คู่มือการปฏิบัติตาม Cookie Consent ของ PDPA ศรีลังกา: พระราชบัญญัติเลขที่ 9 ปี 2022 มีผลบังคับใช้สำหรับผู้เผยแพร่ในปี 2026
ศรีลังกาใช้เวลากว่าทศวรรษในกระบวนการนิติบัญญัติก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะได้รับการตราขึ้นในที่สุดในฐานะพระราชบัญญัติเลขที่ 9 ปี 2022 ซึ่งได้รับการรับรองโดยประธานสภาเมื่อวันที่ 19 March 2022 พระราชบัญญัตินี้นำเอาโครงสร้างที่กว้างขวางซึ่งได้กลายเป็นมาตรฐานระดับโลกตั้งแต่ GDPR มาใช้ ได้แก่ การจำกัดวัตถุประสงค์ ฐานทางกฎหมาย สิทธิของเจ้าของข้อมูล ความรับผิดชอบ การควบคุมการโอนข้ามพรมแดน การแจ้งเตือนการละเมิด และหน่วยงานกำกับดูแลอิสระที่มีอำนาจในการออกโทษทางปกครอง แต่ฝังพวกมันไว้ในระบอบที่ปรับให้เหมาะสมกับความเป็นจริงทางการค้าและรัฐธรรมนูญของเอเชียใต้ พระราชบัญญัตินี้เริ่มบังคับใช้เป็นระยะตั้งแต่ 17 March 2023 โดยมีพันธกรณีหลักที่เริ่มใช้บังคับ 18 เดือนต่อมา และบทบัญญัติการบังคับใช้ที่ค่อยๆ นำมาใช้ตลอดปี 2025 และต่อเนื่องไปถึงปี 2026 สำหรับผู้เผยแพร่และองค์กรอื่นใดที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในศรีลังกา ความหมายนั้นชัดเจน: ท่าทีการยินยอมใช้คุกกี้ที่ตอบสนองกฎระเบียบแบบปะผุของภาคส่วนต่างๆ ก่อนหน้านี้ไม่เพียงพออีกต่อไป และท่าทีที่ตอบสนอง GDPR จะตอบสนอง PDPA เฉพาะในกรณีที่การผสานรวมได้รับการกำหนดค่าสำหรับจุดเฉพาะที่ระบอบทั้งสองแตกต่างกัน
สิ่งที่ PDPA ของศรีลังกากำหนดอย่างแท้จริง
PDPA ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในศรีลังกา ไม่ว่าผู้ควบคุมหรือผู้ประมวลผลจะตั้งอยู่ที่ใด และกับผู้ควบคุมและผู้ประมวลผลที่ตั้งอยู่ในศรีลังกาไม่ว่าเจ้าของข้อมูลจะอยู่ที่ใด ขอบเขตนอกอาณาเขตสะท้อนมาตรา 3 ของ GDPR และหมายความว่าผู้เผยแพร่ที่ไม่มีสำนักงานในศรีลังกาแต่มีผู้อ่าน การติดตั้งแอป หรือลูกค้าที่ชำระเงินจากศรีลังกาอยู่ในขอบเขตอย่างชัดเจน ข้อมูลส่วนบุคคลถูกนิยามอย่างกว้างๆ ว่าเป็นข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ยังมีชีวิตอยู่ซึ่งสามารถระบุตัวตนได้หรืออาจระบุตัวตนได้ โดยข้อมูลประเภทพิเศษรวมถึงข้อมูลชีวมิติ พันธุกรรม การเงิน สุขภาพ เชื้อชาติ ชาติพันธุ์ ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง และบันทึกอาชญากรรมซึ่งอยู่ภายใต้กฎที่เข้มงวดกว่า
พระราชบัญญัตินี้กำหนดหลักการคุ้มครองข้อมูลพื้นฐาน 7 ประการ ฐานทางกฎหมายในการประมวลผล 6 ฐาน ชุดสิทธิมาตรฐานของเจ้าของข้อมูล ได้แก่ การเข้าถึง การแก้ไข การลบ การจำกัด การคัดค้าน และการถ่ายโอนข้อมูลเมื่อทำได้ในทางเทคนิค และหน่วยงานกำกับดูแลคือ Data Protection Authority of Sri Lanka ซึ่งมีอำนาจออกคำสั่ง กำหนดโทษทางปกครองสูงสุด LKR 10 ล้านต่อการละเมิดหนึ่งครั้ง และส่งเรื่องที่ร้ายแรงเพื่อดำเนินคดีทางอาญา
PDPA จัดการกับการยินยอมคุกกี้โดยเฉพาะอย่างไร
PDPA ไม่มีบทบัญญัติแยกต่างหากในรูปแบบ ePrivacy เกี่ยวกับคุกกี้ เช่นเดียวกับที่คำสั่ง ePrivacy ของสหภาพยุโรปกำหนด แต่รวมการประมวลผลคุกกี้เข้าไว้ในกรอบการยินยอมทั่วไปในสไตล์ GDPR: การประมวลผลข้อมูลส่วนบุคคลใดๆ ที่อาศัยการยินยอมเป็นฐานทางกฎหมายต้องได้รับบนพื้นฐานของการกระทำเชิงยืนยันที่ชัดเจนซึ่งเจ้าของข้อมูลแสดงความตกลง ให้โดยเสรี เฉพาะเจาะจง รับทราบข้อมูล และไม่คลุมเครือ DPA ได้ระบุอย่างสม่ำเสมอตามแนวโน้มระดับโลกว่ากล่องที่ถูกทำเครื่องหมายล่วงหน้า ภาษาการท่องเว็บต่อเนื่อง และแบนเนอร์การยินยอมแบบรวมไม่ใช่รูปแบบที่ถูกต้องของการยินยอมภายใต้พระราชบัญญัติ
ผลกระทบเชิงปฏิบัติคือท่าทีเดียวกับที่ผู้เผยแพร่ที่ดำเนินงานใน EEA รักษาอยู่แล้ว: คุกกี้และเทคโนโลยีการจัดเก็บและการเข้าถึงที่คล้ายคลึงกันซึ่งไม่จำเป็นอย่างเคร่งครัดสำหรับการให้บริการต้องไม่ถูกตั้งค่าก่อนที่ผู้ใช้จะให้ความยินยอมอย่างแข็งขัน คุกกี้ที่จำเป็นอย่างเคร่งครัด ได้แก่ ตัวระบุเซสชัน เนื้อหาตะกร้าสินค้า โทเค็นความปลอดภัย คุกกี้สมดุลโหลด สามารถตั้งค่าได้โดยไม่ต้องยินยอมเพราะอยู่ภายใต้ฐานผลประโยชน์ที่ชอบด้วยกฎหมายที่เชื่อมโยงกับบริการที่ผู้ใช้ร้องขออย่างแข็งขัน ทุกอย่างอื่น รวมถึงการวิเคราะห์ การโฆษณา การปรับแต่งส่วนตัว การทดสอบ A/B การเล่นซ้ำเซสชัน และแท็กของบุคคลที่สาม ต้องได้รับความยินยอมล่วงหน้า
PDPA แตกต่างจาก GDPR อย่างไร
ความแตกต่างสามประการมีความสำคัญสำหรับชั้นการผสานรวม ประการแรก แคตตาล็อกฐานทางกฎหมายของ PDPA รวมฐานผลประโยชน์สาธารณะและภาระผูกพันทางกฎหมายที่สอดคล้องอย่างใกล้ชิดกับมาตรา 6 ของ GDPR แต่ไม่รวมฐานอิสระของ ผลประโยชน์ที่ชอบด้วยกฎหมาย ในรูปแบบที่ผู้เผยแพร่ยุโรปใช้สำหรับการประมวลผลการวัดโฆษณา สิ่งที่เทียบเท่าของ PDPA มีขอบเขตแคบกว่า โดยต้องการการทดสอบสมดุลที่มีเอกสารซึ่งยื่นต่อบันทึกการประมวลผลของผู้ควบคุมและพร้อมให้ DPA ตรวจสอบตามคำร้องขอ ประการที่สอง กฎการโอนข้ามพรมแดนของ PDPA กำหนดให้ DPA กำหนดเขตอำนาจศาลปลายทาง และการโอนไปยังเขตอำนาจศาลที่ไม่ได้กำหนดต้องการความยินยอมอย่างชัดแจ้ง มาตรการคุ้มครองตามสัญญาที่ได้รับอนุมัติจาก DPA หรือหนึ่งในข้อยกเว้นที่แคบ ประการที่สาม ระยะเวลาการแจ้งเตือนการละเมิดของ PDPA สั้นกว่าสำหรับการละเมิดความเสี่ยงสูงและยาวนานกว่าสำหรับการละเมิดความเสี่ยงต่ำกว่ากฎ 72 ชั่วโมงแบบราบของ GDPR ผู้ควบคุมต้องแจ้งเตือน โดยไม่ล่าช้าโดยไม่จำเป็น และเมื่อเป็นไปได้ภายในกรอบเวลาที่คำแนะนำของ DPA ได้เข้มงวดขึ้นในช่วงระยะเวลาการบังคับใช้แบบค่อยเป็นค่อยไป
แบนเนอร์คุกกี้ที่สอดคล้องกับ PDPA มีลักษณะอย่างไร
ข้อกำหนดทางเทคนิคมาบรรจบกับสิ่งที่ CMP สมัยใหม่ทุกตัวผลิตอยู่แล้ว แต่การติดฉลากและบันทึกการยินยอมต้องสะท้อนถึงข้อมูลเฉพาะของศรีลังกา แบนเนอร์ชั้นแรกต้องนำเสนอตัวเลือกจริงแก่ผู้ใช้ ได้แก่ ยอมรับ ปฏิเสธ จัดการ โดยตัวเลือกปฏิเสธต้องมีความโดดเด่นอย่างน้อยเท่ากับตัวเลือกยอมรับ การยินยอมแบบรวมถูกห้าม ดังนั้นชั้นที่สองต้องอนุญาต opt-in ต่อหมวดหมู่ครอบคลุมอย่างน้อยการวิเคราะห์ การโฆษณา และการประมวลผลที่ขึ้นอยู่กับการโอนข้ามพรมแดน หมวดหมู่ต้องตั้งค่าเริ่มต้นเป็น ปิด แบนเนอร์ต้องไม่โหลดแท็กจนกว่าผู้ใช้จะเปิดอย่างแข็งขัน
ประกาศความเป็นส่วนตัวที่แสดงจากแบนเนอร์ต้องระบุผู้ควบคุม หมวดหมู่ข้อมูลส่วนบุคคลที่รวบรวม ฐานทางกฎหมายสำหรับแต่ละวัตถุประสงค์การประมวลผล ระยะเวลาการเก็บรักษาข้อมูล หมวดหมู่ผู้รับรวมถึงผู้ประมวลผลย่อยที่ดำเนินงานนอกศรีลังกา สิทธิของเจ้าของข้อมูลภายใต้ PDPA และรายละเอียดการติดต่อของ DPA สำหรับการร้องเรียน ประกาศที่ตรงตามมาตรฐานมาตรา 13 ของ GDPR จะมีความทับซ้อนอย่างมาก แต่ต้องเพิ่มบรรทัดการติดต่อ DPA และเขตอำนาจศาลการโอนข้ามพรมแดนอย่างชัดเจน
รูปแบบการผสานรวมที่ผ่านการตรวจสอบของ DPA
การดำเนินการอ้างอิงมีส่วนประกอบที่เคลื่อนไหวสี่ส่วน ส่วนแรกคือ CMP ที่รองรับ opt-in ต่อหมวดหมู่ ค่าเริ่มต้นปิด และแสดงตัวเลือกของผู้ใช้ผ่านสตริงการยินยอมแบบมีโครงสร้างที่ผู้เผยแพร่สามารถจัดเก็บไว้ในบันทึกการยินยอม ส่วนที่สองคือชั้นการโหลดแท็ก โดยทั่วไปคือตัวจัดการแท็กฝั่งเซิร์ฟเวอร์หรือประตูสคริปต์ดั้งเดิม CMP ซึ่งบังคับใช้สถานะการยินยอมอย่างเคร่งครัดก่อนอนุญาตให้ตั้งค่าคุกกี้ที่ไม่จำเป็น ส่วนที่สามคือบันทึกการยินยอมฝั่งเซิร์ฟเวอร์ที่บันทึกสำหรับเหตุการณ์การยินยอมทุกครั้งถึงตัวเลือกของผู้ใช้ต่อหมวดหมู่ การประทับเวลา เวอร์ชันแบนเนอร์การยินยอม ที่อยู่ IP (ย่อหรือแฮชหากผู้ควบคุมตัดสินใจว่านี่ตอบสนองการวิเคราะห์การลดข้อมูลของตน) และหมวดหมู่ที่ได้รับอนุมัติเทียบกับที่ปฏิเสธ ส่วนที่สี่คือเส้นทางการถอนซึ่งง่ายอย่างน้อยเท่ากับการอนุมัติดั้งเดิม ลิงก์เปิดแบนเนอร์ถาวรในส่วนท้ายคือรูปแบบที่ DPA อนุมัติโดยนัยโดยอ้างอิงแนวปฏิบัติที่ดีที่สุดระดับสากล
- แท็กการวิเคราะห์ ต้องโหลดหลังจากที่หมวดหมู่การวิเคราะห์ได้รับอนุมัติเท่านั้น Google Analytics 4, Adobe Analytics, Matomo, Amplitude และ Mixpanel ทั้งหมดรองรับการกำหนดค่าที่มีประตูการยินยอมซึ่งป้องกันการเขียนคุกกี้ใดๆ ก่อนที่ประตูจะเปิด
- แท็กโฆษณา ได้แก่ Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, ผู้เสนอราคา programmatic header ต้องถูกกักไว้เช่นกัน และที่ใดที่พันธมิตรโฆษณาโอนข้อมูลออกนอกศรีลังกา เขตอำนาจศาลปลายทางของพันธมิตรต้องปรากฏในประกาศความเป็นส่วนตัว
- เครื่องมือเล่นซ้ำเซสชันและแผนที่ความร้อน ได้แก่ Hotjar, Microsoft Clarity, FullStory ต้องอยู่ด้านหลังประตูแยกต่างหากที่เข้มงวดกว่า เนื่องจาก DPA ตามแนวทางของ EDPB ได้ระบุว่าการแสดงผลช่องป้อนข้อมูลเป็นหมวดหมู่ที่ต้องการความยินยอมอย่างชัดแจ้งและละเอียด
- การเปิดเผยการโอนข้ามพรมแดน ต้องระบุเฉพาะเจาะจงสำหรับแต่ละเขตอำนาจศาลผู้รับ ไม่ใช่แบบทั่วไป DPA ระบุว่า ข้อมูลถูกประมวลผลโดยผู้ให้บริการทั่วโลก ไม่ใช่การเปิดเผยที่เพียงพอ
ท่าทีการตรวจสอบและการตรวจสอบบัญชีสำหรับปี 2026
การปรับใช้ในศรีลังกาที่สามารถป้องกันได้ในปี 2026 ต้องผ่านการตรวจสอบสี่ประการ ประการแรก เซสชันเบราว์เซอร์สะอาดที่ให้บริการจากที่อยู่ IP ของศรีลังกาต้องสร้างคุกกี้ที่ไม่จำเป็นเป็นศูนย์ก่อนที่แบนเนอร์จะได้รับการจัดการ ประการที่สอง เส้นทางปฏิเสธทั้งหมดต้องส่งผลให้เกิดท่าทีเดียวกับเซสชันที่ไม่มีการดำเนินการ ได้แก่ ไม่มีแท็กการวิเคราะห์ ไม่มีแท็กโฆษณา ไม่มีสคริปต์เล่นซ้ำเซสชัน มีเพียงชุดที่จำเป็นอย่างเคร่งครัด ประการที่สาม ขั้นตอนยอมรับทั้งหมดต้องสร้างแท็กที่ผู้ใช้ยินยอมและบันทึกการยินยอมต้องมีบันทึกที่สอดคล้องกัน ประการที่สี่ ขั้นตอนการถอนต้องหยุดการเปิดใช้งานแท็กเพิ่มเติมในทันที ทำให้คุกกี้ที่ตั้งค่าไว้ในระหว่างเซสชันที่ได้รับความยินยอมหมดอายุ และกระตุ้นสัญญาณการลบหรือการยกเลิกสำหรับพันธมิตรผู้รับที่กำหนด
ข้อกำหนดเส้นทางการตรวจสอบคือสิ่งที่ PDPA มีความโดดเด่นที่สุดในปี 2026 DPA ได้ออกคำแนะนำระบุว่าผู้ควบคุมควรสามารถผลิตบันทึกการยินยอมเฉพาะที่อนุมัติกิจกรรมการประมวลผลที่กำหนดได้เมื่อร้องขอ นั่นหมายความว่าบันทึกการยินยอมต้องสามารถสืบค้นได้ด้วยตัวระบุผู้ใช้หรือตัวระบุเซสชัน เก็บรักษาไว้ในระยะเวลาที่ผู้ควบคุมบันทึกไว้ในตารางเวลาการเก็บรักษา และส่งออกได้ในรูปแบบที่มีโครงสร้าง CMP ที่กำหนดค่าอย่างถูกต้องพร้อมบันทึกฝั่งเซิร์ฟเวอร์ที่จับคู่กับชั้นการโหลดแท็กที่บังคับใช้สถานะการยินยอมและประกาศความเป็นส่วนตัวที่ระบุปลายทางการโอนข้ามพรมแดนแต่ละรายการ คือสิ่งที่เปลี่ยน PDPA ของศรีลังกาจากสิ่งที่ไม่รู้จักทางกฎระเบียบให้กลายเป็นส่วนที่สามารถป้องกันได้ของท่าทีการยินยอมระดับโลกของผู้เผยแพร่