இலங்கை PDPA குக்கீ ஒப்புதல் இணக்க வழிகாட்டி: 2022 இன் சட்டம் எண் 9 வெளியீட்டாளர்களுக்கு 2026 இல் நடைமுறையில்
இலங்கையின் தனிநபர் தரவுப் பாதுகாப்புச் சட்டம் இறுதியாக 2022 இன் சட்டம் எண் 9 ஆக இயற்றப்படுவதற்கு முன், சட்டமன்ற செயல்முறையில் ஒரு தசாப்தத்திற்கும் மேலாகச் செலவழித்தது; 2022 மார்ச் 19 அன்று சபாநாயகரால் சான்றளிக்கப்பட்டது. இந்தச் சட்டம் GDPR இற்குப் பிறகு உலகளாவிய தரமாக மாறிய பரந்த கட்டமைப்பை ஏற்றுக்கொள்கிறது — நோக்க வரம்பு, சட்டப்பூர்வ அடிப்படை, தரவு உரிமையாளர்களின் உரிமைகள், பொறுப்புக்கூறல், எல்லை தாண்டிய பரிமாற்றக் கட்டுப்பாடுகள், மீறல் அறிவிப்பு, மற்றும் நிர்வாக அபராத அதிகாரங்களைக் கொண்ட ஒரு சுயாதீன ஒழுங்குமுறையாளர் — ஆனால் அவற்றைத் தென் ஆசியாவின் வணிக மற்றும் அரசியலமைப்பு யதார்த்தங்களுக்கு ஏற்ப வடிவமைக்கப்பட்ட ஆட்சியில் உட்பொதிக்கிறது. இந்தச் சட்டம் 2023 மார்ச் 17 முதல் படிநிலைகளில் நடைமுறைக்கு வந்தது; கணிசமான கடமைகள் 18 மாதங்களுக்குப் பிறகு செயல்படத் தொடங்கின, மேலும் அமலாக்க விதிகள் 2025 முழுவதும் மற்றும் 2026 இல் முற்போக்காக அறிமுகப்படுத்தப்பட்டன. இலங்கையில் உள்ள தனிநபர்களின் தனிநபர் தரவை செயலாக்கும் வெளியீட்டாளர்களுக்கும் வேறு எந்த நிறுவனத்திற்கும், அதன் தாக்கம் நேரடியானது: முந்தைய துறைசார் விதிகளின் தொகுப்பைப் பூர்த்தி செய்த குக்கீ-ஒப்புதல் நிலைப்பாடு இனி போதுமானதல்ல, மேலும் இரு ஆட்சிகளும் வேறுபடும் குறிப்பிட்ட புள்ளிகளுக்கு ஒருங்கிணைப்பு உள்ளமைக்கப்பட்டால் மட்டுமே GDPR ஐப் பூர்த்தி செய்யும் நிலைப்பாடு PDPA ஐயும் பூர்த்தி செய்யும்.
இலங்கை PDPA உண்மையில் எதைக் கோருகிறது
கட்டுப்படுத்துநர் அல்லது செயலாக்குநர் எங்கிருந்தாலும், இலங்கையில் உள்ள தரவு உரிமையாளர்களின் தனிநபர் தரவைச் செயலாக்குவதற்கும், தரவு உரிமையாளர்கள் எங்கிருந்தாலும் இலங்கையில் நிறுவப்பட்ட கட்டுப்படுத்துநர்கள் மற்றும் செயலாக்குநர்களுக்கும் PDPA பொருந்தும். இந்த எல்லைக்கு அப்பாற்பட்ட எல்லை GDPR இன் கட்டுரை 3 ஐப் பிரதிபலிக்கிறது, மேலும் இலங்கையில் அலுவலகம் இல்லாத ஆனால் இலங்கை வாசகர்கள், செயலி நிறுவல்கள் அல்லது பணம் செலுத்தும் வாடிக்கையாளர்களைக் கொண்ட ஒரு வெளியீட்டாளர் நேரடியாக நோக்கத்திற்குள் இருக்கிறார் என்பதைக் குறிக்கிறது. தனிநபர் தரவு என்பது அடையாளம் காணப்பட்ட அல்லது அடையாளம் காணக்கூடிய உயிருள்ள இயற்கை நபருடன் தொடர்புடைய எந்தத் தகவலும் என பரந்த அளவில் வரையறுக்கப்படுகிறது; உயிரியல்அளவீட்டு, மரபணு, நிதி, சுகாதார, இனம், இனத்துவம், மத-நம்பிக்கை, அரசியல்-கருத்து மற்றும் குற்றப்-பதிவு தரவு உட்பட சிறப்பு-வகைத் தரவு கடுமையான விதிகளின் கீழ் கருதப்படுகிறது.
இந்தச் சட்டம் ஏழு முக்கிய தரவுப்-பாதுகாப்புக் கொள்கைகள், செயலாக்கத்திற்கான ஆறு சட்டப்பூர்வ அடிப்படைகள், தரவு உரிமையாளர் உரிமைகளின் நிலையான தொகுப்பு — அணுகல், திருத்தம், அழித்தல், கட்டுப்பாடு, ஆட்சேபனை மற்றும் தொழில்நுட்ப ரீதியாக சாத்தியமாகும்போது தரவு பெயர்க்கூடிய தன்மை — மற்றும் ஒரு ஒழுங்குமுறையாளர், இலங்கை தரவுப் பாதுகாப்பு ஆணையம், வழிகாட்டுதல்களை வழங்கவும், ஒரு மீறலுக்கு LKR 10 மில்லியன் வரை நிர்வாக அபராதங்களை விதிக்கவும், கடுமையான விஷயங்களை குற்றவியல் வழக்குத் தொடர பரிந்துரைக்கவும் அதிகாரங்களுடன் நிறுவுகிறது.
PDPA குறிப்பாக குக்கீ ஒப்புதலை எவ்வாறு நடத்துகிறது
EU இன் ePrivacy இயக்குநரகம் செய்வது போல, PDPA குக்கீகள் குறித்த தனி ePrivacy-பாணி விதியைக் கொண்டிருக்கவில்லை. அதற்குப் பதிலாக, அது குக்கீ செயலாக்கத்தை பொதுவான GDPR-பாணி ஒப்புதல் கட்டமைப்பில் மடிக்கிறது: ஒப்புதலை அதன் சட்டப்பூர்வ அடிப்படையாக நம்பும் தனிநபர் தரவின் எந்தச் செயலாக்கமும், தரவு உரிமையாளர் சுதந்திரமாக வழங்கப்பட்ட, குறிப்பிட்ட, தகவலறிந்த மற்றும் தெளிவான ஒப்புதலைக் குறிக்கும் தெளிவான உறுதியான செயலின் அடிப்படையில் பெறப்பட வேண்டும். உலகளாவிய போக்குக்கு இணங்க, முன்-குறிக்கப்பட்ட பெட்டிகள், தொடர்ந்து-உலாவல் மொழி மற்றும் தொகுக்கப்பட்ட ஒப்புதல் பேனர்கள் இந்தச் சட்டத்தின் கீழ் செல்லுபடியாகும் ஒப்புதல் வடிவங்கள் அல்ல என்று ஆணையம் சுட்டிக்காட்டியுள்ளது.
நடைமுறை விளைவு, EEA இல் இயங்கும் வெளியீட்டாளர்கள் ஏற்கனவே பராமரிக்கும் அதே நிலைப்பாடு: சேவையை வழங்குவதற்குக் கண்டிப்பாகத் தேவையில்லாத குக்கீகள் மற்றும் ஏதேனும் ஒத்த சேமிப்பு-மற்றும்-அணுகல் தொழில்நுட்பங்கள், பயனர் அவற்றுக்கு செயலூக்கமாக ஒப்புக்கொள்வதற்கு முன் அமைக்கப்படக்கூடாது. கண்டிப்பாகத் தேவையான குக்கீகள் — அமர்வு அடையாளங்காட்டிகள், கூடை உள்ளடக்கங்கள், பாதுகாப்பு டோக்கன்கள், சுமை-சமநிலை குக்கீகள் — பயனர் செயலூக்கமாகக் கோரிய சேவையுடன் இணைக்கப்பட்ட நியாயமான-நலன் அடிப்படையின் கீழ் வருவதால் ஒப்புதல் இல்லாமல் அமைக்கப்படலாம். பகுப்பாய்வு, விளம்பரம், தனிப்பயனாக்கம், A/B சோதனை, அமர்வு மறுஇயக்கம் மற்றும் எந்தவொரு மூன்றாம்-தரப்பு குறிச்சொல் உட்பட மற்ற அனைத்திற்கும் முன்-ஒப்புதல் தேவை.
PDPA GDPR இலிருந்து எவ்வாறு வேறுபடுகிறது
ஒருங்கிணைப்பு அடுக்கிற்கு மூன்று வேறுபாடுகள் முக்கியம். முதலாவதாக, PDPA இன் சட்டப்பூர்வ-அடிப்படை பட்டியல், GDPR கட்டுரை 6 உடன் நெருக்கமாக பொருந்தும் பொது-நலன் மற்றும் சட்டப்பூர்வ-கடமை அடிப்படையை உள்ளடக்கியது, ஆனால் விளம்பர-அளவீட்டுச் செயலாக்கத்திற்கு ஐரோப்பிய வெளியீட்டாளர்கள் நம்பியிருக்கும் வடிவத்தில் தனித்த நியாயமான-நலன் அடிப்படையை உள்ளடக்கவில்லை. PDPA இன் சமமானது குறுகியது, கட்டுப்படுத்துநரின் செயலாக்கப் பதிவில் தாக்கல் செய்யப்பட்டு கோரிக்கையின் பேரில் ஆணையத்திற்குக் கிடைக்கச் செய்யப்படும் ஆவணப்படுத்தப்பட்ட சமநிலைச் சோதனையைக் கோருகிறது. இரண்டாவதாக, PDPA இன் எல்லை தாண்டிய பரிமாற்ற விதிகள், ஆணையம் இலக்கு அதிகார வரம்புகளை நியமிக்க வேண்டும் என்று கோருகின்றன, மேலும் நியமிக்கப்படாத அதிகார வரம்புகளுக்கான பரிமாற்றங்களுக்கு வெளிப்படையான ஒப்புதல், ஆணையத்தால் அங்கீகரிக்கப்பட்ட ஒப்பந்தப் பாதுகாப்புகள் அல்லது குறுகிய விலக்குகளில் ஒன்று தேவை. மூன்றாவதாக, PDPA இன் மீறல் அறிவிப்பு காலவரிசை, GDPR இன் சீரான 72-மணிநேர விதியை விட அதிக-ஆபத்து மீறல்களுக்குக் குறுகியதாகவும், குறைந்த-ஆபத்து மீறல்களுக்கு நீளமானதாகவும் உள்ளது — கட்டுப்படுத்துநர்கள் தேவையற்ற தாமதம் இல்லாமல் மற்றும், சாத்தியமாகும்போது, படிநிலை-அறிமுகக் காலத்தில் ஆணையத்தின் வழிகாட்டுதல் இறுக்கிய சாளரத்திற்குள் அறிவிக்க வேண்டும்.
PDPA இன் கீழ் இணக்கமான குக்கீ பேனர் எப்படி இருக்கிறது
தொழில்நுட்பத் தேவைகள் ஒவ்வொரு நவீன CMP ஏற்கனவே உருவாக்குவதுடன் ஒன்றிணைகின்றன, ஆனால் லேபிளிங் மற்றும் ஒப்புதல் பதிவு இலங்கைக்குரிய பிரத்தியேகங்களை பிரதிபலிக்க வேண்டும். முதல்-அடுக்கு பேனர், பயனருக்கு ஒரு உண்மையான தேர்வை வழங்க வேண்டும் — ஏற்றுக்கொள், நிராகரி, நிர்வகி — அங்கு நிராகரிப்பு விருப்பம் ஏற்பு விருப்பத்தைப் போல குறைந்தபட்சம் முக்கியத்துவம் வாய்ந்ததாக இருக்க வேண்டும். தொகுக்கப்பட்ட ஒப்புதல் தடைசெய்யப்பட்டுள்ளது, எனவே இரண்டாவது அடுக்கு குறைந்தபட்சம் பகுப்பாய்வு, விளம்பரம் மற்றும் எல்லை தாண்டிய-பரிமாற்றத்தைச் சார்ந்த எந்தச் செயலாக்கத்தையும் உள்ளடக்கிய ஒவ்வொரு-வகை ஒப்புதலை அனுமதிக்க வேண்டும். வகைகள் இயல்பாக அணைந்த நிலையில் இருக்க வேண்டும்; பயனர் அவற்றை உறுதியாக இயக்கும் வரை பேனர் குறிச்சொற்களை ஏற்றக்கூடாது.
பேனரிலிருந்து வெளிப்படும் தனியுரிமை அறிவிப்பு, கட்டுப்படுத்துநர், சேகரிக்கப்படும் தனிநபர் தரவின் வகைகள், ஒவ்வொரு செயலாக்க நோக்கத்திற்கான சட்டப்பூர்வ அடிப்படை, தரவு-தக்கவைப்புக் காலம், இலங்கைக்கு வெளியே இயங்கும் எந்த துணை-செயலாக்குநர்களும் உட்பட பெறுநர்களின் வகைகள், PDPA இன் கீழ் தரவு உரிமையாளரின் உரிமைகள் மற்றும் புகார்களுக்கான ஆணையத்தின் தொடர்பு விவரங்களை அடையாளம் காண வேண்டும். GDPR இன் கட்டுரை 13 தரத்தைப் பூர்த்தி செய்யும் அறிவிப்பு கணிசமாக ஒன்றுபடும், ஆனால் ஆணைய-தொடர்பு மற்றும் எல்லை தாண்டிய-பரிமாற்ற-அதிகார வரம்பு வரிகள் வெளிப்படையாகச் சேர்க்கப்பட வேண்டும்.
ஆணைய மதிப்பாய்வில் தேறும் ஒருங்கிணைப்பு வடிவம்
குறிப்பு செயலாக்கத்தில் நான்கு நகரும் பகுதிகள் உள்ளன. முதலாவது, ஒவ்வொரு-வகை, இயல்பாக-அணைந்த ஒப்புதலை ஆதரிக்கும் மற்றும் வெளியீட்டாளர் ஒப்புதல் பதிவில் நீடிக்கச்செய்யக்கூடிய கட்டமைக்கப்பட்ட ஒப்புதல் சரம் வழியாக பயனரின் தேர்வை வெளிப்படுத்தும் ஒரு CMP. இரண்டாவது, ஒரு குறிச்சொல்-ஏற்றும் அடுக்கு — பொதுவாக ஒரு சேவையக-பக்க குறிச்சொல் மேலாளர் அல்லது ஒரு CMP-நேட்டிவ் ஸ்கிரிப்ட் வாயில் — எந்த அத்தியாவசியமற்ற குக்கீயும் அமைக்கப்படுவதற்கு முன் ஒப்புதல் நிலையைக் கண்டிப்பாக அமல்படுத்துகிறது. மூன்றாவது, ஒரு ஒப்புதல் பதிவு, சேவையக-பக்கம், அது ஒவ்வொரு ஒப்புதல் நிகழ்விற்கும் வகை வாரியாக பயனரின் தேர்வு, நேர முத்திரை, ஒப்புதல் பேனர் பதிப்பு, IP முகவரி (கட்டுப்படுத்துநர் இது தனது தரவு-குறைப்பு பகுப்பாய்வைப் பூர்த்தி செய்வதாக முடிவு செய்திருந்தால் துண்டிக்கப்பட்ட அல்லது ஹாஷ் செய்யப்பட்ட), மற்றும் நிராகரிக்கப்பட்டவைக்கு எதிராக வழங்கப்பட்ட வகைகளைப் பதிவு செய்கிறது. நான்காவது, அசல் வழங்கலைப் போல குறைந்தபட்சம் எளிதாக இருக்கும் ஒரு திரும்பப்பெறும் பாதை — அடிக்குறிப்பில் ஒரு நிலையான பேனர் மறு-திறப்பு இணைப்பு என்பது ஆணையம் சர்வதேச சிறந்த நடைமுறையைக் குறிப்பிட்டு மறைமுகமாக அங்கீகரித்த வடிவமாகும்.
- பகுப்பாய்வு குறிச்சொற்கள் பகுப்பாய்வு வகை வழங்கப்பட்ட பிறகு மட்டுமே ஏற்றப்பட வேண்டும்; Google Analytics 4, Adobe Analytics, Matomo, Amplitude மற்றும் Mixpanel அனைத்தும் வாயில் திறக்கும் முன் எந்த குக்கீ எழுத்தையும் தடுக்கும் ஒப்புதல்-வாயில் கட்டமைப்பை ஆதரிக்கின்றன.
- விளம்பர குறிச்சொற்கள் — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, புரோகிராமாட்டிக் header bidders — இதேபோல் வாயிலிடப்பட வேண்டும், மேலும் விளம்பரப் பங்காளர் இலங்கைக்கு வெளியே தரவை மாற்றும்போது, பங்காளரின் இலக்கு அதிகார வரம்பு தனியுரிமை அறிவிப்பில் தோன்ற வேண்டும்.
- அமர்வு-மறுஇயக்கம் மற்றும் வெப்மேப் கருவிகள் — Hotjar, Microsoft Clarity, FullStory — ஒரு தனி, கடுமையான வாயிலுக்குப் பின்னால் இருக்க வேண்டும், ஏனெனில் ஆணையம், EDPB உடன் இணங்க, உள்ளீட்டுப் புலங்களின் காட்சியாக்கத்தை வெளிப்படையான மற்றும் நுணுக்கமான ஒப்புதல் தேவைப்படும் வகையாகக் கொடியிட்டுள்ளது.
- எல்லை தாண்டிய பரிமாற்ற வெளிப்பாடுகள் பொதுவானதாக அல்ல, ஒவ்வொரு பெறுநர் அதிகார வரம்பிற்கும் குறிப்பிட்டதாக இருக்க வேண்டும். தரவு உலகளாவிய ரீதியில் சேவை வழங்குநர்களால் செயலாக்கப்படுகிறது என்பது போதுமான வெளிப்பாடு அல்ல என்று ஆணையம் சுட்டிக்காட்டியுள்ளது.
2026 க்கான சரிபார்ப்பு மற்றும் தணிக்கை நிலைப்பாடு
2026 இல் பாதுகாக்கக்கூடிய இலங்கை வரிசைப்படுத்தல் நான்கு சோதனைகளில் தேற வேண்டும். முதலாவதாக, இலங்கை IP முகவரியிலிருந்து வழங்கப்படும் சுத்தமான உலாவி அமர்வு, பேனர் செயல்படுத்தப்படுவதற்கு முன் பூஜ்ஜியம் அத்தியாவசியமற்ற குக்கீகளை உருவாக்க வேண்டும். இரண்டாவதாக, அனைத்தையும்-நிராகரி பாதை, செயல்-இல்லா அமர்வைப் போன்ற அதே நிலைப்பாட்டை ஏற்படுத்த வேண்டும் — பகுப்பாய்வு குறிச்சொற்கள் இல்லை, விளம்பர குறிச்சொற்கள் இல்லை, அமர்வு-மறுஇயக்க ஸ்கிரிப்ட்கள் இல்லை, கண்டிப்பாகத்-தேவையான தொகுப்பு மட்டுமே. மூன்றாவதாக, அனைத்தையும்-ஏற்கும் ஓட்டம், பயனர் ஒப்புக்கொண்ட குறிச்சொற்களை உருவாக்க வேண்டும், மேலும் ஒப்புதல் பதிவு தொடர்புடைய பதிவைக் கொண்டிருக்க வேண்டும். நான்காவதாக, ஒரு திரும்பப்பெறும் ஓட்டம் மேலதிக குறிச்சொல் இயக்கங்களை உடனடியாக நிறுத்த வேண்டும், ஒப்புக்கொள்ளப்பட்ட அமர்வின் போது அமைக்கப்பட்ட குக்கீகளை காலாவதியாக்க வேண்டும், மேலும் பெறுநர் பங்காளர்களுக்குத் தேவைப்படும் எந்த கீழ்நிலை நீக்கம் அல்லது விலகல் சமிக்ஞைகளையும் தூண்ட வேண்டும்.
தணிக்கை-தடயத் தேவைதான் 2026 இல் PDPA மிகவும் தனித்துவமானது. கட்டுப்படுத்துநர்கள், கோரிக்கையின் பேரில், எந்தவொரு குறிப்பிட்ட செயலாக்க நடவடிக்கையையும் அங்கீகரித்த குறிப்பிட்ட ஒப்புதல் பதிவை உருவாக்க முடியும் என்று சுட்டிக்காட்டும் வழிகாட்டுதலை ஆணையம் வெளியிட்டுள்ளது. அதாவது ஒப்புதல் பதிவு பயனர் அடையாளங்காட்டி அல்லது அமர்வு அடையாளங்காட்டி மூலம் வினவக்கூடியதாகவும், கட்டுப்படுத்துநர் தனது தக்கவைப்பு அட்டவணையில் ஆவணப்படுத்திய காலத்திற்குத் தக்கவைக்கப்படவும், கட்டமைக்கப்பட்ட வடிவத்தில் ஏற்றுமதி செய்யக்கூடியதாகவும் இருக்க வேண்டும். ஒரு சேவையக-பக்க பதிவுடன் சரியாக உள்ளமைக்கப்பட்ட CMP, ஒப்புதல் நிலையை அமல்படுத்தும் குறிச்சொல்-ஏற்றும் அடுக்கு மற்றும் ஒவ்வொரு எல்லை தாண்டிய-பரிமாற்ற இலக்கையும் பெயரிடும் தனியுரிமை அறிவிப்புடன் இணைந்து, இலங்கை PDPA ஐ ஒரு ஒழுங்குமுறை அறியாமையிலிருந்து வெளியீட்டாளரின் உலகளாவிய ஒப்புதல் நிலைப்பாட்டின் பாதுகாக்கக்கூடிய பகுதியாக மாற்றுவது இதுவே.