Guide till efterlevnad av cookie-samtycke enligt Sri Lankas PDPA: Lag nr 9 från 2022 i kraft för utgivare 2026
Sri Lanka tillbringade mer än ett decennium i den lagstiftande processen innan dess personuppgiftslag äntligen antogs som lag nr 9 från 2022, certifierad av talmannen den 19 March 2022. Lagen antar den breda arkitektur som har blivit global standard sedan GDPR — ändamålsbegränsning, rättslig grund, registrerades rättigheter, ansvarsskyldighet, kontroller för gränsöverskridande överföringar, underrättelse om personuppgiftsincidenter och en oberoende tillsynsmyndighet med befogenhet att utfärda administrativa sanktioner — men inbäddar dem i ett regelverk anpassat till sydAsiatiska kommersiella och konstitutionella verkligheter. Lagen trädde i kraft stegvis från 17 March 2023, med de materiella skyldigheterna som aktiverades 18 månader senare och tillämpningsbestämmelserna som infördes progressivt under 2025 och in i 2026. För utgivare och alla andra enheter som behandlar personuppgifter om individer i Sri Lanka är konsekvensen direkt: en cookie-samtyckesposition som uppfyllde den tidigare patchwork-samlingen av sektorsregler är inte längre tillräcklig, och en position som uppfyller GDPR uppfyller PDPA endast om integrationen är konfigurerad för de specifika punkter där de två regelverken skiljer sig åt.
Vad Sri Lankas PDPA faktiskt kräver
PDPA gäller behandling av personuppgifter om registrerade som befinner sig i Sri Lanka, oavsett var personuppgiftsansvarig eller personuppgiftsbiträde är etablerad, och för personuppgiftsansvariga och personuppgiftsbiträden etablerade i Sri Lanka oavsett var de registrerade befinner sig. Den extraterritoriella räckvidden speglar GDPR artikel 3 och innebär att en utgivare utan Sri Lankan kontor men med sri lankanska läsare, app-installationer eller betalande kunder klart faller inom tillämpningsområdet. Personuppgifter definieras brett som all information som rör en identifierad eller identifierbar levande fysisk person, med uppgifter i särskilda kategorier inklusive biometriska, genetiska, finansiella, hälso-, ras-, etniska, religiösa, politiska och brottmålsregistreringar som behandlas under striktare regler.
Lagen fastställer sju grundläggande dataskyddsprinciper, sex rättsliga grunder för behandling, den standardiserade uppsättningen av registrerades rättigheter — tillgång, rättelse, radering, begränsning, invändning och dataportabilitet där det är tekniskt genomförbart — och en tillsynsmyndighet, Data Protection Authority of Sri Lanka, med befogenhet att utfärda direktiv, påföra administrativa sanktioner upp till LKR 10 miljoner per överträdelse och hänskjuta allvarliga ärenden för straffrättslig åtal.
Hur PDPA behandlar cookie-samtycke specifikt
PDPA innehåller inte en separat ePrivacy-liknande bestämmelse om cookies, på det sätt som EU:s ePrivacy-direktiv gör. Istället infogar den cookiebehandling i det allmänna GDPR-liknande samtyckesramverket: all behandling av personuppgifter som förlitar sig på samtycke som rättslig grund måste erhållas på grundval av en tydlig bekräftande handling genom vilken den registrerade signalerar sitt samtycke, frivilligt givet, specifikt, informerat och otvetydigt. DPA har konsekvent angett, i linje med den globala trenden, att förkryssade rutor, språk om fortsatt surfning och samlade samtyckesbanners inte är giltiga former av samtycke enligt lagen.
Den praktiska effekten är samma position som utgivare som verkar inom EEA redan upprätthåller: cookies och all analog lagrings-och-åtkomstteknik som inte är strikt nödvändig för att leverera tjänsten får inte sättas innan användaren aktivt har samtyckt till dem. Strikt nödvändiga cookies — sessionsidentifierare, kundkorgsinnehåll, säkerhetstoken, belastningsbalanseringscookies — kan sättas utan samtycke eftersom de faller under den legitima intressegrund som är kopplad till den tjänst användaren aktivt har begärt. Allt annat, inklusive analys, reklam, personalisering, A/B-testning, sessionsuppspelning och alla tredjepartstaggar, kräver föregående samtycke.
Hur PDPA skiljer sig från GDPR
Tre skillnader är viktiga för integrationsskiktet. För det första inkluderar PDPA:s katalog över rättsliga grunder en grund för allmänt intresse och rättslig förpliktelse som nära motsvarar GDPR artikel 6 men inkluderar inte den fristående grunden berättigat intresse i den form europeiska utgivare förlitar sig på för annonserings-mätningsbehandling. PDPA:s motsvarighet är snävare och kräver ett dokumenterat balanstestet som arkiveras med personuppgiftsansvariges behandlingsregister och görs tillgängligt för DPA på begäran. För det andra kräver PDPA:s regler om gränsöverskridande överföringar att DPA utser destinationsjurisdiktioner, och överföringar till inte utsedda jurisdiktioner kräver antingen uttryckligt samtycke, avtalsmässiga skyddsåtgärder godkända av DPA eller en av de snäva undantagsbestämmelserna. För det tredje är PDPA:s tidsfrist för incidentanmälan kortare för högriskincidenter och längre för lågriskincidenter än den plana 72-timmarsregeln i GDPR — personuppgiftsansvariga måste anmäla utan onödigt dröjsmål och, om möjligt, inom ett fönster som DPA:s vägledning har skärpt under den stegvisa ikraftträdandeperioden.
Hur en PDPA-kompatibel cookie-banner ser ut
De tekniska kraven konvergerar med vad varje modernt CMP redan producerar, men märkningen och samtyckesloggen måste återspegla sri lankanska detaljer. Bannern i första lagret måste ge användaren ett verkligt val — acceptera, avvisa, hantera — där avvisningsalternativet är minst lika framträdande som accepteringsalternativet. Samlat samtycke är förbjudet, så det andra lagret måste möjliggöra opt-in per kategori som täcker minst analys, reklam och all behandling som är beroende av gränsöverskridande överföring. Kategorier måste som standard vara inställda på av; bannern får inte ladda taggar tills användaren aktivt har aktiverat dem.
Det integritetsmeddelande som visas från bannern måste identifiera den personuppgiftsansvarige, kategorierna av insamlade personuppgifter, den rättsliga grunden för varje behandlingsändamål, lagringsperioden för uppgifter, kategorier av mottagare inklusive underbearbetare som verkar utanför Sri Lanka, den registrerades rättigheter enligt PDPA och DPA:s kontaktuppgifter för klagomål. Ett meddelande som uppfyller GDPR:s artikel 13-standard kommer att ha avsevärda överlappningar, men DPA-kontakt- och gränsöverskridande-överföringsjurisdiktionsraderna måste läggas till explicit.
Det integrationsmönster som klarar en DPA-granskning
Referensimplementationen har fyra rörliga delar. Den första är ett CMP som stöder opt-in per kategori, standard av, och exponerar användarens val via en strukturerad samtyckessträng som utgivaren kan spara i en samtyckeslogg. Den andra är ett tagg-laddningsskikt — vanligtvis en serversidestagghanterare eller ett CMP-inbyggt skriptgrindar — som strikt tillämpar samtyckestillståndet innan det tillåter att någon icke-väsentlig cookie sätts. Den tredje är en samtyckeslogg, serversidan, som för varje samtyckeshändelse registrerar användarens val per kategori, tidsstämpeln, samtyckesbannerversionen, IP-adressen (trunkerad eller hashad om personuppgiftsansvarige har beslutat att detta uppfyller dess dataminimerings-analys) och de kategorier som beviljades jämfört med de som avvisades. Den fjärde är en återkallelsesväg som är minst lika enkel som det ursprungliga beviljandet — en permanent länk för att öppna om bannern i sidfoten är det mönster DPA tyst har godkänt med hänvisning till internationell bästa praxis.
- Analystaggar får bara laddas efter att analyskategorin har beviljats; Google Analytics 4, Adobe Analytics, Matomo, Amplitude och Mixpanel stöder alla en samtyckesgrindad konfiguration som förhindrar all cookieskrivning innan grinden aktiveras.
- Reklamtaggar — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatiska header-bidders — måste på liknande sätt vara grindade och, där reklampartnern överför data utanför Sri Lanka, måste partnerns destinationsjurisdiktion anges i integritetsmeddelandet.
- Sessionsuppspelnings- och värmekartverktyg — Hotjar, Microsoft Clarity, FullStory — måste ligga bakom en separat, striktare grind eftersom DPA, i linje med EDPB, har flaggat renderingen av inmatningsfält som en kategori som kräver uttryckligt och granulerat samtycke.
- Upplysningar om gränsöverskridande överföringar måste vara specifika för varje mottagarjurisdiktion, inte generiska. DPA har indikerat att data behandlas av tjänsteleverantörer globalt inte är en tillräcklig upplysning.
Validerings- och revisionsposition för 2026
En försvarbar sri lankansk driftsättning 2026 måste klara fyra kontroller. Först måste en ren webbläsarsession servad från en sri lankansk IP-adress producera noll icke-väsentliga cookies innan bannern har åtgärdats. För det andra måste avvisa-allt-vägen resultera i samma position som en ingen-åtgärd-session — inga analystaggar, inga reklamtaggar, inga sessionsuppspelningsskript, bara den strikt nödvändiga uppsättningen. För det tredje måste ett acceptera-allt-flöde producera de taggar som användaren har samtyckt till och samtyckesloggen måste innehålla den motsvarande posten. För det fjärde måste ett återkallningsflöde omedelbart stoppa ytterligare taggaktivering, förfalla de cookies som satts under den samtyckade sessionen och utlösa alla nedströms borttagnings- eller avanmälningssignaler som mottagarpartnerna kräver.
Kravet på granskningsspår är det ställe där PDPA är mest distinkt 2026. DPA har utfärdat vägledning som indikerar att personuppgiftsansvariga bör kunna producera, på begäran, den specifika samtyckespost som godkände en given behandlingsaktivitet. Det innebär att samtyckesloggen måste vara sökbar med användaridentifierare eller sessionsidentifierare, bevarad under en period som personuppgiftsansvarige har dokumenterat i sin lagringsplan och exporterbar i ett strukturerat format. Ett korrekt konfigurerat CMP med en serversidelog, parad med ett tagg-laddningsskikt som tillämpar samtyckestillståndet och ett integritetsmeddelande som namnger varje gränsöverskridande överföringsdestination, är det som förvandlar Sri Lankas PDPA från en regulatorisk okänd till en försvarbar del av en utgivares globala samtyckesposition.