dopóki użytkownik aktywnie ich nie włączy.
Informacja o prywatności wyświetlana z banera musi identyfikować administratora, kategorie gromadzonych danych osobowych, podstawę prawną każdego celu przetwarzania, okres przechowywania danych, kategorie odbiorców, w tym wszelkich podprzetwarzających działających spoza Sri Lanki, prawa podmiotu danych na mocy PDPA oraz dane kontaktowe DPA do składania skarg. Informacja spełniająca standard art. 13 GDPR będzie w dużej mierze pokrywać się, ale linie kontaktowe DPA i jurysdykcji transferu transgranicznego muszą być dodane explicite.
Wzorzec integracji, który przejdzie przegląd DPA
Implementacja referencyjna ma cztery ruchome części. Pierwszą jest CMP obsługujący opt-in per-kategorię, domyślnie wyłączony, który udostępnia wybór użytkownika za pośrednictwem ustrukturyzowanego ciągu zgody, który wydawca może przechowywać w dzienniku zgód. Drugą jest warstwa ładowania tagów — zazwyczaj menedżer tagów po stronie serwera lub brama skryptów natywna CMP — która ściśle egzekwuje stan zgody przed zezwoleniem na ustawienie jakiegokolwiek nieistotnego pliku cookie. Trzecia to dziennik zgód, po stronie serwera, który rejestruje dla każdego zdarzenia zgody wybór użytkownika per kategorię, znacznik czasu, wersję banera zgody, adres IP (skrócony lub zahashowany, jeśli administrator zdecydował, że spełnia to jego analizę minimalizacji danych) oraz kategorie, którym udzielono zgody w porównaniu z odmówionymi. Czwartą jest ścieżka wycofania, która jest co najmniej tak prosta jak pierwotne udzielenie zgody — trwały link do ponownego otwarcia banera w stopce to wzorzec, który DPA niejawnie zatwierdziło, powołując się na międzynarodowe najlepsze praktyki.
- Tagi analityczne muszą być ładowane tylko po przyznaniu kategorii analitycznej; Google Analytics 4, Adobe Analytics, Matomo, Amplitude i Mixpanel obsługują konfigurację z bramą zgody, która zapobiega wszelkim zapisom plików cookie przed przełączeniem bramy.
- Tagi reklamowe — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programatyczne header biddery — muszą być podobnie bramkowane, a gdy partner reklamowy transferuje dane poza Sri Lankę, docelowa jurysdykcja partnera musi pojawić się w informacji o prywatności.
- Narzędzia do odtwarzania sesji i mapy cieplnej — Hotjar, Microsoft Clarity, FullStory — muszą znajdować się za oddzielną, surowszą bramą, ponieważ DPA, zgodnie z EDPB, oznaczył renderowanie pól wejściowych jako kategorię wymagającą wyraźnej i szczegółowej zgody.
- Ujawnienia transferu transgranicznego muszą być specyficzne dla każdej jurysdykcji odbiorcy, a nie ogólne. DPA wskazał, że dane są przetwarzane przez dostawców usług na całym świecie nie jest wystarczającym ujawnieniem.
Pozycja walidacji i audytu na 2026 r.
Obronna wdrożenie sri lankijskie w 2026 r. musi przejść cztery kontrole. Po pierwsze, czysta sesja przeglądarki obsługiwana z sri lankijskiego adresu IP musi produkować zero nieistotnych plików cookie przed podjęciem działania na banerze. Po drugie, ścieżka odrzuć-wszystko musi skutkować tą samą pozycją co sesja bez działania — żadnych tagów analitycznych, żadnych tagów reklamowych, żadnych skryptów odtwarzania sesji, tylko ściśle niezbędny zestaw. Po trzecie, przepływ akceptuj-wszystko musi produkować tagi, na które użytkownik wyraził zgodę, a dziennik zgód musi zawierać odpowiedni rekord. Po czwarte, przepływ wycofania musi natychmiast zatrzymać dalsze wyzwalanie tagów, wygasić pliki cookie ustawione podczas sesji po udzieleniu zgody i uruchomić wszelkie sygnały usunięcia lub rezygnacji, których wymagają partnerzy-odbiorcy.
Wymóg śladu audytowego to miejsce, gdzie PDPA jest najbardziej wyróżniające się w 2026 r. DPA wydał wytyczne wskazujące, że administratorzy powinni być w stanie przedstawić na żądanie konkretny rekord zgody, który autoryzował daną działalność przetwarzania. Oznacza to, że dziennik zgód musi być możliwy do zapytania według identyfikatora użytkownika lub identyfikatora sesji, przechowywany przez okres, który administrator udokumentował w harmonogramie przechowywania, i eksportowalny w formacie ustrukturyzowanym. Prawidłowo skonfigurowany CMP z dziennikiem po stronie serwera, połączony z warstwą ładowania tagów egzekwującą stan zgody i informacją o prywatności, która nazywa każde miejsce docelowe transferu transgranicznego, to właśnie sprawia, że PDPA Sri Lanki staje się z nieznane regulacyjne w obronną część globalnej pozycji zgody wydawcy.