Руководство по соответствию требованиям согласия на cookie в рамках PDPA Шри-Ланки: Закон № 9 от 2022 года вступает в силу для издателей в 2026 году

Шри-Ланка провела более десятилетия в законодательном процессе, прежде чем её Закон о защите персональных данных был наконец принят как Закон № 9 от 2022 года, удостоверенный Спикером 19 марта 2022 года. Закон перенимает широкую архитектуру, которая стала глобальным стандартом со времён GDPR, — ограничение цели, законное основание, права субъектов данных, подотчётность, контроль трансграничной передачи, уведомление о нарушениях и независимый регулятор с полномочиями налагать административные взыскания, — но встраивает их в режим, адаптированный к коммерческим и конституционным реалиям Южной Азии. Закон вступал в силу поэтапно с 17 марта 2023 года, при этом существенные обязательства начали действовать 18 месяцами позже, а положения о правоприменении вводились прогрессивно на протяжении 2025 года и в 2026 году. Для издателей и любых других субъектов, обрабатывающих персональные данные лиц на Шри-Ланке, вывод прямой: позиция в отношении согласия на cookie, которая удовлетворяла прежней мозаике секторальных правил, более недостаточна, а позиция, удовлетворяющая GDPR, будет удовлетворять PDPA только в том случае, если интеграция настроена для конкретных точек, в которых два режима расходятся.

Что на самом деле требует PDPA Шри-Ланки

PDPA применяется к обработке персональных данных субъектов данных, находящихся на Шри-Ланке, независимо от того, где находится контролёр или обработчик, а также к контролёрам и обработчикам, учреждённым на Шри-Ланке, независимо от того, где находятся субъекты данных. Экстерриториальный охват зеркально отражает статью 3 GDPR и означает, что издатель без офиса на Шри-Ланке, но со шри-ланкийскими читателями, установками приложений или платящими клиентами, прямо подпадает под сферу действия. Персональные данные определены широко как любая информация, относящаяся к идентифицированному или идентифицируемому живому физическому лицу, при этом данные особых категорий, включая биометрические, генетические, финансовые, медицинские, расовые, этнические, относящиеся к религиозным убеждениям, политическим взглядам и судимости, рассматриваются по более жёстким правилам.

Закон устанавливает семь основных принципов защиты данных, шесть законных оснований для обработки, стандартный набор прав субъектов данных — доступ, исправление, удаление, ограничение, возражение и переносимость данных там, где это технически осуществимо, — и регулятора, Управление по защите данных Шри-Ланки, с полномочиями издавать директивы, налагать административные взыскания до 10 млн LKR за нарушение и передавать серьёзные дела для уголовного преследования.

Как PDPA конкретно трактует согласие на cookie

PDPA не содержит отдельного положения о cookie в стиле ePrivacy, как это делает Директива ЕС об ePrivacy. Вместо этого он включает обработку cookie в общую рамку согласия в стиле GDPR: любая обработка персональных данных, опирающаяся на согласие как на своё законное основание, должна быть получена на основе ясного утвердительного действия, которым субъект данных выражает согласие, данное свободно, конкретно, информированно и недвусмысленно. Управление указало, в соответствии с глобальной тенденцией, что предварительно отмеченные флажки, формулировки о продолжении просмотра и баннеры со связанным согласием не являются действительными формами согласия по Закону.

Практический эффект — та же позиция, которую издатели, работающие в ЕЭЗ, уже поддерживают: cookie и любые аналогичные технологии хранения и доступа, которые не являются строго необходимыми для предоставления услуги, не должны устанавливаться до того, как пользователь активно согласился на них. Строго необходимые cookie — идентификаторы сессии, содержимое корзины, токены безопасности, cookie балансировки нагрузки — могут устанавливаться без согласия, поскольку они подпадают под основание законного интереса, связанное с услугой, которую пользователь активно запросил. Всё остальное, включая аналитику, рекламу, персонализацию, A/B-тестирование, запись сессий и любой сторонний тег, требует предварительного согласия.

Чем PDPA отличается от GDPR

Три различия имеют значение для слоя интеграции. Во-первых, каталог законных оснований PDPA включает основание общественного интереса и юридического обязательства, которые близко соответствуют статье 6 GDPR, но не включает самостоятельное основание законного интереса в той форме, на которую полагаются европейские издатели для обработки измерения рекламы. Эквивалент PDPA уже, требуя документированного теста баланса, который подаётся в реестр обработки контролёра и предоставляется Управлению по запросу. Во-вторых, правила трансграничной передачи PDPA требуют, чтобы Управление обозначило юрисдикции назначения, и передачи в необозначенные юрисдикции требуют либо явного согласия, либо договорных гарантий, утверждённых Управлением, либо одного из узких изъятий. В-третьих, сроки уведомления о нарушениях PDPA короче для нарушений высокого риска и длиннее для нарушений низкого риска, чем единое правило 72 часов GDPR, — контролёры должны уведомлять без неоправданной задержки и, где это осуществимо, в окне, которое руководство Управления ужесточало в течение периода поэтапного введения.

Как выглядит соответствующий баннер cookie в рамках PDPA

Технические требования сходятся с тем, что уже производит любая современная CMP, но маркировка и журнал согласия должны отражать шри-ланкийскую специфику. Баннер первого уровня должен представлять пользователю реальный выбор — принять, отклонить, управлять — где опция отклонения по меньшей мере столь же заметна, как опция принятия. Связанное согласие запрещено, поэтому второй уровень должен допускать опт-ин по категориям, охватывающий как минимум аналитику, рекламу и любую обработку, зависящую от трансграничной передачи. Категории должны быть по умолчанию выключены; баннер не должен загружать теги, пока пользователь не включит их утвердительно.

Уведомление о конфиденциальности, всплывающее из баннера, должно идентифицировать контролёра, категории собираемых персональных данных, законное основание для каждой цели обработки, срок хранения данных, категории получателей, включая любых субобработчиков, действующих за пределами Шри-Ланки, права субъекта данных по PDPA и контактные данные Управления для жалоб. Уведомление, отвечающее стандарту статьи 13 GDPR, будет существенно совпадать, но строки о контакте Управления и юрисдикции трансграничной передачи должны быть добавлены явно.

Шаблон интеграции, который проходит проверку Управления

Эталонная реализация имеет четыре подвижные части. Первая — CMP, поддерживающая опт-ин по категориям с выключением по умолчанию и раскрывающая выбор пользователя через структурированную строку согласия, которую издатель может сохранять в журнале согласия. Вторая — слой загрузки тегов, обычно серверный диспетчер тегов или нативный для CMP шлюз скриптов, который строго обеспечивает соблюдение состояния согласия, прежде чем разрешить установку любого несущественного cookie. Третья — журнал согласия, серверный, который для каждого события согласия записывает выбор пользователя по категориям, временную метку, версию баннера согласия, IP-адрес (усечённый или хэшированный, если контролёр решил, что это удовлетворяет его анализу минимизации данных) и категории, которые были предоставлены против отклонённых. Четвёртая — путь отзыва, который по меньшей мере столь же прост, как первоначальное предоставление, — постоянная ссылка повторного открытия баннера в подвале является шаблоном, который Управление негласно одобрило ссылкой на международные передовые практики.

Позиция валидации и аудита на 2026 год

Защитимое шри-ланкийское развёртывание в 2026 году должно пройти четыре проверки. Во-первых, чистая сессия браузера, обслуживаемая со шри-ланкийского IP-адреса, должна производить ноль несущественных cookie до того, как баннер был задействован. Во-вторых, путь отклонения всего должен приводить к той же позиции, что и сессия без действия, — никаких тегов аналитики, никаких рекламных тегов, никаких скриптов записи сессий, только строго необходимый набор. В-третьих, поток принятия всего должен производить теги, на которые пользователь согласился, и журнал согласия должен содержать соответствующую запись. В-четвёртых, поток отзыва должен немедленно остановить дальнейшие срабатывания тегов, аннулировать cookie, установленные во время сессии с согласием, и инициировать любые нисходящие сигналы удаления или опт-аута, которые требуются партнёрам-получателям.

Требование к контрольному следу — это то, в чём PDPA наиболее своеобразен в 2026 году. Управление издало руководство, указывающее, что контролёры должны быть в состоянии предоставить по запросу конкретную запись согласия, которая санкционировала любую данную деятельность по обработке. Это означает, что журнал согласия должен быть доступен для запроса по идентификатору пользователя или идентификатору сессии, храниться в течение периода, который контролёр задокументировал в своём графике хранения, и быть экспортируемым в структурированном формате. Правильно настроенная CMP с серверным журналом, в паре со слоем загрузки тегов, который обеспечивает соблюдение состояния согласия, и уведомлением о конфиденциальности, которое называет каждое назначение трансграничной передачи, — это то, что превращает PDPA Шри-Ланки из регуляторной неизвестности в защитимую часть глобальной позиции издателя в отношении согласия.

← Блог Читать все →