Посібник із відповідності Cookie Consent за PDPA Шрі-Ланки: Закон № 9 2022 року, що діє для видавців у 2026 році
Шрі-Ланка провела більше десятиліття в законодавчому процесі, перш ніж її Закон про захист персональних даних нарешті був прийнятий як Закон № 9 2022 року, завірений Спікером 19 March 2022. Закон приймає широку архітектуру, яка стала глобальним стандартом з часів GDPR — обмеження мети, правова підстава, права суб'єктів даних, підзвітність, контроль транскордонних передач, повідомлення про порушення та незалежний регулятор з повноваженнями адміністративних стягнень — але вбудовує їх у режим, адаптований до комерційних і конституційних реалій Південної Азії. Закон набирав чинності поетапно з 17 March 2023, із суттєвими зобов'язаннями, що набули чинності 18 місяців потому, і положеннями про правозастосування, що поступово вводилися протягом 2025 і до 2026 року. Для видавців та будь-яких інших суб'єктів, які обробляють персональні дані осіб у Шрі-Ланці, наслідок прямий: позиція щодо згоди на cookie, яка задовольняла попередній клаптик галузевих правил, більше не є достатньою, і позиція, що задовольняє GDPR, задовольнить PDPA лише якщо інтеграція налаштована для конкретних точок, де два режими розходяться.
Що насправді вимагає PDPA Шрі-Ланки
PDPA застосовується до обробки персональних даних суб'єктів даних, які знаходяться у Шрі-Ланці, незалежно від того, де розташований контролер або процесор, і до контролерів та процесорів, розташованих у Шрі-Ланці, незалежно від того, де знаходяться суб'єкти даних. Екстериторіальний охват відображає GDPR Статтю 3 і означає, що видавець без офісу в Шрі-Ланці, але з шрі-ланкійськими читачами, встановленнями застосунків або платними клієнтами явно перебуває у сфері дії. Персональні дані широко визначені як будь-яка інформація, що стосується ідентифікованої або ідентифікованої живої фізичної особи, при цьому дані особливих категорій, включаючи біометричні, генетичні, фінансові, медичні, расові, етнічні, релігійні, політичні та дані кримінального обліку, обробляються відповідно до суворіших правил.
Закон встановлює сім основних принципів захисту даних, шість правових підстав для обробки, стандартний набір прав суб'єктів даних — доступ, виправлення, видалення, обмеження, заперечення та переносимість даних там, де це технічно здійсненне — і регулятора, Data Protection Authority of Sri Lanka, з повноваженнями видавати директиви, накладати адміністративні штрафи до LKR 10 мільйонів за кожне порушення та передавати серйозні справи для кримінального переслідування.
Як PDPA трактує згоду на cookie зокрема
PDPA не містить окремого положення у стилі ePrivacy щодо cookie, так як це робить Директива ePrivacy ЄС. Натомість вона включає обробку cookie до загальної системи згоди у стилі GDPR: будь-яка обробка персональних даних, яка спирається на згоду як правову підставу, повинна бути отримана на підставі чіткої позитивної дії, якою суб'єкт даних виражає згоду, добровільно надану, конкретну, поінформовану та однозначну. DPA послідовно вказував відповідно до глобальної тенденції, що попередньо встановлені прапорці, мова продовження перегляду та пакетні банери згоди не є дійсними формами згоди за Законом.
Практичний ефект — та сама позиція, яку видавці, що діють у EEA, вже підтримують: cookie та будь-які аналогічні технології зберігання та доступу, які не є суворо необхідними для надання послуги, не повинні встановлюватися до того, як користувач активно надав на них згоду. Суворо необхідні cookie — ідентифікатори сеансу, вміст кошика, маркери безпеки, cookie для балансування навантаження — можуть встановлюватися без згоди, оскільки вони підпадають під підставу законного інтересу, пов'язану з послугою, яку користувач активно запросив. Усе інше, включаючи аналітику, рекламу, персоналізацію, A/B тестування, відтворення сеансу та будь-який сторонній тег, вимагає попередньої згоди.
Чим PDPA відрізняється від GDPR
Три відмінності мають значення для рівня інтеграції. По-перше, каталог правових підстав PDPA включає підставу суспільного інтересу та юридичного зобов'язання, які близько відповідають GDPR Статті 6, але не включає самостійну підставу законного інтересу у тій формі, на яку покладаються європейські видавці для обробки вимірювання реклами. Еквівалент PDPA є вужчим і вимагає задокументованого тесту балансування, що подається разом із реєстром обробки контролера та надається DPA на запит. По-друге, правила транскордонної передачі PDPA вимагають від DPA призначення юрисдикцій призначення, а передачі до непризначених юрисдикцій вимагають або явної згоди, або договірних гарантій, затверджених DPA, або одного з вузьких відступів. По-третє, строк повідомлення про порушення PDPA є коротшим для порушень з високим ризиком і довшим для порушень з низьким ризиком, ніж пряме 72-годинне правило GDPR — контролери повинні повідомляти без зайвої затримки і там, де це здійсненно, у межах вікна, яке настанови DPA посилили протягом поетапного введення в дію.
Як виглядає сумісний банер cookie відповідно до PDPA
Технічні вимоги збігаються з тим, що кожен сучасний CMP вже виробляє, але маркування та реєстр згоди повинні відображати шрі-ланкійську специфіку. Банер першого шару повинен представляти користувачеві реальний вибір — прийняти, відхилити, управляти — де опція відхилення принаймні так само помітна, як і опція прийняття. Пакетна згода заборонена, тому другий шар повинен дозволяти вибір за категоріями, охоплюючи принаймні аналітику, рекламу та будь-яку обробку, залежну від транскордонної передачі. Категорії повинні бути за замовчуванням встановлені на вимкнено; банер не повинен завантажувати теги, доки користувач не активує їх позитивно.
Повідомлення про конфіденційність, що відображається з банера, повинно ідентифікувати контролера, категорії зібраних персональних даних, правову підставу для кожної мети обробки, термін зберігання даних, категорії одержувачів, включаючи будь-яких субпроцесорів, що діють за межами Шрі-Ланки, права суб'єкта даних за PDPA та контактні дані DPA для скарг. Повідомлення, що відповідає стандарту GDPR Статті 13, суттєво перетинається, але рядки контакту DPA та юрисдикції транскордонної передачі повинні бути додані явно.
Шаблон інтеграції, що проходить перевірку DPA
Референсна реалізація має чотири рухомі частини. Перша — CMP, яка підтримує вибір за категоріями, за замовчуванням вимкнений, та відкриває вибір користувача через структурований рядок згоди, який видавець може зберегти у реєстрі згоди. Друга — шар завантаження тегів, зазвичай менеджер тегів на стороні сервера або власний шлюз скрипту CMP, що суворо застосовує стан згоди перед дозволом встановлення будь-якого необов'язкового cookie. Третя — реєстр згоди на стороні сервера, що для кожної події згоди записує вибір користувача за категоріями, мітку часу, версію банера згоди, IP-адресу (скорочену або хешовану, якщо контролер вирішив, що це задовольняє його аналіз мінімізації даних) та категорії, що були надані в порівнянні з відхиленими. Четверта — шлях відкликання, принаймні такий же простий, як і початкове надання — постійне посилання для повторного відкриття банера у нижньому колонтитулі є шаблоном, який DPA мовчки схвалив з посиланням на міжнародну найкращу практику.
- Аналітичні теги повинні завантажуватися лише після надання категорії аналітики; Google Analytics 4, Adobe Analytics, Matomo, Amplitude та Mixpanel — всі підтримують конфігурацію з шлюзом згоди, що запобігає будь-якому запису cookie до відкриття шлюзу.
- Рекламні теги — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, програматичні header-bidder'и — повинні так само мати шлюзи, і там, де рекламний партнер передає дані за межі Шрі-Ланки, юрисдикція призначення партнера повинна з'являтися у повідомленні про конфіденційність.
- Інструменти відтворення сеансів та теплових карт — Hotjar, Microsoft Clarity, FullStory — повинні знаходитися за окремим, суворішим шлюзом, оскільки DPA відповідно до EDPB позначив відтворення полів вводу як категорію, що вимагає явної та деталізованої згоди.
- Розкриття інформації про транскордонні передачі повинні бути специфічними для кожної юрисдикції одержувача, а не загальними. DPA вказав, що дані обробляються постачальниками послуг у всьому світі не є достатнім розкриттям.
Позиція перевірки та аудиту на 2026 рік
Захищений шрі-ланкійський розгортання у 2026 році повинне пройти чотири перевірки. По-перше, чиста браузерна сесія, що обслуговується з шрі-ланкійської IP-адреси, повинна виробляти нуль необов'язкових cookie до того, як банер буде оброблено. По-друге, шлях відхилення всього повинен призводити до тієї самої позиції, що й сесія без дій — жодних аналітичних тегів, жодних рекламних тегів, жодних скриптів відтворення сеансу, лише суворо необхідний набір. По-третє, потік прийняття всього повинен виробляти теги, на які користувач надав згоду, а реєстр згоди повинен містити відповідний запис. По-четверте, потік відкликання повинен негайно зупинити подальші запуски тегів, завершити термін дії cookie, встановлених під час сеансу зі згодою, та ініціювати будь-які downstream сигнали видалення або відмови, які вимагають партнери-одержувачі.
Вимога до аудиторського сліду — це те, де PDPA є найбільш відмінним у 2026 році. DPA видав настанови, що вказують на те, що контролери повинні мати змогу надати на запит конкретний запис згоди, що авторизував певну діяльність з обробки. Це означає, що реєстр згоди повинен бути доступним для запитів за ідентифікатором користувача або ідентифікатором сеансу, зберігатися протягом терміну, задокументованого контролером у своєму графіку зберігання, та бути придатним до експорту у структурованому форматі. Правильно налаштований CMP із реєстром на стороні сервера, поєднаним із шаром завантаження тегів, що застосовує стан згоди, та повідомленням про конфіденційність, у якому зазначено кожне місце призначення транскордонної передачі, — це те, що перетворює PDPA Шрі-Ланки з невідомої регуляторної величини у захищену частину глобальної позиції щодо згоди видавця.