Udhëzues i Pajtueshmërisë me Cookie Consent të Sri Lanka PDPA: Ligji Nr. 9 i vitit 2022 në Fuqi për Botuesit në 2026
Sri Lanka kaloi më shumë se një dekadë në procesin legjislativ përpara se Ligji i saj i Mbrojtjes së të Dhënave Personale të miratohej përfundimisht si Ligji Nr. 9 i vitit 2022, i certifikuar nga Kryetari i Parlamentit më 19 March 2022. Ligji adopton arkitekturën e gjerë që ka bërë standard global që nga GDPR — kufizimi i qëllimit, baza ligjore, të drejtat e subjektit të të dhënave, llogaridhënia, kontrollet e transferimit ndërkufitar, njoftimi i shkeljeve dhe një rregullator i pavarur me fuqi ndëshkimesh administrative — por i integron ato në një regjim të përshtatur me realitetet komerciale dhe kushtetuese të Azisë Jugore. Ligji filloi me faza nga 17 March 2023, me detyrimet substantive të aktivizuara 18 muaj më vonë dhe dispozitat e zbatimit të ndarë progressivisht gjatë 2025 dhe deri në 2026. Për botuesit dhe çdo entitet tjetër që përpunon të dhënat personale të individëve në Sri Lanka, implikimi është i drejtpërdrejtë: një pozicion i pëlqimit të cookie që kënaqte rregullat e mëparshme sektoriale nuk është më i mjaftueshëm, dhe një pozicion që kënaq GDPR-in do të kënaqë PDPA-n vetëm nëse integrimi është konfiguruar për pikat specifike ku dy regjime ndryshojnë.
Çfarë kërkon realisht PDPA e Sri Lanka
PDPA aplikohet ndaj përpunimit të të dhënave personale të subjekteve të të dhënave që janë në Sri Lanka, pavarësisht se ku ndodhet kontrolluesi ose procesori, dhe ndaj kontrolluesve dhe procesorëve të vendosur në Sri Lanka pavarësisht se ku ndodhen subjektet e të dhënave. Arritja jashtëterritoriale pasqyron GDPR Nenin 3 dhe do të thotë se një botues pa zyrë sri lankeze por me lexues, instalime aplikacionesh ose klientë pagues të Sri Lanka është qartë brenda fushës. Të dhënat personale përcaktohen gjerësisht si çdo informacion që lidhet me një person fizik të gjallë të identifikuar ose të identifikueshëm, me të dhënat e kategorisë speciale duke përfshirë biometrike, gjenetike, financiare, shëndetësore, racore, etnike, besimit fetar, mendimit politik dhe të dhënat e rekordit kriminal të trajtuara me rregulla më të rrepta.
Ligji vendos shtatë parime kryesore të mbrojtjes së të dhënave, gjashtë baza ligjore për përpunim, paletën standarde të të drejtave të subjektit të të dhënave — qasja, rektifikimi, fshirja, kufizimi, kundërshtimi dhe portabilitet i të dhënave ku është teknikisht i realizueshëm — dhe një rregullator, Data Protection Authority of Sri Lanka, me fuqinë për të lëshuar direktiva, vendosur gjoba administrative deri në LKR 10 milion për shkelje dhe referuar çështjet serioze për ndjekje penale.
Si trajton PDPA pëlqimin e cookie veçanërisht
PDPA nuk përmban një dispozitë të veçantë në stilin ePrivacy mbi cookies, në mënyrën që bën Direktiva ePrivacy e BE-së. Në vend të kësaj, e përfshi përpunimin e cookie në kornizën e përgjithshme të pëlqimit në stilin GDPR: çdo përpunim i të dhënave personale që mbështetet në pëlqimin si bazën e tij ligjore duhet të merret në bazë të një akti pohues të qartë nga i cili subjekti i të dhënave sinjalizon marrëveshjen, i dhënë lirisht, specifik, i informuar dhe i paqartë. DPA ka treguar, në përputhje me trendin global, se kutitë e paraz-kontrollura, gjuha e vazhdimit të shfletimit dhe bannerët e pérmbledhur të pëlqimit nuk janë forma të vlefshme të pëlqimit nën Ligj.
Efekti praktik është i njëjti pozicion që botuesit operojnë tashmë në EEA: cookies dhe çdo teknologji analoge ruajtje-dhe-qasje që nuk janë rreptësisht të nevojshme për ofrimin e shërbimit nuk duhet të vendosen para se përdoruesi të ketë dhënë aktivisht pëlqimin ndaj tyre. Cookies rreptësisht të nevojshme — identifikuesit e sesionit, përmbajtjet e shportës, tokenët e sigurisë, cookies e balancimit të ngarkesës — mund të vendosen pa pëlqim sepse bien nën bazën e interesit legjitim të lidhur me shërbimin që përdoruesi ka kërkuar aktivisht. Gjithçka tjetër, duke përfshirë analitikën, reklamimin, personalizimin, testimin A/B, riprodhimin e sesionit dhe çdo etiketë të palës së tretë, kërkon pëlqim paraprak.
Si ndryshon PDPA nga GDPR
Tre dallime kanë rëndësi për shtresën e integrimit. Së pari, katalogu i bazave ligjore të PDPA përfshin një bazë interesi publik dhe detyrimi ligjor që hartohen afërsisht me GDPR Nenin 6 por nuk përfshin bazën e pavarur të interesit legjitim në formën që botuesit europianë mbështeten për përpunimin e matjes së reklamave. Ekuivalenti i PDPA-s është më i ngushtë, duke kërkuar një test balancimi të dokumentuar që është depozituar me rekordin e kontrolluesit të përpunimit dhe vënë në dispozicion të DPA me kërkesë. Së dyti, rregullat e transferimit ndërkufitar të PDPA kërkojnë që DPA të caktojë juridiksione destinacioni, dhe transferet në juridiksione të pacaktuara kërkojnë ose pëlqim eksplicit, garanci kontraktuale të miratuara nga DPA, ose një nga derogacionet e ngushta. Së treti, afati i njoftimit të shkeljeve të PDPA është më i shkurtër për shkeljet me rrezik të lartë dhe më i gjatë për shkeljet me rrezik të ulët sesa rregulli i sheshtë 72-orësh GDPR — kontrolluesit duhet të njoftojnë pa vonesë të panevojshme dhe, ku është e realizueshme, brenda një dritareje që udhëzimi i DPA e ka shtrënguar gjatë periudhës së fillimit me faza.
Si duket një banner cookie i pajtueshëm nën PDPA
Kërkesat teknike konvergojnë me atë që çdo CMP modern tashmë prodhon, por etiketimi dhe regjistrimi i pëlqimit duhet të pasqyrojnë specifika sri lankeze. Banneri i shtresës së parë duhet t'i paraqesë përdoruesit një zgjedhje reale — pranoj, refuzoj, menaxhoj — ku opsioni i refuzimit të paktën është po aq i dukshëm sa opsioni i pranimit. Pëlqimi i grumbulluar është i ndaluar, kështu që shtresa e dytë duhet të lejojë opt-in për kategori duke mbuluar të paktën analitikën, reklamimin dhe çdo përpunim të varur nga transferimi ndërkufitar. Kategoritë duhet të kenë parazgjedhje jashtë; banneri nuk duhet të ngarkojë etiketa deri sa përdoruesi t'i ketë aktivizuar ato pohimisht.
Njoftimi i privatësisë i shfaqur nga banneri duhet të identifikojë kontrolluesin, kategoritë e të dhënave personale të mbledhura, bazën ligjore për çdo qëllim përpunimi, periudhën e ruajtjes së të dhënave, kategoritë e marrësve duke përfshirë çdo nënprocesor që operon jashtë Sri Lanka, të drejtat e subjektit të të dhënave nën PDPA dhe detajet e kontaktit të DPA për ankesat. Një njoftim që plotëson standardin e GDPR Nenit 13 do të mbivendoset ndjeshëm, por linjat e kontaktit të DPA dhe transferimit ndërkufitar-juridiksionit duhet të shtohen eksplicit.
Modeli i integrimit që kalon një rishikim DPA
Implementimi i referencës ka katër pjesë të lëvizshme. E para është një CMP që mbështet opt-in per kategori, me parazgjedhje jashtë dhe ekspozon zgjedhjen e përdoruesit nëpërmjet një vargu të strukturuar të pëlqimit që botuesi mund ta ruajë në një regjistër të pëlqimit. E dyta është një shtresë e ngarkimit të etiketave — zakonisht një menaxher etiketash nga ana e serverit ose një portë skripti vendase CMP — që zbaton rreptësisht gjendjen e pëlqimit para se të lejojë vendosjen e çdo cookie jo-esenciale. E treta është një regjistër i pëlqimit, nga ana e serverit, që regjistron për çdo ngjarje pëlqimi zgjedhjen e përdoruesit për kategori, vulën kohore, versionin e bannerit të pëlqimit, adresën IP (e shkurtuar ose e hasjuar nëse kontrolluesi ka vendosur se kjo kënaq analizën e tij të minimizimit të të dhënave) dhe kategoritë që u dhanë kundrejt atyre që u refuzuan. E katërta është një shteg tërheqjeje që të paktën është po aq i lehtë sa dhënia origjinale — një lidhje e vazhdueshme e rihapjes së bannerit në fund të faqes është modeli që DPA e ka miratuar tacitisht me referim ndaj praktikës më të mirë ndërkombëtare.
- Etiketat analitike duhet të ngarkohen vetëm pasi kategoria analitike është dhënë; Google Analytics 4, Adobe Analytics, Matomo, Amplitude dhe Mixpanel të gjitha mbështesin një konfigurim të portos së pëlqimit që parandalon çdo shkrim cookie para se porta të ndizet.
- Etiketat e reklamimit — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, ofertuesit programatikë të header-it — duhet të jenë ngjashëm të portozuara dhe, ku partneri reklamues transferon të dhëna jashtë Sri Lanka, juridiksioni i destinacionit të partnerit duhet të shfaqet në njoftimin e privatësisë.
- Mjetet e riprodhimit të sesionit dhe hartave të nxehtësisë — Hotjar, Microsoft Clarity, FullStory — duhet të jenë pas një porte të veçantë, më të rreptë sepse DPA, në linjë me EDPB, ka sinjalizuar renderimin e fushave të hyrjes si një kategori që kërkon pëlqim eksplicit dhe granular.
- Zbulimet e transferimit ndërkufitar duhet të jenë specifike për çdo juridiksion marrës, jo gjenerike. DPA ka treguar se të dhënat përpunohen nga ofruesit e shërbimeve globalisht nuk është një zbulim i mjaftueshëm.
Qëndrimi i validimit dhe auditimit për 2026
Një vendosje e mbrojtur sri lankeze në 2026 duhet të kalojë katër kontrolle. Së pari, një sesion i pastër shfletuesi i shërbyer nga një adresë IP sri lankeze duhet të prodhojë zero cookies jo-esenciale para se banneri të jetë vepruar. Së dyti, shtegu i refuzimit-të-gjithave duhet të rezultojë në të njëjtin pozicion si një sesion pa veprim — pa etiketa analitike, pa etiketa reklamimi, pa skripte riprodhimi sesioni, vetëm kompleti rreptësisht i nevojshëm. Së treti, një fluks pranoj-të-gjitha duhet të prodhojë etiketat që përdoruesi ka dhënë pëlqimin dhe regjistri i pëlqimit duhet të përmbajë rekordin korrespondues. Së katërti, një fluks tërheqjeje duhet të ndalojë menjëherë zjarret e mëtejshme të etiketave, të skadojë cookies të vendosura gjatë sesionit të dhënë pëlqim dhe të aktivizojë çdo sinjal fshirjeje ose çaktivizimi poshtë linjës që kërkojnë partnerët marrës.
Kërkesa e gjurmës së auditimit është ajo ku PDPA është më e veçantë në 2026. DPA ka lëshuar udhëzime që tregojnë se kontrolluesit duhet të jenë në gjendje të prodhojnë, me kërkesë, rekordin specifik të pëlqimit që ka autorizuar çdo aktivitet të caktuar përpunimi. Kjo do të thotë se regjistri i pëlqimit duhet të jetë i pyetshëm nga identifikuesi i përdoruesit ose identifikuesi i sesionit, i ruajtur për një periudhë që kontrolluesi e ka dokumentuar në orarin e tij të ruajtjes dhe i eksportueshëm në një format të strukturuar. Një CMP i konfiguruar saktë me një regjistër nga ana e serverit, i çiftuar me një shtresë ngarkimi etiketash që zbaton gjendjen e pëlqimit dhe një njoftim privatësie që emërton çdo destinacion të transferimit ndërkufitar, është ajo që e kthen PDPA e Sri Lanka nga një e panjohur rregullatore në një pjesë të mbrojtur të pozicionit global të pëlqimit të botuesit.