Príručka súladu so súhlasom so súbormi cookie podľa PDPA Srí Lanky: Zákon č. 9 z roku 2022 v platnosti pre vydavateľov v roku 2026
Srí Lanka strávila viac ako desaťročie v legislatívnom procese, kým jej zákon o ochrane osobných údajov bol nakoniec prijatý ako Zákon č. 9 z roku 2022, certifikovaný predsedom parlamentu 19. March 2022. Zákon prijíma širokú architektúru, ktorá sa stala globálnym štandardom od čias GDPR — obmedzenie účelu, právny základ, práva dotknutých osôb, zodpovednosť, kontroly cezhraničných prenosov, oznamovanie porušení a nezávislý regulátor s právomocami na ukladanie správnych sankcií — ale zakotvuje ich v režime prispôsobenom obchodným a ústavným realitám južnej Ázie. Zákon nadobudol účinnosť postupne od 17. March 2023, pričom podstatné povinnosti nadobudli účinnosť o 18 mesiacov neskôr a ustanovenia o presadzovaní boli postupne zavádzané počas roku 2025 a do roku 2026. Pre vydavateľov a akýkoľvek iný subjekt, ktorý spracúva osobné údaje fyzických osôb na Srí Lanke, je dôsledok priamy: pozícia súhlasu so súbormi cookie, ktorá spĺňala predchádzajúce mozaikové odvetvové pravidlá, už nestačí, a pozícia, ktorá spĺňa GDPR, bude spĺňať PDPA len vtedy, ak je integrácia nakonfigurovaná pre konkrétne body, kde sa oba režimy rozchádzajú.
Čo PDPA Srí Lanky skutočne vyžaduje
PDPA sa vzťahuje na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú na Srí Lanke, bez ohľadu na to, kde sa nachádza prevádzkovateľ alebo sprostredkovateľ, a na prevádzkovateľov a sprostredkovateľov so sídlom na Srí Lanke bez ohľadu na to, kde sa nachádzajú dotknuté osoby. Extrateritoriálny dosah odráža článok 3 GDPR a znamená, že vydavateľ bez srílanského úradu, ale so srílanskými čitateľmi, inštaláciami aplikácií alebo platiacimi zákazníkmi je plne v rozsahu pôsobnosti. Osobné údaje sú široko definované ako akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej žijúcej fyzickej osoby, pričom osobitné kategórie údajov vrátane biometrických, genetických, finančných, zdravotných, rasových, etnických, náboženských, politických a trestnoprávnych záznamov podliehajú prísnejším pravidlám.
Zákon ustanovuje sedem základných zásad ochrany údajov, šesť právnych základov pre spracúvanie, štandardný súbor práv dotknutých osôb — prístup, opravu, vymazanie, obmedzenie, námietku a prenosnosť údajov, kde je to technicky uskutočniteľné — a regulátor, Úrad na ochranu údajov Srí Lanky, s právomocou vydávať smernice, ukladať správne pokuty až do výšky LKR 10 miliónov za porušenie a postúpiť závažné veci na trestné stíhanie.
Ako PDPA zaobchádza konkrétne so súhlasom so súbormi cookie
PDPA neobsahuje samostatné ustanovenie v štýle ePrivacy o súboroch cookie, tak ako to robí smernica EÚ o ePrivacy. Namiesto toho začleňuje spracúvanie súborov cookie do všeobecného rámca súhlasu v štýle GDPR: akékoľvek spracúvanie osobných údajov, ktoré sa opiera o súhlas ako právny základ, musí byť získané na základe jasného afirmatívneho konania, ktorým dotknutá osoba vyjadrí súhlas, slobodne udelený, konkrétny, informovaný a jednoznačný. Úrad na ochranu údajov naznačil, v súlade s globálnym trendom, že vopred zaškrtnuté políčka, jazyk pokračovania prehliadania a zoskupené bannery so súhlasom nie sú platnými formami súhlasu podľa zákona.
Praktický efekt je rovnaká pozícia, akú vydavatelia pôsobiaci v EHP už udržiavajú: súbory cookie a akékoľvek analógové technológie ukladania a prístupu, ktoré nie sú nevyhnutne potrebné na poskytovanie služby, nesmú byť nastavené skôr, ako používateľ s nimi aktívne súhlasil. Nevyhnutné súbory cookie — identifikátory relácie, obsah košíka, bezpečnostné tokeny, súbory cookie na vyváženie záťaže — môžu byť nastavené bez súhlasu, pretože spadajú pod základ oprávneného záujmu viazaného na službu, ktorú používateľ aktívne požiadal. Všetko ostatné, vrátane analytiky, reklamy, personalizácie, A/B testovania, nahrávania relácií a akýchkoľvek tagov tretích strán, vyžaduje predchádzajúci súhlas.
Ako sa PDPA líši od GDPR
Tri rozdiely sú dôležité pre integračnú vrstvu. Po prvé, katalóg právnych základov PDPA zahŕňa základ verejného záujmu a zákonnej povinnosti, ktorý úzko zodpovedá článku 6 GDPR, ale nezahŕňa samostatný základ oprávnených záujmov v podobe, na ktorú sa európski vydavatelia spoliehajú pri spracúvaní merania reklám. Ekvivalent PDPA je užší a vyžaduje zdokumentovaný test vyváženia, ktorý sa podáva spolu so záznamom o spracúvaní prevádzkovateľa a sprístupní sa Úradu na ochranu údajov na požiadanie. Po druhé, pravidlá cezhraničného prenosu PDPA vyžadujú, aby Úrad na ochranu údajov určil cieľové jurisdikcie, a prenosy do neurčených jurisdikcií vyžadujú buď výslovný súhlas, zmluvné záruky schválené Úradom na ochranu údajov, alebo jednu z úzkych výnimiek. Po tretie, lehota na oznamovanie porušení PDPA je kratšia pre vysokorizikové porušenia a dlhšia pre nízkorozikové porušenia ako pevné pravidlo GDPR 72 hodín — prevádzkovatelia musia oznamovať bez zbytočného odkladu a, kde je to uskutočniteľné, v okne, ktoré pokyny Úradu na ochranu údajov sprísnili počas postupného nadobudnutia účinnosti.
Ako vyzerá vyhovujúci banner súborov cookie podľa PDPA
Technické požiadavky konvergujú s tým, čo každá moderná CMP už produkuje, ale označovanie a protokol súhlasu musia odrážať srílanské špecifiká. Banner prvej vrstvy musí používateľovi poskytnúť skutočnú voľbu — prijať, odmietnuť, spravovať — kde možnosť odmietnutia je aspoň rovnako prominentná ako možnosť prijatia. Zoskupený súhlas je zakázaný, takže druhá vrstva musí umožniť opt-in per kategóriu pokrývajúci minimálne analytiku, reklamu a akékoľvek spracúvanie závislé od cezhraničného prenosu. Kategórie musia byť predvolene nastavené na vypnuté; banner nesmie načítavať tagy, kým ich používateľ aktívne nezapne.
Oznámenie o ochrane súkromia zobrazené z bannera musí identifikovať prevádzkovateľa, kategórie zbieraných osobných údajov, právny základ pre každý účel spracúvania, dobu uchovávania údajov, kategórie príjemcov vrátane akýchkoľvek subdodávateľov pôsobiacich mimo Srí Lanky, práva dotknutej osoby podľa PDPA a kontaktné údaje Úradu na ochranu údajov na podávanie sťažností. Oznámenie spĺňajúce štandard článku 13 GDPR sa bude podstatne prekrývať, ale riadky kontaktu Úradu na ochranu údajov a jurisdikcie cezhraničného prenosu musia byť pridané explicitne.
Integračný vzor, ktorý prejde preskúmaním Úradu na ochranu údajov
Referenčná implementácia má štyri pohyblivé časti. Prvou je CMP, ktorá podporuje opt-in per kategóriu, predvolene vypnutý, a vystavuje výber používateľa prostredníctvom štruktúrovaného reťazca súhlasu, ktorý vydavateľ môže uložiť v protokole súhlasu. Druhou je vrstva načítavania tagov — zvyčajne správca tagov na strane servera alebo natívna brána skriptov CMP — ktorá prísne presadzuje stav súhlasu pred povolením nastavenia akéhokoľvek nepodstatného súboru cookie. Treťou je protokol súhlasu, na strane servera, ktorý pre každú udalosť súhlasu zaznamenáva výber používateľa per kategóriu, časovú pečiatku, verziu bannera súhlasu, IP adresu (skrátenú alebo hashovanú, ak prevádzkovateľ rozhodol, že to spĺňa jeho analýzu minimalizácie údajov) a kategórie, ktoré boli udelené oproti odmietnutým. Štvrtou je cesta odvolania, ktorá je aspoň rovnako jednoduchá ako pôvodné udelenie — trvalý odkaz na opätovné otvorenie bannera v päte stránky je vzor, ktorý Úrad na ochranu údajov implicitne schválil odkazom na medzinárodné osvedčené postupy.
- Analytické tagy musia byť načítané len po udelení analytickej kategórie; Google Analytics 4, Adobe Analytics, Matomo, Amplitude a Mixpanel všetky podporujú konfiguráciu s bránou súhlasu, ktorá zabraňuje akémukoľvek zápisu súborov cookie pred prepnutím brány.
- Reklamné tagy — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programatickí header bidderi — musia byť podobne blokované bránou a, kde reklamný partner prenáša údaje mimo Srí Lanky, cieľová jurisdikcia partnera musí byť uvedená v oznámení o ochrane súkromia.
- Nástroje na nahrávanie relácií a heatmapy — Hotjar, Microsoft Clarity, FullStory — musia byť za samostatnou, prísnejšou bránou, pretože Úrad na ochranu údajov, v súlade s EDPB, označil vykresľovanie vstupných polí ako kategóriu vyžadujúcu výslovný a granulárny súhlas.
- Zverejnenia cezhraničného prenosu musia byť špecifické pre každú príjemcovskú jurisdikciu, nie všeobecné. Úrad na ochranu údajov naznačil, že údaje sú spracúvané poskytovateľmi služieb globálne nie je dostatočné zverejnenie.
Pozícia validácie a auditu na rok 2026
Obhájiteľné srílanské nasadenie v roku 2026 musí prejsť štyrmi kontrolami. Po prvé, čistá relácia prehliadača obsluhovaná z srílanskej IP adresy musí produkovať nula nepodstatných súborov cookie predtým, ako bol na banner vykonaný nejaký úkon. Po druhé, cesta odmietnuť všetko musí viesť k rovnakej pozícii ako relácia bez úkonu — žiadne analytické tagy, žiadne reklamné tagy, žiadne skripty na nahrávanie relácií, iba nevyhnutne potrebná sada. Po tretie, tok prijať všetko musí produkovať tagy, s ktorými používateľ súhlasil, a protokol súhlasu musí obsahovať zodpovedajúci záznam. Po štvrté, tok odvolania musí okamžite zastaviť ďalšie spúšťanie tagov, nechať vyprší platnosť súborov cookie nastavených počas relácii s udeleným súhlasom a spustiť akékoľvek následné signály vymazania alebo odhlásenia, ktoré vyžadujú partnerské príjemcovia.
Požiadavka na auditovú stopu je miesto, kde je PDPA v roku 2026 najviac výrazná. Úrad na ochranu údajov vydal usmernenia naznačujúce, že prevádzkovatelia by mali byť schopní predložiť na požiadanie konkrétny záznam súhlasu, ktorý autorizoval akúkoľvek danú spracovateľskú činnosť. To znamená, že protokol súhlasu musí byť dopytovateľný podľa identifikátora používateľa alebo identifikátora relácie, uchovávaný počas doby, ktorú prevádzkovateľ zdokumentoval vo svojom harmonograme uchovávania, a exportovateľný v štruktúrovanom formáte. Správne nakonfigurovaná CMP s protokolom na strane servera, spárovaná s vrstvou načítavania tagov, ktorá presadzuje stav súhlasu, a oznámením o ochrane súkromia, ktoré menuje každý cieľ cezhraničného prenosu, je to, čo transformuje PDPA Srí Lanky z regulačnej neznámej na obhájiteľnú súčasť globálnej pozície súhlasu vydavateľa.