இலங்கை PDPA குக்கீ ஒப்புதல் இணக்க வழிகாட்டி: 2022 இன் சட்டம் எண் 9 வெளியீட்டாளர்களுக்கு 2026 இல் நடைமுறையில்

இலங்கையின் தனிநபர் தரவுப் பாதுகாப்புச் சட்டம் இறுதியாக 2022 இன் சட்டம் எண் 9 ஆக இயற்றப்படுவதற்கு முன், சட்டமன்ற செயல்முறையில் ஒரு தசாப்தத்திற்கும் மேலாகச் செலவழித்தது; 2022 மார்ச் 19 அன்று சபாநாயகரால் சான்றளிக்கப்பட்டது. இந்தச் சட்டம் GDPR இற்குப் பிறகு உலகளாவிய தரமாக மாறிய பரந்த கட்டமைப்பை ஏற்றுக்கொள்கிறது — நோக்க வரம்பு, சட்டப்பூர்வ அடிப்படை, தரவு உரிமையாளர்களின் உரிமைகள், பொறுப்புக்கூறல், எல்லை தாண்டிய பரிமாற்றக் கட்டுப்பாடுகள், மீறல் அறிவிப்பு, மற்றும் நிர்வாக அபராத அதிகாரங்களைக் கொண்ட ஒரு சுயாதீன ஒழுங்குமுறையாளர் — ஆனால் அவற்றைத் தென் ஆசியாவின் வணிக மற்றும் அரசியலமைப்பு யதார்த்தங்களுக்கு ஏற்ப வடிவமைக்கப்பட்ட ஆட்சியில் உட்பொதிக்கிறது. இந்தச் சட்டம் 2023 மார்ச் 17 முதல் படிநிலைகளில் நடைமுறைக்கு வந்தது; கணிசமான கடமைகள் 18 மாதங்களுக்குப் பிறகு செயல்படத் தொடங்கின, மேலும் அமலாக்க விதிகள் 2025 முழுவதும் மற்றும் 2026 இல் முற்போக்காக அறிமுகப்படுத்தப்பட்டன. இலங்கையில் உள்ள தனிநபர்களின் தனிநபர் தரவை செயலாக்கும் வெளியீட்டாளர்களுக்கும் வேறு எந்த நிறுவனத்திற்கும், அதன் தாக்கம் நேரடியானது: முந்தைய துறைசார் விதிகளின் தொகுப்பைப் பூர்த்தி செய்த குக்கீ-ஒப்புதல் நிலைப்பாடு இனி போதுமானதல்ல, மேலும் இரு ஆட்சிகளும் வேறுபடும் குறிப்பிட்ட புள்ளிகளுக்கு ஒருங்கிணைப்பு உள்ளமைக்கப்பட்டால் மட்டுமே GDPR ஐப் பூர்த்தி செய்யும் நிலைப்பாடு PDPA ஐயும் பூர்த்தி செய்யும்.

இலங்கை PDPA உண்மையில் எதைக் கோருகிறது

கட்டுப்படுத்துநர் அல்லது செயலாக்குநர் எங்கிருந்தாலும், இலங்கையில் உள்ள தரவு உரிமையாளர்களின் தனிநபர் தரவைச் செயலாக்குவதற்கும், தரவு உரிமையாளர்கள் எங்கிருந்தாலும் இலங்கையில் நிறுவப்பட்ட கட்டுப்படுத்துநர்கள் மற்றும் செயலாக்குநர்களுக்கும் PDPA பொருந்தும். இந்த எல்லைக்கு அப்பாற்பட்ட எல்லை GDPR இன் கட்டுரை 3 ஐப் பிரதிபலிக்கிறது, மேலும் இலங்கையில் அலுவலகம் இல்லாத ஆனால் இலங்கை வாசகர்கள், செயலி நிறுவல்கள் அல்லது பணம் செலுத்தும் வாடிக்கையாளர்களைக் கொண்ட ஒரு வெளியீட்டாளர் நேரடியாக நோக்கத்திற்குள் இருக்கிறார் என்பதைக் குறிக்கிறது. தனிநபர் தரவு என்பது அடையாளம் காணப்பட்ட அல்லது அடையாளம் காணக்கூடிய உயிருள்ள இயற்கை நபருடன் தொடர்புடைய எந்தத் தகவலும் என பரந்த அளவில் வரையறுக்கப்படுகிறது; உயிரியல்அளவீட்டு, மரபணு, நிதி, சுகாதார, இனம், இனத்துவம், மத-நம்பிக்கை, அரசியல்-கருத்து மற்றும் குற்றப்-பதிவு தரவு உட்பட சிறப்பு-வகைத் தரவு கடுமையான விதிகளின் கீழ் கருதப்படுகிறது.

இந்தச் சட்டம் ஏழு முக்கிய தரவுப்-பாதுகாப்புக் கொள்கைகள், செயலாக்கத்திற்கான ஆறு சட்டப்பூர்வ அடிப்படைகள், தரவு உரிமையாளர் உரிமைகளின் நிலையான தொகுப்பு — அணுகல், திருத்தம், அழித்தல், கட்டுப்பாடு, ஆட்சேபனை மற்றும் தொழில்நுட்ப ரீதியாக சாத்தியமாகும்போது தரவு பெயர்க்கூடிய தன்மை — மற்றும் ஒரு ஒழுங்குமுறையாளர், இலங்கை தரவுப் பாதுகாப்பு ஆணையம், வழிகாட்டுதல்களை வழங்கவும், ஒரு மீறலுக்கு LKR 10 மில்லியன் வரை நிர்வாக அபராதங்களை விதிக்கவும், கடுமையான விஷயங்களை குற்றவியல் வழக்குத் தொடர பரிந்துரைக்கவும் அதிகாரங்களுடன் நிறுவுகிறது.

PDPA குறிப்பாக குக்கீ ஒப்புதலை எவ்வாறு நடத்துகிறது

EU இன் ePrivacy இயக்குநரகம் செய்வது போல, PDPA குக்கீகள் குறித்த தனி ePrivacy-பாணி விதியைக் கொண்டிருக்கவில்லை. அதற்குப் பதிலாக, அது குக்கீ செயலாக்கத்தை பொதுவான GDPR-பாணி ஒப்புதல் கட்டமைப்பில் மடிக்கிறது: ஒப்புதலை அதன் சட்டப்பூர்வ அடிப்படையாக நம்பும் தனிநபர் தரவின் எந்தச் செயலாக்கமும், தரவு உரிமையாளர் சுதந்திரமாக வழங்கப்பட்ட, குறிப்பிட்ட, தகவலறிந்த மற்றும் தெளிவான ஒப்புதலைக் குறிக்கும் தெளிவான உறுதியான செயலின் அடிப்படையில் பெறப்பட வேண்டும். உலகளாவிய போக்குக்கு இணங்க, முன்-குறிக்கப்பட்ட பெட்டிகள், தொடர்ந்து-உலாவல் மொழி மற்றும் தொகுக்கப்பட்ட ஒப்புதல் பேனர்கள் இந்தச் சட்டத்தின் கீழ் செல்லுபடியாகும் ஒப்புதல் வடிவங்கள் அல்ல என்று ஆணையம் சுட்டிக்காட்டியுள்ளது.

நடைமுறை விளைவு, EEA இல் இயங்கும் வெளியீட்டாளர்கள் ஏற்கனவே பராமரிக்கும் அதே நிலைப்பாடு: சேவையை வழங்குவதற்குக் கண்டிப்பாகத் தேவையில்லாத குக்கீகள் மற்றும் ஏதேனும் ஒத்த சேமிப்பு-மற்றும்-அணுகல் தொழில்நுட்பங்கள், பயனர் அவற்றுக்கு செயலூக்கமாக ஒப்புக்கொள்வதற்கு முன் அமைக்கப்படக்கூடாது. கண்டிப்பாகத் தேவையான குக்கீகள் — அமர்வு அடையாளங்காட்டிகள், கூடை உள்ளடக்கங்கள், பாதுகாப்பு டோக்கன்கள், சுமை-சமநிலை குக்கீகள் — பயனர் செயலூக்கமாகக் கோரிய சேவையுடன் இணைக்கப்பட்ட நியாயமான-நலன் அடிப்படையின் கீழ் வருவதால் ஒப்புதல் இல்லாமல் அமைக்கப்படலாம். பகுப்பாய்வு, விளம்பரம், தனிப்பயனாக்கம், A/B சோதனை, அமர்வு மறுஇயக்கம் மற்றும் எந்தவொரு மூன்றாம்-தரப்பு குறிச்சொல் உட்பட மற்ற அனைத்திற்கும் முன்-ஒப்புதல் தேவை.

PDPA GDPR இலிருந்து எவ்வாறு வேறுபடுகிறது

ஒருங்கிணைப்பு அடுக்கிற்கு மூன்று வேறுபாடுகள் முக்கியம். முதலாவதாக, PDPA இன் சட்டப்பூர்வ-அடிப்படை பட்டியல், GDPR கட்டுரை 6 உடன் நெருக்கமாக பொருந்தும் பொது-நலன் மற்றும் சட்டப்பூர்வ-கடமை அடிப்படையை உள்ளடக்கியது, ஆனால் விளம்பர-அளவீட்டுச் செயலாக்கத்திற்கு ஐரோப்பிய வெளியீட்டாளர்கள் நம்பியிருக்கும் வடிவத்தில் தனித்த நியாயமான-நலன் அடிப்படையை உள்ளடக்கவில்லை. PDPA இன் சமமானது குறுகியது, கட்டுப்படுத்துநரின் செயலாக்கப் பதிவில் தாக்கல் செய்யப்பட்டு கோரிக்கையின் பேரில் ஆணையத்திற்குக் கிடைக்கச் செய்யப்படும் ஆவணப்படுத்தப்பட்ட சமநிலைச் சோதனையைக் கோருகிறது. இரண்டாவதாக, PDPA இன் எல்லை தாண்டிய பரிமாற்ற விதிகள், ஆணையம் இலக்கு அதிகார வரம்புகளை நியமிக்க வேண்டும் என்று கோருகின்றன, மேலும் நியமிக்கப்படாத அதிகார வரம்புகளுக்கான பரிமாற்றங்களுக்கு வெளிப்படையான ஒப்புதல், ஆணையத்தால் அங்கீகரிக்கப்பட்ட ஒப்பந்தப் பாதுகாப்புகள் அல்லது குறுகிய விலக்குகளில் ஒன்று தேவை. மூன்றாவதாக, PDPA இன் மீறல் அறிவிப்பு காலவரிசை, GDPR இன் சீரான 72-மணிநேர விதியை விட அதிக-ஆபத்து மீறல்களுக்குக் குறுகியதாகவும், குறைந்த-ஆபத்து மீறல்களுக்கு நீளமானதாகவும் உள்ளது — கட்டுப்படுத்துநர்கள் தேவையற்ற தாமதம் இல்லாமல் மற்றும், சாத்தியமாகும்போது, படிநிலை-அறிமுகக் காலத்தில் ஆணையத்தின் வழிகாட்டுதல் இறுக்கிய சாளரத்திற்குள் அறிவிக்க வேண்டும்.

PDPA இன் கீழ் இணக்கமான குக்கீ பேனர் எப்படி இருக்கிறது

தொழில்நுட்பத் தேவைகள் ஒவ்வொரு நவீன CMP ஏற்கனவே உருவாக்குவதுடன் ஒன்றிணைகின்றன, ஆனால் லேபிளிங் மற்றும் ஒப்புதல் பதிவு இலங்கைக்குரிய பிரத்தியேகங்களை பிரதிபலிக்க வேண்டும். முதல்-அடுக்கு பேனர், பயனருக்கு ஒரு உண்மையான தேர்வை வழங்க வேண்டும் — ஏற்றுக்கொள், நிராகரி, நிர்வகி — அங்கு நிராகரிப்பு விருப்பம் ஏற்பு விருப்பத்தைப் போல குறைந்தபட்சம் முக்கியத்துவம் வாய்ந்ததாக இருக்க வேண்டும். தொகுக்கப்பட்ட ஒப்புதல் தடைசெய்யப்பட்டுள்ளது, எனவே இரண்டாவது அடுக்கு குறைந்தபட்சம் பகுப்பாய்வு, விளம்பரம் மற்றும் எல்லை தாண்டிய-பரிமாற்றத்தைச் சார்ந்த எந்தச் செயலாக்கத்தையும் உள்ளடக்கிய ஒவ்வொரு-வகை ஒப்புதலை அனுமதிக்க வேண்டும். வகைகள் இயல்பாக அணைந்த நிலையில் இருக்க வேண்டும்; பயனர் அவற்றை உறுதியாக இயக்கும் வரை பேனர் குறிச்சொற்களை ஏற்றக்கூடாது.

பேனரிலிருந்து வெளிப்படும் தனியுரிமை அறிவிப்பு, கட்டுப்படுத்துநர், சேகரிக்கப்படும் தனிநபர் தரவின் வகைகள், ஒவ்வொரு செயலாக்க நோக்கத்திற்கான சட்டப்பூர்வ அடிப்படை, தரவு-தக்கவைப்புக் காலம், இலங்கைக்கு வெளியே இயங்கும் எந்த துணை-செயலாக்குநர்களும் உட்பட பெறுநர்களின் வகைகள், PDPA இன் கீழ் தரவு உரிமையாளரின் உரிமைகள் மற்றும் புகார்களுக்கான ஆணையத்தின் தொடர்பு விவரங்களை அடையாளம் காண வேண்டும். GDPR இன் கட்டுரை 13 தரத்தைப் பூர்த்தி செய்யும் அறிவிப்பு கணிசமாக ஒன்றுபடும், ஆனால் ஆணைய-தொடர்பு மற்றும் எல்லை தாண்டிய-பரிமாற்ற-அதிகார வரம்பு வரிகள் வெளிப்படையாகச் சேர்க்கப்பட வேண்டும்.

ஆணைய மதிப்பாய்வில் தேறும் ஒருங்கிணைப்பு வடிவம்

குறிப்பு செயலாக்கத்தில் நான்கு நகரும் பகுதிகள் உள்ளன. முதலாவது, ஒவ்வொரு-வகை, இயல்பாக-அணைந்த ஒப்புதலை ஆதரிக்கும் மற்றும் வெளியீட்டாளர் ஒப்புதல் பதிவில் நீடிக்கச்செய்யக்கூடிய கட்டமைக்கப்பட்ட ஒப்புதல் சரம் வழியாக பயனரின் தேர்வை வெளிப்படுத்தும் ஒரு CMP. இரண்டாவது, ஒரு குறிச்சொல்-ஏற்றும் அடுக்கு — பொதுவாக ஒரு சேவையக-பக்க குறிச்சொல் மேலாளர் அல்லது ஒரு CMP-நேட்டிவ் ஸ்கிரிப்ட் வாயில் — எந்த அத்தியாவசியமற்ற குக்கீயும் அமைக்கப்படுவதற்கு முன் ஒப்புதல் நிலையைக் கண்டிப்பாக அமல்படுத்துகிறது. மூன்றாவது, ஒரு ஒப்புதல் பதிவு, சேவையக-பக்கம், அது ஒவ்வொரு ஒப்புதல் நிகழ்விற்கும் வகை வாரியாக பயனரின் தேர்வு, நேர முத்திரை, ஒப்புதல் பேனர் பதிப்பு, IP முகவரி (கட்டுப்படுத்துநர் இது தனது தரவு-குறைப்பு பகுப்பாய்வைப் பூர்த்தி செய்வதாக முடிவு செய்திருந்தால் துண்டிக்கப்பட்ட அல்லது ஹாஷ் செய்யப்பட்ட), மற்றும் நிராகரிக்கப்பட்டவைக்கு எதிராக வழங்கப்பட்ட வகைகளைப் பதிவு செய்கிறது. நான்காவது, அசல் வழங்கலைப் போல குறைந்தபட்சம் எளிதாக இருக்கும் ஒரு திரும்பப்பெறும் பாதை — அடிக்குறிப்பில் ஒரு நிலையான பேனர் மறு-திறப்பு இணைப்பு என்பது ஆணையம் சர்வதேச சிறந்த நடைமுறையைக் குறிப்பிட்டு மறைமுகமாக அங்கீகரித்த வடிவமாகும்.

2026 க்கான சரிபார்ப்பு மற்றும் தணிக்கை நிலைப்பாடு

2026 இல் பாதுகாக்கக்கூடிய இலங்கை வரிசைப்படுத்தல் நான்கு சோதனைகளில் தேற வேண்டும். முதலாவதாக, இலங்கை IP முகவரியிலிருந்து வழங்கப்படும் சுத்தமான உலாவி அமர்வு, பேனர் செயல்படுத்தப்படுவதற்கு முன் பூஜ்ஜியம் அத்தியாவசியமற்ற குக்கீகளை உருவாக்க வேண்டும். இரண்டாவதாக, அனைத்தையும்-நிராகரி பாதை, செயல்-இல்லா அமர்வைப் போன்ற அதே நிலைப்பாட்டை ஏற்படுத்த வேண்டும் — பகுப்பாய்வு குறிச்சொற்கள் இல்லை, விளம்பர குறிச்சொற்கள் இல்லை, அமர்வு-மறுஇயக்க ஸ்கிரிப்ட்கள் இல்லை, கண்டிப்பாகத்-தேவையான தொகுப்பு மட்டுமே. மூன்றாவதாக, அனைத்தையும்-ஏற்கும் ஓட்டம், பயனர் ஒப்புக்கொண்ட குறிச்சொற்களை உருவாக்க வேண்டும், மேலும் ஒப்புதல் பதிவு தொடர்புடைய பதிவைக் கொண்டிருக்க வேண்டும். நான்காவதாக, ஒரு திரும்பப்பெறும் ஓட்டம் மேலதிக குறிச்சொல் இயக்கங்களை உடனடியாக நிறுத்த வேண்டும், ஒப்புக்கொள்ளப்பட்ட அமர்வின் போது அமைக்கப்பட்ட குக்கீகளை காலாவதியாக்க வேண்டும், மேலும் பெறுநர் பங்காளர்களுக்குத் தேவைப்படும் எந்த கீழ்நிலை நீக்கம் அல்லது விலகல் சமிக்ஞைகளையும் தூண்ட வேண்டும்.

தணிக்கை-தடயத் தேவைதான் 2026 இல் PDPA மிகவும் தனித்துவமானது. கட்டுப்படுத்துநர்கள், கோரிக்கையின் பேரில், எந்தவொரு குறிப்பிட்ட செயலாக்க நடவடிக்கையையும் அங்கீகரித்த குறிப்பிட்ட ஒப்புதல் பதிவை உருவாக்க முடியும் என்று சுட்டிக்காட்டும் வழிகாட்டுதலை ஆணையம் வெளியிட்டுள்ளது. அதாவது ஒப்புதல் பதிவு பயனர் அடையாளங்காட்டி அல்லது அமர்வு அடையாளங்காட்டி மூலம் வினவக்கூடியதாகவும், கட்டுப்படுத்துநர் தனது தக்கவைப்பு அட்டவணையில் ஆவணப்படுத்திய காலத்திற்குத் தக்கவைக்கப்படவும், கட்டமைக்கப்பட்ட வடிவத்தில் ஏற்றுமதி செய்யக்கூடியதாகவும் இருக்க வேண்டும். ஒரு சேவையக-பக்க பதிவுடன் சரியாக உள்ளமைக்கப்பட்ட CMP, ஒப்புதல் நிலையை அமல்படுத்தும் குறிச்சொல்-ஏற்றும் அடுக்கு மற்றும் ஒவ்வொரு எல்லை தாண்டிய-பரிமாற்ற இலக்கையும் பெயரிடும் தனியுரிமை அறிவிப்புடன் இணைந்து, இலங்கை PDPA ஐ ஒரு ஒழுங்குமுறை அறியாமையிலிருந்து வெளியீட்டாளரின் உலகளாவிய ஒப்புதல் நிலைப்பாட்டின் பாதுகாக்கக்கூடிய பகுதியாக மாற்றுவது இதுவே.

← வலைப்பதிவு அனைத்தையும் படிக்க →