سری لنکا PDPA کوکی کنسنٹ تعمیل گائیڈ: 2026 میں پبلشرز کے لیے ایکٹ نمبر 9 از 2022 نافذ
سری لنکا نے اپنے پرسنل ڈیٹا پروٹیکشن ایکٹ کے بالآخر ایکٹ نمبر 9 از 2022 کے طور پر منظور ہونے سے پہلے، جسے اسپیکر نے 19 March 2022 کو تصدیق کی، قانون سازی کے عمل میں دس سال سے زیادہ گزارے۔ یہ ایکٹ اس وسیع آرکیٹیکچر کو اپناتا ہے جو GDPR کے بعد سے عالمی معیار بن چکا ہے — مقصد کی حد بندی، قانونی بنیاد، ڈیٹا سبجیکٹ کے حقوق، احتساب، کراس بارڈر ٹرانسفر کنٹرولز، خلاف ورزی کی اطلاع اور انتظامی جزاؤں کے اختیار کے ساتھ ایک آزاد ریگولیٹر — لیکن انہیں جنوبی ایشیا کی تجارتی اور آئینی حقیقتوں کے مطابق ڈھالے گئے نظام میں سمویا گیا ہے۔ یہ ایکٹ 17 March 2023 سے مرحلہ وار نافذ ہونا شروع ہوا، جس میں بنیادی ذمہ داریاں 18 ماہ بعد فعال ہوئیں اور انفورسمنٹ کی دفعات 2025 کے دوران اور 2026 تک بتدریج متعارف کرائی گئیں۔ پبلشرز اور ہر اس ادارے کے لیے جو سری لنکا کے افراد کا ذاتی ڈیٹا پروسیس کرتا ہے، مضمرات براہ راست ہیں: کوکی کنسنٹ کا وہ موقف جو پہلے سیکٹورل قوانین کے پیوند کاری کو پورا کرتا تھا اب کافی نہیں رہا، اور وہ موقف جو GDPR کو پورا کرتا ہے وہ PDPA کو صرف اسی صورت میں پورا کرے گا جب انٹیگریشن کو ان مخصوص نکات کے لیے ترتیب دیا گیا ہو جہاں دو نظام ایک دوسرے سے الگ ہوتے ہیں۔
سری لنکا PDPA دراصل کیا تقاضا کرتا ہے
PDPA سری لنکا میں موجود ڈیٹا سبجیکٹس کے ذاتی ڈیٹا کی پروسیسنگ پر لاگو ہوتا ہے، قطع نظر اس کے کہ کنٹرولر یا پروسیسر کہاں واقع ہے، اور سری لنکا میں قائم کنٹرولرز اور پروسیسرز پر بھی لاگو ہوتا ہے، قطع نظر اس کے کہ ڈیٹا سبجیکٹس کہاں ہیں۔ علاقائی حدود سے باہر اطلاق GDPR آرٹیکل 3 کی عکاسی کرتا ہے اور اس کا مطلب یہ ہے کہ سری لنکا میں دفتر کے بغیر لیکن سری لنکا کے قارئین، ایپ انسٹالز یا ادائیگی کرنے والے صارفین کے ساتھ ایک پبلشر واضح طور پر دائرہ کار میں ہے۔ ذاتی ڈیٹا کو وسیع طور پر کسی شناخت شدہ یا قابل شناخت زندہ فطری شخص سے متعلق کسی بھی معلومات کے طور پر بیان کیا گیا ہے، اور خصوصی زمرے کے ڈیٹا میں بائیومیٹرک، جینیاتی، مالیاتی، صحت، نسل، نسلی گروہ، مذہبی عقیدہ، سیاسی رائے اور مجرمانہ ریکارڈ ڈیٹا شامل ہے جو سخت قواعد کے تحت آتا ہے۔
یہ ایکٹ ڈیٹا پروٹیکشن کے سات بنیادی اصول، پروسیسنگ کے لیے چھ قانونی بنیادیں، ڈیٹا سبجیکٹ کے حقوق کا معیاری سیٹ — رسائی، تصحیح، حذف، پابندی، اعتراض اور ڈیٹا پورٹیبلٹی جہاں تکنیکی طور پر ممکن ہو — اور ایک ریگولیٹر، Data Protection Authority of Sri Lanka، قائم کرتا ہے جسے ہدایات جاری کرنے، فی خلاف ورزی LKR 10 ملین تک انتظامی جزا عائد کرنے اور سنگین معاملات کو مجرمانہ استغاثے کے لیے بھیجنے کا اختیار حاصل ہے۔
PDPA کوکی کنسنٹ کے ساتھ خاص طور پر کیسے برتاؤ کرتا ہے
PDPA میں کوکیز کے بارے میں EU کی ePrivacy Directive کی طرح کوئی الگ ePrivacy طرز کی دفعہ نہیں ہے۔ اس کے بجائے، یہ کوکی پروسیسنگ کو عام GDPR طرز کے کنسنٹ فریم ورک میں شامل کرتا ہے: کوئی بھی ذاتی ڈیٹا پروسیسنگ جو کنسنٹ کو اپنی قانونی بنیاد کے طور پر استعمال کرتی ہے اسے ایک واضح توثیقی عمل کی بنیاد پر حاصل کیا جانا چاہیے جس کے ذریعے ڈیٹا سبجیکٹ آزادانہ طور پر، مخصوص، باخبر اور واضح انداز میں اتفاق ظاہر کرے۔ DPA نے عالمی رجحان کے مطابق مسلسل کہا ہے کہ پہلے سے چیک کردہ باکسز، براؤزنگ جاری رکھنے کی زبان اور بنڈل کنسنٹ بینرز ایکٹ کے تحت کنسنٹ کی درست شکلیں نہیں ہیں۔
عملی اثر وہی موقف ہے جسے EEA میں کام کرنے والے پبلشرز پہلے سے برقرار رکھتے ہیں: کوکیز اور کوئی بھی ایسی اسٹوریج اور رسائی ٹیکنالوجی جو خدمت فراہم کرنے کے لیے سختی سے ضروری نہیں ہے، صارف کے فعال طور پر کنسنٹ دینے سے پہلے سیٹ نہیں کی جانی چاہیے۔ سختی سے ضروری کوکیز — سیشن آئیڈینٹیفائرز، کارٹ مواد، سیکورٹی ٹوکنز، لوڈ بیلینسنگ کوکیز — بغیر کنسنٹ کے سیٹ کی جا سکتی ہیں کیونکہ یہ قانونی مفاد کی بنیاد کے تحت آتی ہیں جو اس خدمت سے جڑی ہے جو صارف نے فعال طور پر مانگی ہے۔ باقی سب کچھ، بشمول تجزیات، اشتہار بازی، ذاتی سازی، A/B ٹیسٹنگ، سیشن ری پلے اور کوئی بھی تھرڈ پارٹی ٹیگ، کے لیے پیشگی کنسنٹ درکار ہے۔
PDPA GDPR سے کیسے مختلف ہے
انٹیگریشن لیئر کے لیے تین فرق اہمیت رکھتے ہیں۔ پہلا، PDPA کی قانونی بنیادوں کی فہرست میں ایک عوامی مفاد اور قانونی ذمہ داری کی بنیاد شامل ہے جو GDPR آرٹیکل 6 سے قریبی مماثلت رکھتی ہے لیکن اس میں آزادانہ جائز مفاد کی بنیاد شامل نہیں ہے جس شکل پر یورپی پبلشرز اشتہار پیمائش پروسیسنگ کے لیے انحصار کرتے ہیں۔ PDPA کا مساوی تنگ تر ہے، جس کے لیے ایک دستاویزی بیلنسنگ ٹیسٹ درکار ہے جو کنٹرولر کی پروسیسنگ ریکارڈ کے ساتھ دائر کی جاتی ہے اور درخواست پر DPA کو دستیاب کرائی جاتی ہے۔ دوسرا، PDPA کے کراس بارڈر ٹرانسفر قوانین کے تحت DPA کو منزل کی دائرہ اختیار کا تعین کرنا ہوتا ہے، اور غیر متعین دائرہ اختیار میں منتقلی کے لیے یا تو واضح کنسنٹ، DPA کے منظور شدہ معاہداتی تحفظات، یا تنگ استثنائی اقدامات میں سے کوئی ایک درکار ہوتا ہے۔ تیسرا، PDPA کی خلاف ورزی اطلاع کی ٹائم لائن GDPR کے فلیٹ 72 گھنٹے کے قاعدے سے زیادہ خطرے والی خلاف ورزیوں کے لیے مختصر اور کم خطرے والی خلاف ورزیوں کے لیے طویل ہے — کنٹرولرز کو غیر ضروری تاخیر کے بغیر اور جہاں ممکن ہو ایک ونڈو کے اندر اطلاع دینی چاہیے جسے DPA کی رہنمائی نے مرحلہ وار نفاذ کے دوران سخت کر دیا ہے۔
PDPA کے تحت ایک تعمیل پسند کوکی بینر کیسا دکھتا ہے
تکنیکی ضروریات اس سے ہم آہنگ ہو جاتی ہیں جو ہر جدید CMP پہلے سے تیار کرتا ہے، لیکن لیبلنگ اور کنسنٹ لاگ کو سری لنکا کی مخصوص باتیں ظاہر کرنی چاہئیں۔ پہلی پرت کے بینر کو صارف کو ایک حقیقی انتخاب پیش کرنا چاہیے — قبول کریں، مسترد کریں، منظم کریں — جہاں مسترد کرنے کا آپشن کم از کم قبول کرنے کے آپشن جتنا نمایاں ہو۔ بنڈل کنسنٹ ممنوع ہے، اس لیے دوسری پرت کو فی زمرہ آپٹ ان کی اجازت دینی چاہیے جس میں کم از کم تجزیات، اشتہار بازی اور کراس بارڈر ٹرانسفر پر منحصر کوئی بھی پروسیسنگ شامل ہو۔ زمرہ جات کو بطور ڈیفالٹ آف سیٹ ہونا چاہیے؛ بینر کو ٹیگز لوڈ نہیں کرنے چاہئیں جب تک صارف نے انہیں فعال طور پر آن نہ کر دیا ہو۔
بینر سے ظاہر ہونے والی پرائیویسی نوٹس کو کنٹرولر، جمع کیے گئے ذاتی ڈیٹا کے زمرہ جات، ہر پروسیسنگ مقصد کی قانونی بنیاد، ڈیٹا برقراری کی مدت، وصول کنندگان کے زمرہ جات بشمول سری لنکا سے باہر کام کرنے والے ذیلی پروسیسرز، PDPA کے تحت ڈیٹا سبجیکٹ کے حقوق اور شکایات کے لیے DPA کی رابطہ معلومات کی شناخت کرنی چاہیے۔ ایک نوٹس جو GDPR آرٹیکل 13 کے معیار کو پورا کرتی ہے اس میں کافی حد تک اوور لیپ ہوگا، لیکن DPA رابطہ اور کراس بارڈر ٹرانسفر دائرہ اختیار کی لائنیں صراحت کے ساتھ شامل کی جانی چاہئیں۔
انٹیگریشن پیٹرن جو DPA کا جائزہ پاس کرے
ریفرنس امپلیمنٹیشن کے چار متحرک حصے ہیں۔ پہلا ایک CMP ہے جو فی زمرہ، ڈیفالٹ آف آپٹ ان کو سپورٹ کرتا ہے اور صارف کی پسند کو ایک منظم کنسنٹ سٹرنگ کے ذریعے ظاہر کرتا ہے جسے پبلشر کنسنٹ لاگ میں محفوظ کر سکتا ہے۔ دوسرا ایک ٹیگ لوڈنگ لیئر ہے — عام طور پر سرور سائڈ ٹیگ مینیجر یا CMP نیٹو اسکرپٹ گیٹ — جو کسی بھی غیر ضروری کوکی کو سیٹ ہونے کی اجازت دینے سے پہلے کنسنٹ اسٹیٹ کو سختی سے نافذ کرتا ہے۔ تیسرا سرور سائڈ کنسنٹ لاگ ہے، جو ہر کنسنٹ ایونٹ کے لیے فی زمرہ صارف کی پسند، ٹائم اسٹیمپ، کنسنٹ بینر ورژن، IP ایڈریس (اگر کنٹرولر نے فیصلہ کیا ہے کہ یہ اپنے ڈیٹا کم از کم سازی کے تجزیے کو پورا کرتا ہے تو مختصر یا ہیشڈ) اور دی گئی بمقابلہ انکار شدہ زمرہ جات کو ریکارڈ کرتا ہے۔ چوتھا ایک واپسی کا راستہ ہے جو اصل گرانٹ کی طرح کم از کم آسان ہو — فوٹر میں بینر کو دوبارہ کھولنے کا ایک مستقل لنک وہ پیٹرن ہے جسے DPA نے بین الاقوامی بہترین عمل کے حوالے سے ضمنی طور پر منظور کیا ہے۔
- تجزیاتی ٹیگز صرف اس کے بعد لوڈ ہونے چاہئیں جب تجزیاتی زمرہ دیا گیا ہو؛ Google Analytics 4، Adobe Analytics، Matomo، Amplitude اور Mixpanel سبھی ایک کنسنٹ گیٹڈ کنفیگریشن کو سپورٹ کرتے ہیں جو گیٹ کھلنے سے پہلے کسی بھی کوکی رائٹ کو روکتا ہے۔
- اشتہار بازی ٹیگز — Google Ads، Meta Pixel، TikTok Pixel، LinkedIn Insight، پروگرامیٹک ہیڈر بڈرز — اسی طرح گیٹڈ ہونے چاہئیں اور جہاں اشتہاری پارٹنر سری لنکا سے باہر ڈیٹا منتقل کرتا ہے، پارٹنر کا منزل دائرہ اختیار پرائیویسی نوٹس میں ظاہر ہونا چاہیے۔
- سیشن ری پلے اور ہیٹ میپ ٹولز — Hotjar، Microsoft Clarity، FullStory — ایک الگ، سخت تر گیٹ کے پیچھے ہونے چاہئیں کیونکہ DPA نے EDPB کے ساتھ ہم آہنگ ہوتے ہوئے ان پٹ فیلڈز کی رینڈرنگ کو ایک ایسے زمرے کے طور پر نشان زد کیا ہے جس کے لیے واضح اور دانے دار کنسنٹ درکار ہے۔
- کراس بارڈر ٹرانسفر انکشافات ہر وصول کنندہ دائرہ اختیار کے لیے مخصوص ہونے چاہئیں، عام نہیں۔ DPA نے اشارہ کیا ہے کہ ڈیٹا عالمی سطح پر سروس فراہم کنندگان کے ذریعے پروسیس کیا جاتا ہے کافی انکشاف نہیں ہے۔
2026 کے لیے توثیق اور آڈٹ موقف
2026 میں ایک قابل دفاع سری لنکا ڈپلائمنٹ کو چار جانچوں سے گزرنا چاہیے۔ پہلا، سری لنکا کے IP ایڈریس سے پیش کیا گیا ایک صاف براؤزر سیشن بینر پر کارروائی ہونے سے پہلے صفر غیر ضروری کوکیز پیدا کرے۔ دوسرا، سب مسترد کریں کا راستہ اسی موقف کے نتیجے میں ہونا چاہیے جیسا کہ کوئی کارروائی نہ کرنے والا سیشن — کوئی تجزیاتی ٹیگز نہیں، کوئی اشتہار بازی ٹیگز نہیں، کوئی سیشن ری پلے اسکرپٹس نہیں، صرف سختی سے ضروری سیٹ۔ تیسرا، سب قبول کریں کا بہاؤ وہ ٹیگز پیدا کرے جن پر صارف نے کنسنٹ دی ہے اور کنسنٹ لاگ میں متعلقہ ریکارڈ ہونا چاہیے۔ چوتھا، واپسی کا بہاؤ فوری طور پر مزید ٹیگ فائرنگ کو روکے، کنسنٹ شدہ سیشن کے دوران سیٹ کی گئی کوکیز کو ختم کرے اور وصول کنندہ پارٹنرز کے ذریعے درکار کسی بھی ڈاؤن اسٹریم حذف یا آپٹ آؤٹ سگنلز کو ٹرگر کرے۔
آڈٹ ٹریل کی ضرورت وہ جگہ ہے جہاں PDPA 2026 میں سب سے زیادہ ممتاز ہے۔ DPA نے رہنمائی جاری کی ہے جو اشارہ کرتی ہے کہ کنٹرولرز کو درخواست پر مخصوص کنسنٹ ریکارڈ پیدا کرنے کے قابل ہونا چاہیے جس نے کسی مخصوص پروسیسنگ سرگرمی کو اختیار دیا۔ اس کا مطلب ہے کہ کنسنٹ لاگ صارف آئیڈینٹیفائر یا سیشن آئیڈینٹیفائر کے ذریعے قابل استفسار ہونا چاہیے، ایک ایسی مدت کے لیے محفوظ جسے کنٹرولر نے اپنے برقراری شیڈول میں دستاویز کیا ہو، اور ایک منظم فارمیٹ میں قابل برآمد ہو۔ ایک درست کنفیگر شدہ CMP جس میں سرور سائڈ لاگ ہو، ایک ٹیگ لوڈنگ لیئر کے ساتھ جوڑا جو کنسنٹ اسٹیٹ کو نافذ کرے اور ایک پرائیویسی نوٹس جو ہر کراس بارڈر ٹرانسفر کی منزل کا نام لے، وہی ہے جو سری لنکا PDPA کو ایک ریگولیٹری نامعلوم سے پبلشر کے عالمی کنسنٹ موقف کے ایک قابل دفاع حصے میں تبدیل کرتا ہے۔