Водич за усклађеност са Cookie Consent по Sri Lanka PDPA: Закон бр. 9 из 2022. на снази за издаваче у 2026.

Sri Lanka је провела више од деценије у законодавном поступку пре него што је њен Закон о заштити личних података коначно донет као Закон бр. 9 из 2022., оверен од стране Председника Скупштине 19 March 2022. Закон усваја широку архитектуру која је постала глобални стандард од GDPR — ограничење сврхе, законска основа, права субјеката података, одговорност, контроле прекограничног преноса, обавештавање о повредама и независни регулатор са овлашћењима за административне казне — али их уграђује у режим прилагођен комерцијалним и уставним стварностима Јужне Азије. Закон је ступао на снагу у фазама од 17 March 2023., са суштинским обавезама које су се активирале 18 месеци касније и одредбама о спровођењу које су постепено уведене током 2025. и у 2026. За издаваче и свако друго лице које обрађује личне податке појединаца у Sri Lanka, импликација је директна: позиција cookie consent-а која је задовољавала претходни мозаик секторских правила više није довољна, и позиција која задовољава GDPR ће задовољити PDPA само ако је интеграција конфигурисана за специфичне тачке где се два режима разликују.

Шта Sri Lanka PDPA заправо захтева

PDPA се примењује на обраду личних података субјеката података који се налазе у Sri Lanka, без обзира где се nalazi контролор или обрађивач, и на контролоре и обрађиваче са седиштем у Sri Lanka без обзира где се налазе субјекти података. Екстратериторијални домет одражава GDPR члан 3 и значи да је издавач без канцеларије у Sri Lanka али са читаоцима, инсталацијама апликација или клијентима из Sri Lanka јасно у оквиру примене. Лични подаци су широко дефинисани као сви подаци везани за идентификовано или идентификабилно живо физичко лице, при чему подаци посебне категорије укључујући биометријске, генетске, финансијске, здравствене, расне, етничке, верске, политичке и кривичне евиденције подлежу строжим правилима.

Закон успоставља седам основних принципа заштите података, шест законских основа за обраду, стандардни скуп права субјеката података — приступ, исправка, брисање, ограничење, приговор и преносивост података где је технички изводљиво — и регулатора, Data Protection Authority of Sri Lanka, са овлашћењем да издаје директиве, изриче административне казне до LKR 10 miliona по повреди и упућује озбиљне случајеве на кривично гоњење.

Kako PDPA tretira cookie consent конкретно

PDPA не садржи посебну одредбу у стилу ePrivacy о cookies, на начин на који то чини EU ePrivacy Директива. Уместо тога, обраду cookies уклапа у општи оквир пристанка у стилу GDPR: свака обрада личних података која се ослања на пристанак као своју законску основу мора бити прибављена на основу јасног афирмативног чина којим субјекат података изражава сагласност, слободно дату, специфичну, информисану и недвосмислену. DPA је указао, у складу са глобалним трендом, да унапред означена поља, језик наставка прегледања и скупни банери пристанка нису важећи облици пристанка под Законом.

Практични ефекат је иста позиција коју издавачи у EEA већ одржавају: cookies и свака аналогна технологија складиштења и приступа која није строго неопходна за пружање услуге не смеју бити постављени пре него што је корисник активно пристао на њих. Строго неопходни cookies — идентификатори сесије, садржај корпе, безбедносни токени, cookies за балансирање оптерећења — могу бити постављени без пристанка јер спадају под основу легитимног интереса везану за услугу коју је корисник активно захтевао. Све остало, укључујући аналитику, оглашавање, персонализацију, A/B тестирање, снимање сесије и сваку ознаку треће стране, захтева претходни пристанак.

Kako se PDPA razlikuje od GDPR

Три разлике су важне за слој интеграције. Прво, каталог законских основа PDPA укључује основу јавног интереса и правне обавезе које се блиско поклапају са GDPR чланом 6 али не укључује самосталну основу легитимног интереса у облику на коју се европски издавачи ослањају за обраду мерења огласа. Еквивалент PDPA је ужи, захтевајући документован тест балансирања који се улаже у евиденцију обраде контролора и ставља на располагање DPA на захтев. Друго, правила о прекограничним преносима PDPA захтевају да DPA одреди одредишне јурисдикције, а преноси у неодређене јурисдикције захтевају или изричит пристанак, уговорне заштитне мере одобрене од DPA или неко од уских одступања. Треће, рок за обавештавање о повреди PDPA је краћи за повреде високог ризика и дужи за повреде ниског ризика него равно 72-часовно GDPR правило — контролори морају да обавесте без непотребног одлагања и, где је изводљиво, у оквиру прозора који је смерница DPA заоштрила током периода поступног ступања на снагу.

Kako izgleda usklađeni cookie banner pod PDPA

Технички захтеви конвергирају са оним што сваки модерни CMP већ производи, али означавање и евиденција пристанка морају одражавати специфичности Sri Lanka. Банер prvog sloja мора кориснику представити стваран избор — прихвати, одбиј, управљај — где је опција одбијања барем исто тако истакнута као опција прихватања. Скупни пристанак је забрањен, па тако други слој мора омогућити opt-in по категоријама покривајући барем аналитику, оглашавање и сваку обраду зависну од прекограничног преноса. Категорије морају бити подразумевано постављене на искључено; банер не сме учитавати ознаке dok корисник их афирмативно не укључи.

Обавештење о приватности приказано из банера мора идентификовати контролора, категорије прикупљених личних података, законску основу за сваку сврху обраде, период чувања података, категорије прималаца укључујући свакe подобрађиваче који послују изван Sri Lanka, права субјекта података под PDPA и контакт податке DPA за жалбе. Обавештење које испуњава стандард GDPR члана 13 ће се знатно преклапати, али линије контакта DPA и јурисдикције прекограничног преноса морају бити додате изричито.

Образац интеграције који пролази преглед DPA

Референтна имплементација има четири покретне части. Прва је CMP која подржава opt-in по категоријама, подразумевано искључен, и излаже избор корисника путем структурираног низа пристанка који издавач може да сачува у евиденцији пристанка. Друга је слој за учитавање ознака — обично менаџер ознака на страни сервера или капија скрипте матична CMP — који строго спроводи стање пристанка пре него što омогући постављање било ког необавезног cookie. Трећа је евиденција пристанка, на страни сервера, која бележи за сваки događaj пристанка избор корисника по категорији, временску ознаку, верзију банера пристанка, IP адресу (скраћену или хеширану ако је контролор одлучио да то задовољава његову анализу минимизације података) и категорије које су одобрене наспрам одбијених. Четврта је пут повлачења који је барем исто тако лак као оригинално одобравање — трајна веза поновног отварања банера у подножју је образац који је DPA прећутно одобрио позивајући се на међународну најбољу праксу.

Позиција провере и ревизије за 2026.

Одбрањиво постављање у Sri Lanka у 2026. мора проћи четири провере. Прво, чиста браузер сесија послужена са IP адресе Sri Lanka мора произвести нула необавезних cookies пре него što је банер активиран. Друго, пут одбиј-све мора резултовати истом позицијом као сесија без акције — без аналитичких ознака, без рекламних ознака, без скрипти снимања сесије, само строго неопходни скуп. Треће, ток прихвати-све мора произвести ознаке на koje је корисник пристао и евиденција пристанка мора садржати одговарајући запис. Четврто, ток повлачења мора одмах зауставити даља покретања ознака, истећи cookies постављене током сесије са пристанком и покренути све сигнале брисања или одјаве на прималачким партнерима на које се захтева.

Захтев за ревизионим трагом је место где је PDPA најдистинктивнији у 2026. DPA је издао смернице указујући да контролори морају бити у стању да произведу, на захтев, специфичан запис пристанка који је ауторизовао одређену активност обраде. То значи да евиденција пристанка мора бити упитљива по идентификатору корисника или идентификатору сесије, чувана током периода који је контролор документовао у свом распореду чувања и извозива у структурираном формату. Правилно конфигурисани CMP са евиденцијом на страни сервера, спарен са слојем за учитавање ознака koji спроводи стање пристанка и обавештењем о приватности које именује сваки одредишни пункт прекограничног преноса, је оно шо претвара Sri Lanka PDPA из регулаторне непознанице у одбрањив део глобалне позиције пристанка издавача.

← Blog Прочитај све →