Shri-Lanka PDPA Cookie Consent Muvofiqlik Qo'llanmasi: 2026 Yilda Nashriyotchilar Uchun Kuchga Kirgan 2022 Yilgi 9-son Qonun

Shri-Lanka Shaxsiy Ma'lumotlarni Himoya Qilish Qonuni nihoyat 2022 yilgi 9-son Qonun sifatida 19 March 2022 da Spiker tomonidan tasdiqlangan holda qabul qilinishidan oldin o'n yildan ko'proq vaqtni qonun chiqarish jarayonida o'tkazdi. Qonun GDPR'dan beri global standartga aylangan keng arxitekturani qabul qiladi: maqsadni cheklash, huquqiy asos, ma'lumotlar sub'ekti huquqlari, hisobdorlik, chegaralar aro o'tkazish nazorati, buzilish haqida xabardor qilish va ma'muriy jarimalar vakolati bilan mustaqil tartibga soluvchi — lekin ularni Janubiy Osiyoning tijorat va konstitutsiyaviy haqiqatlariga moslashtirilgan tartibga solingan tizimga joylashtiradi. Qonun 17 March 2023 dan boshlab bosqichma-bosqich kuchga kirdi, asosiy majburiyatlar 18 oy o'tgach yuzaga keldi va ijro qoidalari 2025 yil davomida va 2026 yilga qadar bosqichma-bosqich joriy etildi. Shri-Lankadagi shaxslar shaxsiy ma'lumotlarini qayta ishlaydigan nashriyotchilar va boshqa har qanday tashkilot uchun oqibat to'g'ridan-to'g'ri: oldingi sektoral qoidalar mozaikasini qondiradigan cookie roziligi holati endi yetarli emas va GDPR ni qondiradigan holat PDPA ni faqat ikki rejim farqlashgan aniq nuqtalar uchun integratsiya sozlangan bo'lsa qondiradi.

Shri-Lanka PDPA aslida nimani talab qiladi

PDPA boshqaruvchi yoki protsessor qayerda joylashganidan qat'iy nazar Shri-Lankada bo'lgan ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlashga va ma'lumotlar sub'ektlari qayerda joylashishidan qat'iy nazar Shri-Lankada joylashgan boshqaruvchilar va protsessorlarga nisbatan qo'llaniladi. Hududdan tashqari qamrov GDPR 3-moddasini aks ettiradi va Shri-Lankada ofisi bo'lmagan, ammo Shri-Lanka o'quvchilari, ilova o'rnatmalari yoki to'lovchi mijozlari bo'lgan nashriyotchi aniq doirada ekanligini anglatadi. Shaxsiy ma'lumotlar identifikatsiya qilingan yoki identifikatsiya qilinishi mumkin bo'lgan tirik jismoniy shaxsga tegishli har qanday ma'lumot sifatida keng ta'riflanadi, bunda biometrik, genetik, moliyaviy, sog'liq, irq, etnik, diniy e'tiqod, siyosiy fikr va jinoiy qaydlar ma'lumotlarini o'z ichiga olgan maxsus toifa ma'lumotlari qattiqroq qoidalar doirasida ko'rib chiqiladi.

Qonun yetti asosiy ma'lumotlarni himoya qilish prinsiplarini, qayta ishlash uchun oltita huquqiy asosni, ma'lumotlar sub'ekti huquqlarining standart to'plamini — kirish, to'g'rilash, o'chirish, cheklash, e'tiroz va texnik jihatdan amalga oshirilishi mumkin bo'lgan joyda ma'lumotlarni ko'chirish imkoniyati — va ko'rsatmalar berish, buzilish uchun LKR 10 milliongacha ma'muriy jarima qo'llash va jiddiy masalalarni jinoiy ta'qib uchun yuborish vakolatiga ega tartibga soluvchi Data Protection Authority of Sri Lanka ni ta'sis etadi.

PDPA cookie roziligiga xususan qanday munosabatda bo'ladi

PDPA cookie bo'yicha EU ePrivacy Direktivi kabi alohida ePrivacy uslubidagi qoida o'z ichiga olmaydi. Buning o'rniga u cookie qayta ishlashni umumiy GDPR uslubidagi rozililik doirasiga kiritadi: rozilikka huquqiy asos sifatida tayangan har qanday shaxsiy ma'lumotlarni qayta ishlash ma'lumotlar sub'ekti erkin, aniq, ma'lumotli va aniq ravishda kelishuvini bildiruvchi aniq tasdiqlovchi harakat asosida olinishi kerak. DPA global tendentsiyaga mos ravishda oldindan belgilangan katakchalar, ko'rishni davom ettirish tili va birlashtirilgan rozililik bannerlarining Qonun doirasida rozilikni to'g'ri shakllar emasligini izchil ravishda ko'rsatib keldi.

Amaliy ta'sir EEA da ishlaydigan nashriyotchilar allaqachon ushlab turgan holat bilan bir xil: xizmatni ko'rsatish uchun qat'iy zarur bo'lmagan cookie va har qanday o'xshash saqlash va kirish texnologiyalari foydalanuvchi faol ravishda rozilik bildirishidan oldin o'rnatilmasligi kerak. Qat'iy zarur cookielar — sessiya identifikatorlari, savat mazmuni, xavfsizlik tokenlar, yukni muvozanatlash cookie — rozilik talab qilmasdan o'rnatilishi mumkin, chunki ular foydalanuvchi faol ravishda so'ragan xizmat bilan bog'liq qonuniy manfaat asosi ostida tushadi. Analitika, reklam, personalizatsiya, A/B sinovlari, sessiyani qayta ijro etish va har qanday uchinchi tomon tegi kabi hamma narsa uchun oldindan rozililik talab qilinadi.

PDPA GDPR dan qanday farq qiladi

Integratsiya qatlami uchun uch farq muhim ahamiyatga ega. Birinchidan, PDPA huquqiy asoslar katalogi GDPR 6-moddasiga yaqin mos keladigan jamoat manfaati va qonuniy majburiyat asosini o'z ichiga oladi, lekin Evropa nashriyotchilari reklama o'lchash ishloviga tayangan mustaqil qonuniy manfaat asosini o'z ichiga olmaydi. PDPA ning muqobili torroq bo'lib, boshqaruvchining qayta ishlash rekorti bilan birgalikda saqlanadigan va so'rovga binoan DPA ga taqdim etiladigan hujjatlashtirilgan muvozanatlash testini talab qiladi. Ikkinchidan, PDPA ning chegaralar aro o'tkazish qoidalari DPA dan manzil yurisdiktsiyalarini belgilashni talab qiladi va belgilanmagan yurisdiktsiyalarga o'tkazishlar uchun aniq rozililik, DPA tomonidan tasdiqlangan shartnomaviy kafolatlar yoki tor chekinmalardan biri talab qilinadi. Uchinchidan, PDPA ning buzilish to'g'risida xabardor qilish muddati yuqori xavfli buzilishlar uchun tekis 72 soatlik GDPR qoidasidan qisqaroq va past xavfli buzilishlar uchun uzunroq — boshqaruvchilar keraksiz kechikmasdan va imkon qadar bosqichma-bosqich kuchga kirish davri mobaynida DPA ko'rsatmasi toraytirib qo'ygan oyna ichida xabardor qilishlari kerak.

PDPA ostida muvofiqlashtirilgan cookie banner qanday ko'rinadi

Texnik talablar har bir zamonaviy CMP allaqachon ishlab chiqaradigan narsaga mos keladi, lekin teglar va rozililik jurnali Shri-Lankaga xos xususiyatlarni aks ettirishi kerak. Birinchi qatlam banneri foydalanuvchiga haqiqiy tanlov taqdim etishi kerak — qabul qilish, rad etish, boshqarish — bu erda rad etish parametri kamida qabul qilish parametri kabi taniqli bo'lishi kerak. Birlashtirilgan rozililik taqiqlangan, shuning uchun ikkinchi qatlam kamida analitika, reklam va chegaralar aro o'tkazishga bog'liq har qanday ishlovni qamrab olgan holda toifalar bo'yicha opt-in ga ruxsat berishi kerak. Toifalar standart ravishda o'chiq deb belgilanishi kerak; banner foydalanuvchi ularni faol ravishda yoqmaguncha teglarni yuklamasligi kerak.

Bannerdan ko'rsatiladigan maxfiylik bildirishnomasi boshqaruvchini, to'plangan shaxsiy ma'lumotlar toifalarini, har bir qayta ishlash maqsadining huquqiy asosini, ma'lumotlarni saqlash davrini, Shri-Lankadan tashqarida ishlaydigan quyi protsessorlarni o'z ichiga olgan qabul qiluvchilar toifalarini, PDPA ostida ma'lumotlar sub'ektining huquqlarini va shikoyatlar uchun DPA ning aloqa ma'lumotlarini aniqlashi kerak. GDPR 13-moddasi standartiga javob beradigan bildirishnoma sezilarli darajada mos keladi, lekin DPA aloqasi va chegaralar aro o'tkazish yurisdiktsiyasi qatorlari aniq qo'shilishi kerak.

DPA ko'rib chiqishidan o'tadigan integratsiya namunasi

Murojaat amalga oshirishda to'rtta harakatlanuvchi qism mavjud. Birinchisi toifalar bo'yicha, sukut bo'yicha o'chiq opt-in ni qo'llab-quvvatlaydigan va foydalanuvchining roziligi jurnalida saqlashi mumkin bo'lgan tuzilgan rozililik qatori orqali foydalanuvchi tanlovini ko'rsatadigan CMP dir. Ikkinchisi tag yuklash qatlami bo'lib — odatda server tomoni teg menejeri yoki CMP mahalliy skript eshigi — har qanday muhim bo'lmagan cookie o'rnatilishiga ruxsat berishdan oldin rozililik holatini qat'iy joriy qiladi. Uchinchisi server tomoni rozililik jurnali bo'lib, har bir rozililik hodisasi uchun foydalanuvchining toifa bo'yicha tanlovini, vaqt tamg'asini, rozililik banner versiyasini, IP manzilini (agar boshqaruvchi bu uning ma'lumotlarni minimallashtirish tahlilini qondiradi deb qaror qilgan bo'lsa qisqartirilgan yoki xeshlangan) va berilgan va rad etilgan toifalarni qayd etadi. To'rtinchisi asl grantga kamida shuncha oson bo'lgan qaytarib olish yo'li — altbilgidagi doimiy banner qayta ochish havolasi DPA xalqaro eng yaxshi amaliyotga havola qilib jim ravishda tasdiqlagan namuna hisoblanadi.

2026 yil uchun tekshirish va audit holati

2026 yilda himoya qilish mumkin bo'lgan Shri-Lanka joylashtirishi to'rtta tekshiruvdan o'tishi kerak. Birinchidan, Shri-Lanka IP manzilidan xizmat ko'rsatiladigan toza brauzer sessiyasi banner bilan ishlashdan oldin nol muhim bo'lmagan cookie ishlab chiqarishi kerak. Ikkinchidan, hammasini rad etish yo'li harakatsiz sessiya bilan bir xil holatga olib kelishi kerak — analitik teglar yo'q, reklama teglari yo'q, sessiyani qayta ijro etish skriptlari yo'q, faqat qat'iy zarur to'plam. Uchinchidan, hammasini qabul qilish oqimi foydalanuvchi rozililik bergan teglarni ishlab chiqarishi va rozililik jurnali tegishli yozuvni o'z ichiga olishi kerak. To'rtinchidan, qaytarib olish oqimi darhol keyingi teg otishlarini to'xtatishi, rozilik berilgan sessiyada o'rnatilgan cookie lar muddatini o'tkazishi va qabul qiluvchi sheriklar talab qiladigan past oqimli o'chirish yoki opt-out signallarini ishga tushirishi kerak.

Audit izi talabi PDPA 2026 yilda eng ko'p ajralib turadigan joydir. DPA boshqaruvchilar ma'lum qayta ishlash faoliyatini ruxsat bergan aniq rozililik yozuvini so'rovga binoan taqdim etishi mumkin bo'lishi kerakligini ko'rsatadigan ko'rsatmalar berdi. Bu rozililik jurnali foydalanuvchi identifikatori yoki sessiya identifikatori bo'yicha so'rovlanishi mumkin bo'lishi, boshqaruvchi saqlash jadvalida hujjatlashtirilgan muddatga saqlanishi va tuzilgan formatda eksport qilinishi mumkin bo'lishi kerakligini anglatadi. Server tomoni jurnali bilan to'g'ri sozlangan CMP, rozililik holatini joriy qiladigan teg yuklash qatlami va har bir chegaralar aro o'tkazish manzilini nomlaydigan maxfiylik bildirishnomasi bilan birlashtirilgan holda, Shri-Lanka PDPA ni tartibga solish noaniqligidan nashriyotchining global rozililik holatining himoya qilinadigan qismiga aylantiradi.

← Blog Hammasini o'qish →