Mwongozo wa Uzingatiaji wa Cookie Consent wa PDPA ya Sri Lanka: Sheria Na. 9 ya 2022 Inayotekelezwa kwa Wachapishaji mwaka 2026
Sri Lanka ilitumia zaidi ya muongo mmoja katika mchakato wa kisheria kabla Sheria yake ya Ulinzi wa Data Binafsi haijapitishwa hatimaye kama Sheria Na. 9 ya 2022, iliyoidhinishwa na Spika tarehe 19 March 2022. Sheria inachukua muundo mpana ambao umekuwa kiwango cha kimataifa tangu GDPR — ukomo wa madhumuni, msingi wa kisheria, haki za somo la data, uwajibikaji, udhibiti wa uhamishaji wa kimataifa, taarifa ya uvunjaji na mdhibiti huru mwenye mamlaka ya adhabu za kiutawala — lakini inazipachika katika utaratibu ulioboreshwa kwa hali halisi za kibiashara na kikatiba za Asia ya Kusini. Sheria ilianza hatua kwa hatua kutoka 17 March 2023, na wajibu wa kimsingi ukianza miezi 18 baadaye na masharti ya utekelezaji yakiingizwa hatua kwa hatua katika kipindi cha 2025 na kuendelea hadi 2026. Kwa wachapishaji na kila taasisi nyingine inayoshughulikia data binafsi ya watu katika Sri Lanka, matokeo ni ya moja kwa moja: msimamo wa idhini ya cookie ambao ulikidhi sheria za awali za sekta hautosha tena, na msimamo unaokidhi GDPR utakidhi PDPA tu ikiwa muunganisho umewekwa kwa pointi maalum ambapo utaratibu wawili hutofautiana.
PDPA ya Sri Lanka inayohitaji nini hasa
PDPA inatumika kwa usindikaji wa data binafsi ya masomo ya data walio Sri Lanka, bila kujali wapi mdhibiti au msindikaji anapatikana, na kwa wadhibiti na wasindikaji waliopo Sri Lanka bila kujali wapi masomo ya data yanapatikana. Wigo wa nje ya eneo huzingatia GDPR Kifungu cha 3 na inamaanisha kwamba mchapishaji asiye na ofisi ya Sri Lanka lakini wenye wasomaji, ufungaji wa programu au wateja wanaolipa kutoka Sri Lanka yuko wazi ndani ya wigo. Data binafsi inafafanuliwa kwa upana kama maelezo yoyote yanayohusiana na mtu hai anayetambuliwa au anayetambuliwa, na data ya kategoria maalum ikiwa ni pamoja na biometriki, vinasaba, fedha, afya, rangi, ukabila, imani ya kidini, maoni ya kisiasa na rekodi za jinai zinazoshughulikiwa chini ya sheria kali zaidi.
Sheria inaweka kanuni saba za msingi za ulinzi wa data, misingi sita ya kisheria ya usindikaji, mkusanyiko wa kawaida wa haki za somo la data — ufikiaji, urekebishaji, ufutaji, ukomo, pingamizi na uhamishaji wa data ambapo inawezekana kiufundi — na mdhibiti, Data Protection Authority of Sri Lanka, mwenye mamlaka ya kutoa maagizo, kutoza adhabu za kiutawala hadi LKR milioni 10 kwa kila uvunjaji, na kupeleka mambo makubwa kwa mashtaka ya jinai.
PDPA inashughulikia idhini ya cookie vipi hasa
PDPA haijumuishi masharti tofauti ya mtindo wa ePrivacy kuhusu cookies, kwa njia ambavyo Maagizo ya EU ya ePrivacy hufanya. Badala yake, inajumuisha usindikaji wa cookie katika mfumo wa jumla wa idhini wa mtindo wa GDPR: usindikaji wowote wa data binafsi unaotegemea idhini kama msingi wake wa kisheria lazima upatikane kwa msingi wa tendo wazi la uthibitisho ambalo somo la data linaashiria makubaliano, iliyotolewa kwa uhuru, maalum, yenye habari na bila utata. DPA imeonyesha, kwa kuendana na mwelekeo wa kimataifa, kwamba visanduku vilivyochaguliwa awali, lugha ya kuendelea kuvinjari na mabango ya idhini ya pamoja si aina halali za idhini chini ya Sheria.
Athari ya vitendo ni msimamo sawa ambao wachapishaji wanaofanya kazi katika EEA tayari hudumisha: cookies na teknolojia yoyote ya kuhifadhi na kufikia inayofanana ambayo si ya lazima kwa ajili ya kutoa huduma hazipaswi kuwekwa kabla mtumiaji hajaipa idhini yake kikamilifu. Cookies zinazohitajika kabisa — vitambulisho vya kikao, maudhui ya kapu, tokeni za usalama, cookies za usawazishaji wa mzigo — zinaweza kuwekwa bila idhini kwa sababu zinaangukia msingi wa maslahi halisi unaohusiana na huduma ambayo mtumiaji ameiomba kikamilifu. Kila kitu kingine, ikiwa ni pamoja na uchambuzi, utangazaji, ubinafsishaji, majaribio ya A/B, uchezaji tena wa kikao na lebo yoyote ya chama cha tatu, inahitaji idhini ya awali.
PDPA inatofautiana na GDPR vipi
Tofauti tatu ni muhimu kwa safu ya muunganisho. Kwanza, katalogi ya misingi ya kisheria ya PDPA inajumuisha msingi wa maslahi ya umma na wajibu wa kisheria ambao unafanana kwa karibu na GDPR Kifungu cha 6 lakini haujumuishi msingi wa kujitegemea wa maslahi halisi kwa njia ambavyo wachapishaji wa Ulaya hutegemea kwa usindikaji wa upimaji wa matangazo. Sawa na PDPA ni nyembamba zaidi, ikitaka mtihani wa usawazishaji uliorekodiwa ambao umefunguliwa na rekodi ya usindikaji ya mdhibiti na kupatikana kwa DPA kwa ombi. Pili, sheria za uhamishaji wa kimataifa za PDPA zinahitaji DPA kutaja mamlaka za lengwa, na uhamishaji kwa mamlaka ambazo hazijatajwa unahitaji idhini wazi, dhamana za kimkataba zilizoidhinishwa na DPA, au moja ya vikwazo vya finyu. Tatu, muda wa taarifa ya uvunjaji wa PDPA ni mfupi kwa uvunjaji wa hatari kubwa na mrefu kwa uvunjaji wa hatari ndogo kuliko sheria ya GDPR ya saa 72 — wadhibiti lazima warifu bila kuchelewa kwa lazima na, inapowezekana, ndani ya dirisha ambalo mwongozo wa DPA umezidi wakati wa kipindi cha kuanza hatua kwa hatua.
Bango la cookie linalolingana na PDPA linaonekana vipi
Mahitaji ya kiufundi yanakusanyika na kile ambacho kila CMP ya kisasa tayari inazalisha, lakini uwekaji wa lebo na kumbukumbu ya idhini lazima ziakisi mahususi ya Sri Lanka. Bango la tabaka la kwanza lazima liwasilishe kwa mtumiaji chaguo halisi — kubali, kataa, simamia — ambapo chaguo la kukataa angalau linaonekana kama chaguo la kukubali. Idhini ya pamoja imekatazwa, kwa hivyo tabaka la pili lazima liruhusu opt-in kwa kila kategoria ikizungumzia angalau uchambuzi, utangazaji na usindikaji wowote unaotegemea uhamishaji wa kimataifa. Kategoria lazima ziwe na chaguo la msingi la imezimwa; bango halipaswi kupakia lebo mpaka mtumiaji ameziwasha kikamilifu.
Taarifa ya faragha inayoonyeshwa kutoka kwenye bango lazima itambue mdhibiti, kategoria za data binafsi zilizokusanywa, msingi wa kisheria kwa kila madhumuni ya usindikaji, kipindi cha uhifadhi wa data, kategoria za wapokeaji ikiwa ni pamoja na wasindikaji ndogo wanaofanya kazi nje ya Sri Lanka, haki za somo la data chini ya PDPA na maelezo ya mawasiliano ya DPA kwa malalamiko. Taarifa inayokidhi kiwango cha Kifungu cha 13 cha GDPR itafanana kwa kiasi kikubwa, lakini mistari ya mawasiliano ya DPA na mamlaka ya uhamishaji wa kimataifa lazima iongezwe wazi.
Mfumo wa muunganisho unaopita ukaguzi wa DPA
Utekelezaji wa rejea una sehemu nne zinazosogea. Ya kwanza ni CMP inayounga mkono opt-in kwa kila kategoria, imezimwa kwa chaguo-msingi na inaonyesha chaguo la mtumiaji kupitia mfuatano wa idhini uliopangwa ambao mchapishaji anaweza kuuhifadhi katika kumbukumbu ya idhini. Ya pili ni safu ya upakiaji wa lebo — kwa kawaida msimamizi wa lebo wa upande wa seva au mlango wa hati wa asili wa CMP — ambao unatekeleza kikamilifu hali ya idhini kabla ya kuruhusu cookie yoyote isiyohitajika kuwekwa. Ya tatu ni kumbukumbu ya idhini, upande wa seva, inayorekodia kwa kila tukio la idhini chaguo la mtumiaji kwa kila kategoria, muhuri wa wakati, toleo la bango la idhini, anwani ya IP (iliyofupishwa au kupigiwa hash ikiwa mdhibiti ameamua hii inakidhi uchambuzi wake wa kupunguza data) na kategoria zilizoidhinishwa dhidi ya zilizokataliwa. Ya nne ni njia ya kujiondoa ambayo ni rahisi angalau kama utoaji wa awali — kiungo cha kudumu cha kufungua tena bango kwenye ukurasa wa chini ni mfumo ambao DPA imekubali kwa kimya kwa kurejelea mazoea bora ya kimataifa.
- Lebo za uchambuzi lazima zipakiwe tu baada ya kategoria ya uchambuzi kuidhinishwa; Google Analytics 4, Adobe Analytics, Matomo, Amplitude na Mixpanel zote zinaunga mkono usanidi uliozingirwa na idhini ambao unazuia uandikaji wowote wa cookie kabla ya mlango kufunguka.
- Lebo za utangazaji — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, watoaji wa programmatic header — lazima pia vizingirwe na, ambapo mshirika wa utangazaji anahamisha data nje ya Sri Lanka, mamlaka ya lengwa ya mshirika lazima ionekane katika taarifa ya faragha.
- Zana za uchezaji tena wa kikao na ramani za joto — Hotjar, Microsoft Clarity, FullStory — lazima ziwe nyuma ya mlango tofauti, mkali zaidi kwa sababu DPA, ikifuata EDPB, imebainisha utoaji wa sehemu za kuingiza kama kategoria inayohitaji idhini wazi na ya kina.
- Ufafanuzi wa uhamishaji wa kimataifa lazima uwe maalum kwa kila mamlaka ya mpokeaji, si wa jumla. DPA imeonyesha kwamba data inashughulikiwa na watoa huduma duniani kote si ufafanuzi wa kutosha.
Msimamo wa uthibitishaji na ukaguzi kwa 2026
Utekelezaji unaoweza kutetewa wa Sri Lanka mwaka 2026 lazima upite ukaguzi wa aina nne. Kwanza, kikao safi cha kivinjari kinachohudumishwa kutoka kwa anwani ya IP ya Sri Lanka lazima kizalishe sufuri ya cookies isiyohitajika kabla bango halijafanyiwa kazi. Pili, njia ya kukataa-yote lazima isababishe msimamo sawa na kikao bila hatua — hakuna lebo za uchambuzi, hakuna lebo za utangazaji, hakuna hati za uchezaji tena wa kikao, tu mkusanyiko unaohitajika kabisa. Tatu, mtiririko wa kukubali-yote lazima uzalishe lebo ambazo mtumiaji ameidhinisha na kumbukumbu ya idhini lazima iwe na rekodi inayolingana. Nne, mtiririko wa kujiondoa lazima usimamishe mara moja moto wa lebo zaidi, uisha muda wa cookies zilizowekwa wakati wa kikao kilichoidhinishwa na kuchochea ishara yoyote ya ufutaji au kujiondoa ambazo washirika wapokeaji wanahitaji.
Hitaji la njia ya ukaguzi ndilo ambapo PDPA ni tofauti zaidi mwaka 2026. DPA imetoa mwongozo ikisema kwamba wadhibiti wanapaswa kuweza kutoa, kwa ombi, rekodi maalum ya idhini iliyoidhinisha shughuli yoyote ya usindikaji. Hiyo inamaanisha kumbukumbu ya idhini lazima iweze kuulizwa kwa kitambulisho cha mtumiaji au kitambulisho cha kikao, kuhifadhiwa kwa kipindi ambacho mdhibiti amerekodia katika ratiba yake ya uhifadhi na kuweza kuhamishiwa katika umbizo lililoundwa. CMP iliyosanidiwa vizuri yenye kumbukumbu ya upande wa seva, iliyounganishwa na safu ya upakiaji wa lebo inayotekeleza hali ya idhini na taarifa ya faragha inayotaja kila lengwa la uhamishaji wa kimataifa, ndiyo inayobadilisha PDPA ya Sri Lanka kutoka kwa haijulikani ya udhibiti hadi sehemu inayoweza kutetewa ya msimamo wa idhini wa kimataifa wa mchapishaji.