Sri Lanka PDPA Cookie Consent Uyumluluk Rehberi: 2026'da Yayıncılar için Yürürlükteki 9 Sayılı Kanun 2022

Sri Lanka, Kişisel Veri Koruma Kanunu'nun nihayet 9 Sayılı Kanun olarak 19 March 2022 tarihinde Meclis Başkanı tarafından onaylanan 2022 tarihli biçimiyle yasalaştırılmasından önce on yıldan fazla süre yasama sürecinde geçirdi. Kanun, GDPR'den bu yana küresel standart haline gelen geniş mimariyi benimsemektedir: amaç sınırlaması, hukuki dayanak, veri sahibi hakları, hesap verebilirlik, sınır ötesi aktarım kontrolleri, ihlal bildirimi ve idari yaptırım yetkisine sahip bağımsız düzenleyici; ancak bunları Güney Asya'nın ticari ve anayasal gerçekliklerine göre uyarlanmış bir rejime yerleştirmektedir. Kanun, 17 March 2023 tarihinden itibaren aşamalı olarak yürürlüğe girmiş; esasa ilişkin yükümlülükler 18 ay sonra tetiklenmiş ve uygulama hükümleri 2025 boyunca ve 2026'ya kadar kademeli olarak devreye girmiştir. Sri Lanka'daki bireylerin kişisel verilerini işleyen yayıncılar ve diğer tüm kuruluşlar için sonuç doğrudandır: sektörel kuralların önceki yamalamasını karşılayan bir çerez onay duruşu artık yeterli değildir ve GDPR'ı karşılayan bir duruş, yalnızca entegrasyon iki rejimin ayrıştığı belirli noktalar için yapılandırılmışsa PDPA'yı karşılayacaktır.

Sri Lanka PDPA'nın gerçekte ne gerektirdiği

PDPA, kontrolör veya işleyicinin nerede bulunduğundan bağımsız olarak Sri Lanka'da bulunan veri sahiplerinin kişisel verilerinin işlenmesine ve veri sahiplerinin nerede bulunduğundan bağımsız olarak Sri Lanka'da yerleşik kontrolör ve işleyicilere uygulanmaktadır. Toprak dışı kapsam GDPR Madde 3'ü yansıtmakta ve Sri Lanka'da ofisi olmayan ancak Sri Lankalı okuyuculara, uygulama kurulumlarına veya ödeme yapan müşterilere sahip bir yayıncının açıkça kapsam dahilinde olduğu anlamına gelmektedir. Kişisel veriler, kimliği belirli veya belirlenebilir gerçek bir kişiyle ilgili herhangi bir bilgi olarak geniş biçimde tanımlanmakta; biyometrik, genetik, finansal, sağlık, ırk, etnik, dini inanç, siyasi görüş ve adli sicil verileri dahil özel kategori veriler daha katı kurallar kapsamında ele alınmaktadır.

Kanun, yedi temel veri koruma ilkesi, işleme için altı hukuki dayanak, veri sahiplerinin standart haklarını (erişim, düzeltme, silme, kısıtlama, itiraz ve teknik olarak uygulanabilir olduğu yerlerde veri taşınabilirliği) ve yönergeler yayımlamaya, ihlal başına LKR 10 milyon'a kadar idari yaptırım uygulamaya ve ciddi meseleleri cezai kovuşturma için yönlendirmeye yetkili bir düzenleyici olan Data Protection Authority of Sri Lanka'yı oluşturmaktadır.

PDPA'nın çerez onayına yaklaşımı

PDPA, AB'nin ePrivacy Direktifi'nin yaptığı şekilde çerezler konusunda ayrı bir ePrivacy tarzı hüküm içermemektedir. Bunun yerine çerez işlemeyi genel GDPR tarzı onay çerçevesine dahil etmektedir: onaya dayanan hukuki dayanakla kişisel veri işlemenin, veri sahibinin özgürce verilen, belirli, bilgilendirilmiş ve açık bir şekilde rızasını gösteren açık olumlu bir eylem temelinde alınması gerekmektedir. DPA, küresel eğilimle tutarlı biçimde, önceden işaretlenmiş kutuların, gezinmeye devam etme ifadelerinin ve paketlenmiş onay bannerlarının Kanun kapsamında geçerli onay biçimleri olmadığını tutarlı şekilde belirtmiştir.

Pratik etki, EEA'da faaliyet gösteren yayıncıların halihazırda sürdürdüğü duruşla aynıdır: hizmetin sunulması için kesinlikle gerekli olmayan çerezler ve analojik depolama-erişim teknolojileri, kullanıcı aktif olarak onay vermeden önce ayarlanamaz. Kesinlikle gerekli çerezler (oturum tanımlayıcıları, sepet içerikleri, güvenlik jetonları, yük dengeleme çerezleri) onay gerekmeksizin ayarlanabilir; zira kullanıcının aktif olarak talep ettiği hizmete bağlı meşru menfaat dayanağı altına girmektedir. Analitik, reklam, kişiselleştirme, A/B testi, oturum tekrarı ve herhangi bir üçüncü taraf etiketi dahil diğer her şey için önceden onay gereklidir.

PDPA'nın GDPR'dan farkı

Entegrasyon katmanı için üç fark önem taşımaktadır. Birincisi, PDPA'nın hukuki dayanak kataloğu, GDPR Madde 6 ile yakından örtüşen bir kamu yararı ve hukuki yükümlülük dayanağını içermekte; ancak Avrupalı yayıncıların reklam ölçümü işlemleri için dayandığı bağımsız meşru menfaat dayanağını içermemektedir. PDPA'nın karşılığı daha dar olup, kontrolörün işleme kaydıyla birlikte saklanan ve talep üzerine DPA'ya sunulan belgelenmiş bir denge testini gerektirmektedir. İkincisi, PDPA'nın sınır ötesi aktarım kuralları DPA'nın hedef yetki alanlarını belirlemesini gerektirmekte; belirlenmemiş yetki alanlarına aktarımlar için açık onay, DPA onaylı sözleşmesel güvenceler veya dar istisnalardan biri gerekmektedir. Üçüncüsü, PDPA'nın ihlal bildirimi zaman çizelgesi, yüksek riskli ihlaller için düz 72 saatlik GDPR kuralından kısadır ve düşük riskli ihlaller için daha uzundur; kontrolörler gereksiz gecikme olmaksızın ve mümkün olduğunda DPA rehberliğinin aşamalı başlangıç döneminde sıkılaştırdığı bir pencere içinde bildirimde bulunmak zorundadır.

PDPA kapsamında uyumlu bir çerez banner'ı neye benzer

Teknik gereksinimler her modern CMP'nin halihazırda ürettiği şeyle örtüşmektedir; ancak etiketleme ve onay günlüğü Sri Lanka'ya özgü ayrıntıları yansıtmalıdır. Birinci katman banner, kullanıcıya gerçek bir seçenek sunmalıdır: kabul et, reddet, yönet; ret seçeneği en az kabul seçeneği kadar belirgin olmalıdır. Paketlenmiş onay yasaktır, bu nedenle ikinci katman en az analitik, reklam ve sınır ötesi aktarıma bağlı herhangi bir işlemeyi kapsayacak şekilde kategori bazında opt-in'e izin vermelidir. Kategoriler varsayılan olarak kapalı ayarlanmalıdır; banner, kullanıcı aktif olarak onları açmadan etiketleri yüklememalidir.

Banner'dan gösterilen gizlilik bildirimi, kontrolörü, toplanan kişisel veri kategorilerini, her işleme amacının hukuki dayanağını, veri saklama süresini, Sri Lanka dışında faaliyet gösteren alt işleyiciler dahil alıcı kategorilerini, PDPA kapsamındaki veri sahibi haklarını ve DPA'nın şikayete ilişkin iletişim bilgilerini içermelidir. GDPR'ın Madde 13 standardını karşılayan bir bildirim önemli ölçüde örtüşecektir; ancak DPA iletişim ve sınır ötesi aktarım yetki alanı satırları açıkça eklenmelidir.

Bir DPA incelemesini geçen entegrasyon düzeni

Referans uygulamanın dört hareketli parçası bulunmaktadır. Birincisi, kategori bazında, varsayılan olarak kapalı opt-in'i destekleyen ve kullanıcının tercihini yayıncının bir onay günlüğünde saklayabileceği yapılandırılmış bir onay dizisi aracılığıyla açıklayan bir CMP'dir. İkincisi, herhangi bir zorunlu olmayan çerezin ayarlanmasına izin vermeden önce onay durumunu katı biçimde uygulayan bir etiket yükleme katmanıdır; genellikle sunucu tarafı etiket yöneticisi veya CMP'ye özgü bir script kapısıdır. Üçüncüsü, her onay olayı için kullanıcının kategori bazında tercihini, zaman damgasını, onay banner sürümünü, IP adresini (kontrolörün veri minimizasyonu analizini karşıladığına karar vermişse kesilmiş veya hash'lenmiş olarak) ve verilen ile reddedilen kategorileri kaydeden sunucu tarafı onay günlüğüdür. Dördüncüsü, en az orijinal izin kadar kolay olan bir geri çekme yoludur; footer'daki kalıcı banner yeniden açma bağlantısı, DPA'nın uluslararası en iyi uygulamalara atıfla zımnen onayladığı kalıptır.

2026 için doğrulama ve denetim duruşu

2026'da savunulabilir bir Sri Lanka dağıtımı dört denetimi geçmelidir. Birincisi, Sri Lanka IP adresinden sunulan temiz bir tarayıcı oturumu, banner'a müdahale edilmeden önce sıfır zorunlu olmayan çerez üretmelidir. İkincisi, tümünü reddet yolu, herhangi bir işlem yapılmayan bir oturumla aynı duruşla sonuçlanmalıdır: analitik etiket yok, reklam etiketi yok, oturum tekrarı script'i yok, yalnızca kesinlikle gerekli set. Üçüncüsü, tümünü kabul et akışı, kullanıcının onay verdiği etiketleri üretmeli ve onay günlüğü ilgili kaydı içermelidir. Dördüncüsü, geri çekme akışı anında daha fazla etiket tetiklenmesini durdurmalı, onaylı oturum sırasında ayarlanan çerezleri sona erdirmeli ve alıcı ortakların gerektirdiği tüm aşağı yönlü silme veya opt-out sinyallerini tetiklemelidir.

Denetim izi gereksinimi, PDPA'nın 2026'da en belirgin olduğu yerdir. DPA, kontrolörlerin talep üzerine belirli bir işleme faaliyetine yetki veren belirli onay kaydını üretebilmesi gerektiğini belirten rehber ilkeler yayımlamıştır. Bu, onay günlüğünün kullanıcı tanımlayıcısı veya oturum tanımlayıcısıyla sorgulanabilir, kontrolörün saklama programında belgelediği bir süre boyunca saklanabilir ve yapılandırılmış bir biçimde dışa aktarılabilir olması gerektiği anlamına gelir. Sunucu tarafı günlüğüyle doğru yapılandırılmış bir CMP, onay durumunu uygulayan bir etiket yükleme katmanı ve her sınır ötesi aktarım hedefini adlandıran bir gizlilik bildirimiyle eşleştirildiğinde, Sri Lanka PDPA'yı düzenleyici bilinmezden yayıncının küresel onay duruşunun savunulabilir bir parçasına dönüştüren şeydir.

← Blog Tümünü Oku →