ශ්රී ලංකා දත්ත ආරක්ෂණ නීති: 2022 අංක 9 දරන PDPA පනත පිළිබඳ සම්පූර්ණ මාර්ගෝපදේශය (2026)

ශ්රී ලංකාවේ 2022 අංක 9 දරන පුද්ගලික දත්ත ආරක්ෂණ පනත (PDPA) මගින් ස්වාධීන දත්ත ආරක්ෂණ නීතියක් සම්මත කළ දකුණු ආසියාවේ පළමු රට බවට එරට පත් විය. දත්ත විෂයයන්ගේ අයිතිවාසිකම්, පාලකයන්ගේ වගකීම් සහ දඬුවම් ආවරණය කරන එහි මූලික විධිවිධාන, 2025 අංක 22 දරන සංශෝධන පනත මගින් ස්ථාවර ක්රියාත්මක වීමේ දින ඉවත් කිරීමෙන් පසුව 2026 මැයි වන විටත් තවමත් බලාත්මක වී නොමැත.
දකුණු ආසියාවේ දත්ත පෞද්ගලිකත්ව නීතිය තුළ ශ්රී ලංකාව සුවිශේෂී ස්ථානයක් හිමිකර ගනී. 2022 මාර්තු 19 වන දින පාර්ලිමේන්තුව විසින් 2022 අංක 9 දරන පුද්ගලික දත්ත ආරක්ෂණ පනත සහතික කරන ලද විට, පුද්ගලික දත්ත රැස් කිරීම, භාවිතය සහ ආරක්ෂණය පාලනය කරන විස්තීරණ ස්වාධීන නීතියක් සම්මත කළ කලාපයේ පළමු රට බවට එරට පත් විය.
මෙම නීතිය තවම සම්පූර්ණයෙන් ක්රියාත්මක වී නොමැත. ශ්රී ලංකාව අදියරානුකූල ක්රියාත්මක කිරීමේ ප්රවේශයක් අනුගමනය කළ අතර, පාලක හා සකසන්නන් සම්බන්ධ මූලික වගකීම් 2026 මැයි වන විටත් තවම බලාත්මක වී නොමැත. නීතිය දැනට පවතින තත්ත්වය, 2025 අංක 22 දරන පුද්ගලික දත්ත ආරක්ෂණ (සංශෝධන) පනත මගින් සිදුවී ඇති වෙනස්කම් සහ බලාත්මක කිරීමට සූදානම් වීම සඳහා දත්ත ආරක්ෂණ අධිකාරිය ගනිමින් සිටින පියවර තේරුම් ගැනීම, ශ්රී ලාංකික පදිංචිකරුවන්ගේ පුද්ගලික දත්ත සකසන ඕනෑම ආයතනයකට අත්යවශ්ය වේ.
මෙම මාර්ගෝපදේශය සම්පූර්ණ රාමුව ආවරණය කරයි: PDPA පනතේ ව්යුහය, ආණ්ඩුක්රම ව්යවස්ථාමය සන්දර්භය, අදියරානුකූල ක්රියාත්මක කිරීමේ ඉතිහාසය, දත්ත ආරක්ෂණ අධිකාරියේ වර්තමාන තත්ත්වය, දත්ත විෂයයන්ගේ අයිතිවාසිකම්, දත්ත සැකසීම සඳහා නෛතික පදනම්, පාලක හා සකසන්නන්ගේ වගකීම්, උල්ලංඝන දැනුම්දීම, දේශසීමා තරණ දත්ත මාරු කිරීමේ නීති, දඬුවම්, 2025 සංශෝධනය, අංශ-විශේෂිත නීති සහ ප්රායෝගික අනුකූලතා පියවර.
ඉක්මන් පිළිතුර: ශ්රී ලංකාවේ PDPA පනත බලාත්මකද?
අර්ධ වශයෙන්. දත්ත ආරක්ෂණ අධිකාරිය පිහිටුවීම හා එහි පරිපාලන කටයුතු පාලනය කරන PDPA පනතේ කොටස් 2023 සිට බලාත්මකව පවතී. දත්ත විෂයයන්ගේ අයිතිවාසිකම්, පාලක හා සකසන්නන්ගේ වගකීම් සහ බලාත්මක කිරීමේ හා දඬුවම් ක්රමවේද වැනි මූලික විධිවිධාන තවම බලාත්මක වී නොමැත.
එම විධිවිධාන සඳහා මුල් ක්රියාත්මක වීමේ දිනය 2025 මාර්තු 18 විය. එම දිනය අවසාන දිනයට දින කිහිපයකට පෙර, 2025 මාර්තු 14 වන දින නිකුත් කරන ලද 2427/34 දරන අති විශේෂ ගැසට් නිවේදනය මගින් මුලින්ම දීර්ඝ කරන ලදී. පසුව, 2025 ඔක්තෝබර් 21 වන දින පනවන ලද සහ 2025 ඔක්තෝබර් 31 වන දින රජයේ ගැසට් පත්රයේ පළ කරන ලද 2025 අංක 22 දරන පුද්ගලික දත්ත ආරක්ෂණ (සංශෝධන) පනත මගින්, පනතේ සියලුම ස්ථාවර කාලසීමා සම්පූර්ණයෙන්ම ඉවත් කරන ලදී.
සංශෝධිත රාමුව යටතේ, PDPA පනතේ ඉතිරි කොටස් ක්රියාත්මක වන්නේ අදාළ විෂය භාර අමාත්යවරයා විසින් ගැසට් පත්රයේ පළ කරන නියෝගයක් මගින් නියම කරන දිනයක සිට ය. 2026 මැයි වන විටත් එවැනි නියෝගයක් නිකුත් කර නොමැත.
දත්ත ආරක්ෂණ අධිකාරිය 2026 මාර්තු මාසයේ සිය පළමු ස්ථිර අධ්යක්ෂ ජනරාල්වරයා පත් කළේය. බලාත්මක කිරීමේ දිනයක් නියම කිරීමට පෙර, මාර්ගෝපදේශ සකස් කර දත්ත ආරක්ෂණ අධිකාරියේ මණ්ඩලයේ අනුමැතිය ලබා ගත යුතු අතර, විස්තීරණ ක්රියාත්මක කිරීමේ සැලැස්මක් අවසන් කළ යුතුය. ආයතන පූර්ණ බලාත්මක කිරීම ළඟදීම සිදුවිය හැකි කරුණක් ලෙස සලකා, දැන් සිටම අනුකූලතා වැඩසටහන් ගොඩනගා ගත යුතුය.
2022 අංක 9 දරන පුද්ගලික දත්ත ආරක්ෂණ පනත
PDPA පනත කොටස් දහයකින් ව්යුහගත වේ. එය එවකට තිබූ ඩිජිටල් යටිතල පහසුකම් අමාත්යාංශය යටතේ, තොරතුරු හා සන්නිවේදන තාක්ෂණ නියෝජිතායතනයේ (ICTA) දායකත්වයද ඇතිව, 2019 ජූනි මාසයේ සිට ආරම්භ වූ පාර්ශවකරුවන් සමඟ සාකච්ඡා හරහා සකස් කරන ලදී. පාර්ලිමේන්තුව 2022 මාර්තු 9 වන දින පනත් කෙටුම්පත අනුමත කළ අතර, කථානායකවරයා 2022 මාර්තු 19 වන දින එය සහතික කළේය.
මෙම පනත යුරෝපීය සංගමයේ පොදු දත්ත ආරක්ෂණ රෙගුලාසියෙන් බොහෝ දුරට ආභාෂය ලබා ඇති අතර, ඇමරිකා එක්සත් ජනපදයේ සහ ආසියාව පුරා ඇති දත්ත ආරක්ෂණ රාමු වලින්ද කරුණු ඇතුළත් කරගෙන ඇත. එය පුළුල් ලෙස පහත සඳහන් අයට අදාළ වේ:
- ශ්රී ලංකාවේ පිහිටුවා ඇති ඕනෑම පාලකයෙකු හෝ සකසන්නෙකු
- ශ්රී ලංකාවේ පිහිටි දත්ත විෂයයන්ට භාණ්ඩ හෝ සේවා සපයන, ශ්රී ලංකාවෙන් පිටත ඕනෑම පාලකයෙකු හෝ සකසන්නෙකු
- ශ්රී ලංකාවේ පිහිටි දත්ත විෂයයන්ගේ හැසිරීම නිරීක්ෂණය කරන ඕනෑම පාලකයෙකු හෝ සකසන්නෙකු
මෙම දේශසීමා ඉක්මවූ විෂය පථය අර්ථවත් වන්නේ, ශ්රී ලාංකික පාරිභෝගිකයන් හෝ පරිශීලකයන් සිටින විදේශීය සමාගම්, ඔවුන්ගේ මූලස්ථානය පිහිටා ඇති ස්ථානය කුමක් වුවත් PDPA පනතට යටත් වන බවයි.
පුද්ගලික දත්ත ලෙස සලකනු ලබන්නේ කුමක්ද
PDPA පනත පුද්ගලික දත්ත ලෙස අර්ථදක්වන්නේ, හඳුනාගත් හෝ හඳුනාගත හැකි ස්වාභාවික පුද්ගලයෙකු සම්බන්ධ ඕනෑම තොරතුරක් බවයි. මෙයට නම්, හඳුනාගැනීමේ අංක, පිහිටීම් දත්ත, අන්තර්ජාල හඳුනාගැනීම් සහ පුද්ගලයෙකුගේ භෞතික, කායික, ජාන, මානසික, ආර්ථික, සංස්කෘතික හෝ සමාජීය අනන්යතාවයට විශේෂිත සාධක ඇතුළත් වේ.
පනත මගින් වැඩි ආරක්ෂණයක් හිමිවන සංවේදී පුද්ගලික දත්ත වර්ගයක්ද හඳුනාගනු ලැබේ. සංවේදී දත්ත වලට පහත සඳහන් කරුණු හෙළිදරව් කරන තොරතුරු ඇතුළත් වේ:
- වාර්ගික හෝ ජනවාර්ගික මූලාරම්භය
- දේශපාලන අදහස්
- ආගමික හෝ දාර්ශනික විශ්වාසයන්
- වෘත්තීය සමිති සාමාජිකත්වය
- සෞඛ්ය දත්ත
- ජාන දත්ත
- හඳුනාගැනීම සඳහා භාවිත කරන ජීවමිතික දත්ත
- පුද්ගලයෙකුගේ ලිංගික ජීවිතය හෝ ලිංගික දිශානතිය සම්බන්ධ දත්ත
සංවේදී පුද්ගලික දත්ත සැකසීම සඳහා දත්ත විෂයයාගේ පැහැදිලි කැමැත්ත අවශ්ය වන අතර, එසේ නොමැති නම් එය සීමිත නෛතික ව්යතිරේක අතරින් එකකට අනුකූල විය යුතුය.
ආණ්ඩුක්රම ව්යවස්ථාමය සන්දර්භය: ප්රකට පෞද්ගලිකත්ව අයිතියක් නොමැත
ශ්රී ලංකාවේ 1978 ආණ්ඩුක්රම ව්යවස්ථාවේ III වන පරිච්ඡේදයේ මූලික අයිතිවාසිකම් විධිවිධානවල පෞද්ගලිකත්වය සඳහා ප්රකට අයිතියක් අන්තර්ගත වී නොමැත. මෙය, ආණ්ඩුක්රම ව්යවස්ථාමය පෞද්ගලිකත්ව සහතිකයක් තුළ දත්ත ආරක්ෂණය ඇතුළත් කරගෙන ඇති බොහෝ අධිකරණ බල ප්රදේශවලින් ශ්රී ලංකාව වෙනස් කරයි.
2015 ආණ්ඩුක්රම ව්යවස්ථා සංශෝධනය මගින් රාජ්ය ආයතන සතු තොරතුරු ලබා ගැනීමේ අයිතිය සුරක්ෂිත කරන 14A වගන්තිය හඳුන්වා දෙන ලදී. මෙම වගන්තිය පෞද්ගලිකත්වය පිළිගන්නේ එම ලබා ගැනීමේ අයිතියට විය හැකි සීමාවක් ලෙස පමණක් මිස, ස්වාධීන මූලික අයිතියක් ලෙස නොවේ.
ආණ්ඩුක්රම ව්යවස්ථාමය පෞද්ගලිකත්ව සහතිකයක් නොමැති හෙයින්, ශ්රී ලාංකික අධිකරණ පොදු නීතියේ actio iniuriarum සංකල්පය හරහා පෞද්ගලිකත්ව ආරක්ෂණයන් පිළිගෙන ඇත. Nadarajah v Obeysekera සහ Hewamanna v Attorney General ඇතුළු නඩු මගින්, පුද්ගලයන්ට පෞද්ගලික අවකාශයක් හා නිවාස පෞද්ගලිකත්වයක් සඳහා අයිතියක් ඇති බව තහවුරු කර ඇතත්, මෙම ක්ෂේත්රයේ නඩු නීතිය සීමිත මට්ටමක පවතින අතර, බොහෝ දුරට අවකාශීය පෞද්ගලිකත්වය කෙරෙහි යොමු වී ඇත.
PDPA පනත මෙම නෛතික හිඩැස පුරවයි. එය ආණ්ඩුක්රම ව්යවස්ථාමය රාමුව මත රඳා නොපවතින, පුද්ගලික දත්ත ආරක්ෂණය සඳහා නෛතික පදනමක් සපයයි. 2025 සංශෝධන පනත මගින්, ප්රකට පෞද්ගලිකත්ව අයිතියක් නොමැති වුවද ආණ්ඩුක්රම ව්යවස්ථාමය මානයන් ඇති ස්වයංක්රීය තීරණ ගැනීමෙන් ඇතිවන පක්ෂග්රාහීත්වයට හෝ වෙනස්කම් කිරීමට එරෙහි ක්රියාපටිපාටිමය ආරක්ෂණයන්ද ශක්තිමත් කරන ලදී.
අදියරානුකූල ක්රියාත්මක කිරීම: සම්පූර්ණ කාලරාමුව
PDPA පනතේ නිශ්චිතව බලාත්මකව ඇති කොටස් තේරුම් ගැනීමට, ගැසට් නියෝග හා නෛතික වෙනස්කම් මාලාවක් නිරීක්ෂණය කිරීම අවශ්ය වේ.
දැනට බලාත්මකව ඇති කොටස්
2023 ජූලි 17: දත්ත ආරක්ෂණ අධිකාරිය පිහිටුවන පනතේ V වන කොටස ක්රියාත්මක විය. මෙය මගින් ජනාධිපතිවරයාට DPA හි සභාපති සහ අධ්යක්ෂ මණ්ඩලය පත් කිරීමට ඉඩ සැලසුණු අතර, එම පත් කිරීම් 2023 ඔක්තෝබර් මාසයේ ප්රකාශයට පත් කරන ලදී.
2023 දෙසැම්බර් 1: VI, VIII, IX සහ X කොටස් ක්රියාත්මක විය. මෙම කොටස්, DPA හි සංවිධානාත්මක ව්යුහය, කාර්ය මණ්ඩල විධිවිධාන, අරමුදල් ක්රියාවලීන් සහ පරිපාලන කටයුතු ආවරණය කරයි.
තවම බලාත්මක වී නොමැති කොටස්
I, II, III සහ VII කොටස්, පනතේ අර්ථ දැක්වීම් හා විෂය පථය, දත්ත විෂයයන්ගේ අයිතිවාසිකම් සහ බලාත්මක කිරීම හා දඬුවම් ආවරණය කරයි. එදිනෙදා අනුකූලතාව සඳහා වඩාත් වැදගත් වන්නේ මෙම විධිවිධාන ය.
මෙම කොටස් සඳහා මුල් ක්රියාත්මක වීමේ දිනය, 2024 ජනවාරි 8 වන දින නිකුත් කරන ලද 2366/08 දරන අති විශේෂ ගැසට් නිවේදනය මගින් 2025 මාර්තු 18 ලෙස නියම කර තිබුණි.
අවසාන දිනයට දින හතරකට පෙර, 2025 මාර්තු 14 වන දින, 2427/34 දරන අති විශේෂ ගැසට් නිවේදනය මගින් එම දිනය අහෝසි කරන ලදී. මෙමගින් අවසාන දිනය මාස හයකින් පමණ දීර්ඝ කරන ලදී.
පසුව, 2025 ඔක්තෝබර් 21 වන දින, පාර්ලිමේන්තුව 2025 අංක 22 දරන පුද්ගලික දත්ත ආරක්ෂණ (සංශෝධන) පනත සම්මත කළේය. 2025 ඔක්තෝබර් 31 වන දින රජයේ ගැසට් පත්රයේ පළ කරන ලද මෙම සංශෝධන පනත, වඩාත් මූලික පියවරක් ගත්තේය: එය පනතේ සියලුම ස්ථාවර සහන කාල සීමා සම්පූර්ණයෙන්ම ඉවත් කළේය. දැන් PDPA පනතේ ඉතිරි කොටස් ක්රියාත්මක වන්නේ, අදාළ විෂය භාර අමාත්යවරයා ගැසට් නියෝගයක් මගින් නියම කරන දිනයක සිට ය. 2026 මැයි වන විටත් එවැනි නියෝගයක් නිකුත් කර නොමැත.
නොපැතූ පණිවිඩ සහ සෘජු අලෙවිකරණ සන්නිවේදන ව්යාප්ත කිරීම සඳහා පුද්ගලික දත්ත භාවිතය පාලනය කරන IV වන කොටසද, එම අමාත්ය අභිමත ක්රමවේදයටම යටත්ව තවම බලාත්මක වී නොමැත.

ශ්රී ලංකා දත්ත ආරක්ෂණ අධිකාරිය
දත්ත ආරක්ෂණ අධිකාරිය (DPA) යනු, ශ්රී ලංකාවේ දත්ත ආරක්ෂණ රාමුව අධීක්ෂණය කිරීම හා බලාත්මක කිරීම සඳහා PDPA පනතේ V වන කොටස යටතේ පිහිටුවන ලද ස්වාධීන නියාමන ආයතනයයි. එය ඩිජිටල් ආර්ථික අමාත්යාංශය යටතේ ක්රියාත්මක වේ.
පිහිටුවීම හා පාලනය
2023 ජූලි 17 වන දින V වන කොටස ක්රියාත්මක වූ විට DPA පිහිටුවන ලදී. ජනාධිපතිවරයා විසින් පත් කරන ලද අධ්යක්ෂ මණ්ඩලය, අධිකාරියේ කාර්යයන් අධීක්ෂණය කරයි. DPA හි ප්රධාන කාර්යාලය කොළඹ පිහිටි බණ්ඩාරනායක අනුස්මරණ ජාත්යන්තර සම්මන්ත්රණ ශාලාවේ (BMICH) පිහිටා ඇත.
පළමු ස්ථිර අධ්යක්ෂ ජනරාල්
DPA විසින් දිමුත් භාෂිත අටපත්තු, 2026 මාර්තු 5 වන දින සිට ක්රියාත්මක වන පරිදි එහි පළමු ස්ථිර අධ්යක්ෂ ජනරාල් ලෙස පත් කරන ලදී. අටපත්තු, ඩිජිටල් ආර්ථික අමාත්යාංශයේ පෙර තනතුරු හා ජාත්යන්තර තනතුරු ඇතුළුව රාජ්ය හා පෞද්ගලික අංශවල පුළුල් පළපුරුද්දක් ඇති ශ්රී ලංකා පරිපාලන සේවයේ නිලධාරියෙකි. ඔහු කොළඹ විශ්වවිද්යාලයේ, මෙල්බර්න් විශ්වවිද්යාලයේ සහ පශ්චාත් උපාධි කළමනාකරණ ආයතනයේ සුදුසුකම් ලබා ඇත.
රාජ්ය ආයතනවලට උපදෙස් නිකුත් කිරීම ඇතුළුව, ක්රියාත්මක කිරීමේ ක්රියාවලියේ කරුණු කිහිපයක් ඉක්මන් කිරීමට අටපත්තුගෙන් අපේක්ෂා කරන බව ඩිජිටල් ආර්ථික අමාත්යාංශය පෙන්වා දී ඇත. ඔහු DPA මණ්ඩලයේ අනුමැතිය අවශ්ය නව මාර්ගෝපදේශ කෙටුම්පත් කිරීමට නායකත්වය දෙනු ඇත. නව ක්රියාත්මක වීමේ දිනයක් තීරණය කිරීමට පෙර, විස්තීරණ ක්රියාත්මක කිරීමේ සැලැස්මක් අවසන් කළ යුතුය.
බලතල හා කාර්යයන්
පූර්ණ බලාත්මක කිරීම ආරම්භ වූ පසු, රාජ්ය හා පෞද්ගලික යන අංශ දෙකේම පුද්ගලික දත්ත සැකසීම නියාමනය කිරීමට DPA ට පුළුල් බලතල ඇත. එහි ප්රධාන බලතල අතරට මේවා ඇතුළත් වේ:
- PDPA පනත උල්ලංඝනය කළ බවට චෝදනා ලැබෙන පැමිණිලි දත්ත විෂයයන්ගෙන් විමර්ශනය කිරීම
- පාලකයන් හා සකසන්නන් පිළිබඳ විගණන හා පරීක්ෂණ පැවැත්වීම
- උල්ලංඝනයන් සොයාගත් ආයතනවලට අනුකූලතා නියෝග නිකුත් කිරීම
- අනුකූල නොවීම සඳහා පරිපාලනමය දඬුවම් පැනවීම
- අංශ-විශේෂිත මාර්ගෝපදේශ හා චර්යා ධර්ම නිකුත් කිරීම
- දේශසීමා තරණ දත්ත මාරු කිරීම් සඳහා ප්රමාණවත්භාවය තීරණය කිරීම
- දත්ත ආරක්ෂණ ප්රතිපත්ති කරුණු පිළිබඳ රජයට උපදෙස් දීම
2025 සංශෝධන පනත මගින්, අංශ-විශේෂිත මාර්ගෝපදේශ නිකුත් කිරීමට DPA ට ඇති බලය විශේෂයෙන් පුළුල් කරන ලද අතර, විවිධ කර්මාන්ත ක්ෂේත්ර හරහා එහි අධීක්ෂණ විෂය පථය පුළුල් කරන ලදී.
බලාත්මක කිරීමට පෙර නියාමන ක්රියාකාරකම්
මූලික බලාත්මක කිරීම තවම බලාපොරොත්තුවෙන් පවතිද්දී, නියාමන පදනම ගොඩනැගීමේ කටයුතුවල DPA සක්රියව නිරත වී ඇත. 2024 සැප්තැම්බර් මාසයේ, දත්ත ආරක්ෂණ කළමනාකරණ වැඩසටහන් (DPMP) සඳහා කෙටුම්පත් මාර්ගෝපදේශ පිළිබඳ මහජන අදහස් විමසීමක් විවෘත කරන ලදී. DPA විසින්, දත්ත ආරක්ෂණ නිලධාරි පත් කිරීමේ අවශ්යතා පිළිබඳ කෙටුම්පත් රෙගුලාසි සහ පුද්ගලික දත්ත උල්ලංඝන දැනුම්දීමේ ක්රියාපටිපාටි පිළිබඳ කෙටුම්පත් නීතිද පළ කර ඇත. පුද්ගලික දත්ත වර්ග වර්ගීකරණය පිළිබඳ කෙටුම්පත් නියෝගයක්ද සකස් වෙමින් පවතී. මෙම කෙටුම්පත් 2026 මැයි වන විටත් අවසන් කිරීමේ අදියරේ පවතී.
පුද්ගලික දත්ත සැකසීම සඳහා නෛතික පදනම්
මූලික විධිවිධාන ක්රියාත්මක වන විට, පුද්ගලික දත්ත සැකසීමේ සෑම අවස්ථාවක්ම අවම වශයෙන් එක් නෛතික පදනමක් මත රඳා පැවතිය යුතුය. PDPA පනත, GDPR රාමුවෙන් සෘජුවම ලබාගත් පදනම් හයක් හඳුනාගනී.
කැමැත්ත
දත්ත විෂයයා, එක් හෝ වැඩි නිශ්චිත අරමුණු සඳහා තම පුද්ගලික දත්ත සැකසීමට කැමැත්ත ලබා දී ඇත. කැමැත්ත නිදහසේ ලබා දුන්, නිශ්චිත, දැනුවත් සහ පැහැදිලි විය යුතුය. එය ලිඛිතව හෝ පැහැදිලි ධනාත්මක ක්රියාවක් හරහා ලබා දිය යුතු අතර, ඕනෑම මොහොතක ආපසු ගැනීමට හැකි විය යුතුය.
ගිවිසුම්ගත අවශ්යතාවය
දත්ත විෂයයා පාර්ශවකරුවෙකු වන ගිවිසුමක් ඉටු කිරීම සඳහා, හෝ ගිවිසුමකට එළඹීමට පෙර දත්ත විෂයයාගේ ඉල්ලීම මත පියවර ගැනීම සඳහා දත්ත සැකසීම අවශ්ය වේ.
නෛතික බැඳීම
ශ්රී ලංකා නීතිය යටතේ පාලකයාට හෝ සකසන්නාට පනවා ඇති නෛතික බැඳීමකට අනුකූල වීම සඳහා දත්ත සැකසීම අවශ්ය වේ.
හදිසි අවස්ථා හෝ අත්යවශ්ය අවශ්යතා
පුද්ගලයෙකුගේ ජීවිතයට, සෞඛ්යයට හෝ ආරක්ෂාවට තර්ජනයක් වන හදිසි අවස්ථාවකට ප්රතිචාර දැක්වීම සඳහා දත්ත සැකසීම අවශ්ය වේ. මෙම පදනම වෙන් කර ඇත්තේ, කැමැත්ත ලබා ගැනීම ප්රායෝගික නොවන සැබෑ හදිසි තත්ත්වයන් සඳහා පමණි.
මහජන යහපත
මහජන යහපත සඳහා සිදු කරන කාර්යයක් සඳහා, හෝ පාලකයාට හෝ සකසන්නාට නීතියෙන් පවරා ඇති බලතල, කාර්යයන් හෝ රාජකාරි ඉටු කිරීම සඳහා දත්ත සැකසීම අවශ්ය වේ.
නීත්යනුකූල අභිලාෂයන්
පාලකයා විසින් අනුගමනය කරන නීත්යනුකූල අභිලාෂයන් සඳහා දත්ත සැකසීම අවශ්ය වේ, නමුත් එම අභිලාෂයන්ට වඩා දත්ත විෂයයාගේ මූලික අයිතිවාසිකම් හා අභිලාෂයන් ප්රමුඛ වන අවස්ථා හැර. මෙම පදනම සඳහා, GDPR යටතේ භාවිත කරන ආකාරයට සමාන සමතුලිත පරීක්ෂණයක් අවශ්ය වේ.
PDPA පනත යටතේ දත්ත විෂයයන්ගේ අයිතිවාසිකම්
PDPA පනත, පුද්ගලයන්ට ඔවුන්ගේ පුද්ගලික දත්ත සම්බන්ධයෙන් විස්තීරණ අයිතිවාසිකම් සමූහයක් ලබා දෙයි. මෙම අයිතිවාසිකම් GDPR ආදර්ශයට සමීපව ගැලපෙන අතර, පාලකයන් මත සැලකිය යුතු වගකීම් පනවයි.
ප්රවේශ වීමේ අයිතිය
දත්ත විෂයයන්ට, පාලකයෙකු තමන් පිළිබඳව රඳවාගෙන ඇති සියලුම පුද්ගලික දත්ත වෙත ප්රවේශය ඉල්ලා සිටිය හැක. පාලකයා, දත්ත සැකසීමේ අරමුණු, රැස් කරන ලද දත්ත වර්ග සහ දත්ත බෙදාගත් තෙවන පාර්ශව පිළිබඳ විස්තර ඇතුළුව, මෙම තොරතුරු කෙටි, විනිවිද පෙනෙන, තේරුම්ගත හැකි සහ පහසුවෙන් ප්රවේශ විය හැකි ආකාරයෙන් සැපයිය යුතුය.
නිවැරදි කිරීමේ අයිතිය
පුද්ගලික දත්ත වැරදි හෝ අසම්පූර්ණ වූ විට, දත්ත විෂයයන්ට එය නිවැරදි කිරීමට හෝ සම්පූර්ණ කිරීමට පාලකයාගෙන් ඉල්ලා සිටිය හැක. පාලකයා අනවශ්ය ප්රමාදයකින් තොරව ක්රියා කළ යුතුය.
මකා දැමීමේ අයිතිය
දත්ත රැස් කරන ලද අරමුණ සඳහා තවදුරටත් අවශ්ය නොවන විට, කැමැත්ත ආපසු ගෙන ඇති විට, හෝ දත්ත සැකසීම නීතිවිරෝධී වූ විට, දත්ත විෂයයන්ට තම පුද්ගලික දත්ත මකා දැමීමට ඉල්ලා සිටිය හැක.
කැමැත්ත ආපසු ගැනීමේ අයිතිය
දත්ත සැකසීම කැමැත්ත මත පදනම් වී ඇති අවස්ථාවල, දත්ත විෂයයන්ට ලිඛිත ඉල්ලීමක් හරහා ඕනෑම මොහොතක එම කැමැත්ත ආපසු ගත හැක. කැමැත්ත ආපසු ගැනීමට පෙර සිදු වූ දත්ත සැකසීමේ නීත්යානුකූලභාවයට ආපසු ගැනීමෙන් බලපෑමක් සිදු නොවේ.
සැකසීමට විරුද්ධ වීමේ අයිතිය
දත්ත විෂයයන්ට, සෘජු අලෙවිකරණ අරමුණු ඇතුළුව, තම පුද්ගලික දත්ත සැකසීමට විරුද්ධ විය හැක. දත්ත විෂයයාගේ අභිලාෂයන්ට වඩා ප්රමුඛ බලවත් නීත්යනුකූල හේතූන් පෙන්විය නොහැකි නම්, පාලකයා දත්ත සැකසීම නවත්වා දැමිය යුතුය.
ස්වයංක්රීය තීරණ ගැනීමට විරුද්ධ වීමේ අයිතිය
පැතිකඩ නිර්මාණය (profiling) ඇතුළුව, තමන්ට සැලකිය යුතු ලෙස බලපාන, සම්පූර්ණයෙන්ම ස්වයංක්රීය සැකසීම හරහා ගත් තීරණ සමාලෝචනය කිරීමට ඉල්ලීමේ අයිතිය PDPA පනත දත්ත විෂයයන්ට ලබා දෙයි. 2025 සංශෝධන පනත, ස්වයංක්රීය තීරණ ගැනීම සම්බන්ධයෙන් පිළියම් ඉල්ලා සිටීමේ ක්රියාපටිපාටි පැහැදිලි කළ අතර, කෘත්රිම බුද්ධි ක්රමවේදවලින් ඇතිවන පක්ෂග්රාහීත්වයට හෝ වෙනස්කම් කිරීමට එරෙහි ආරක්ෂණයන් ශක්තිමත් කළේය.
ප්රතිචාර දැක්වීමේ කාල සීමාව
පාලකයන්, දත්ත විෂයයෙකුගෙන් ලැබෙන ඕනෑම ලිඛිත ඉල්ලීමකට එය ලැබී වැඩකරන දින 21ක් ඇතුළත ප්රතිචාර දැක්විය යුතුය. විෂයයා විසින් කරන ප්රවේශ ඉල්ලීම්වල විවිධ වර්ග සඳහා නිශ්චිත කාල සීමා නියම කිරීමට DPA ට 2025 සංශෝධන පනත මගින් තවදුරටත් බලය ලබා දෙන ලදී.

පාලකයන් හා සකසන්නන්ගේ වගකීම්
PDPA පනත, පාලකයන් (සැකසීමේ අරමුණු හා ක්රම තීරණය කරන ආයතන) සහ සකසන්නන් (පාලකයන් වෙනුවෙන් දත්ත සකසන ආයතන) යන දෙපිරිසටම විස්තරාත්මක වගකීම් පනවයි.
වාර්තා තබා ගැනීම
පාලකයන් හා සකසන්නන්, තමන්ගේ දත්ත රැස් කිරීමේ හා සැකසීමේ ක්රියාකාරකම් පිළිබඳ විස්තරාත්මක වාර්තා පවත්වාගෙන යා යුතුය. වාර්තා ලිඛිතව හෝ විද්යුත් මාධ්යයෙන්, කෙටි, විනිවිද පෙනෙන, තේරුම්ගත හැකි සහ පහසුවෙන් ප්රවේශ විය හැකි ආකාරයෙන් තබා ගත යුතුය. ඒවා ඉල්ලීම මත දත්ත විෂයයන්ටත්, විගණන අවස්ථාවලදී DPA වෙතත් ලබා ගත හැකි විය යුතුය.
අරමුණු සීමාකිරීම
පුද්ගලික දත්ත, නිශ්චිත, ප්රකට සහ නීත්යනුකූල අරමුණු සඳහා රැස් කළ යුතුය. එම මුල් අරමුණුවලට නොගැලපෙන ආකාරයකින් ඒවා තවදුරටත් සකසිය නොහැක. පාලකයන්, රැස් කිරීමේ අවස්ථාවේදී හෝ ඊට පෙර, රැස් කිරීමේ අරමුණ පැහැදිලිව නිර්වචනය කර දැනුම් දිය යුතුය.
දත්ත අවම කිරීම හා නිරවද්යතාව
පාලකයන්, පුද්ගලික දත්ත ප්රමාණවත්, අදාළ සහ දක්වා ඇති අරමුණු සඳහා අවශ්ය ප්රමාණයට සීමා වී ඇති බව සහතික කළ යුතුය. ඔවුන් දත්ත නිරවද්ය බවත්, අවශ්ය අවස්ථාවලදී යාවත්කාලීන කර පවත්වා ගන්නා බවත් සහතික කිරීමට සාධාරණ පියවර ගත යුතුය.
සකසන්නාට විශේෂිත රාජකාරි
සකසන්නන්, පාලකයාගේ උපදෙස් අනුගමනය කළ යුතු අතර, PDPA පනතේ වගකීම් ඉටු කිරීමට පාලකයාට සහාය විය යුතුය. පාලකයාගේ පූර්ව අවසරයකින් තොරව, සකසන්නෙකුට උප-සකසන්නෙකු යොදවා ගත නොහැක.
දත්ත ආරක්ෂණ බලපෑම් තක්සේරු
පාලකයෙකු, පුද්ගලික දත්තවල ක්රමානුකූල හා විස්තීරණ ඇගයීමක් (පැතිකඩ නිර්මාණය ඇතුළුව), මහජනතාවට ප්රවේශ විය හැකි ප්රදේශවල ක්රමානුකූල නිරීක්ෂණය, හෝ සංවේදී පුද්ගලික දත්තවල පුළුල් පරිමාණ සැකසීමක් සිදු කිරීමට අදහස් කරන අවස්ථාවකදී, එවැනි සැකසීමක් ආරම්භ කිරීමට පෙර දත්ත ආරක්ෂණ බලපෑම් තක්සේරුවක් (DPIA) සිදු කළ යුතුය.
DPIA මගින්, යෝජිත සැකසීමේ ස්වභාවය හා විෂය පථය, දත්ත විෂයයන්ට ඇති අවදානම් සහ එම අවදානම් අවම කිරීමට පාලකයා ක්රියාත්මක කරන පියවර හා ආරක්ෂණයන් ලේඛනගත කළ යුතුය. තක්සේරුව සිදු කිරීමේදී, පාලකයා තම දත්ත ආරක්ෂණ නිලධාරියාගේ ආදානය ලබා ගත යුතුය.
දත්ත ආරක්ෂණ නිලධාරි අවශ්යතා
PDPA පනත, ඇතැම් ආයතන දත්ත ආරක්ෂණ නිලධාරියෙකු පත් කිරීම අවශ්ය කරයි. මෙම අවශ්යතාව, තම ප්රධාන ක්රියාකාරකම් වශයෙන් දත්ත විෂයයන් පුළුල් පරිමාණයෙන් නිරන්තර හා ක්රමානුකූලව නිරීක්ෂණය කිරීම, හෝ සංවේදී පුද්ගලික දත්තවල පුළුල් පරිමාණ සැකසීම සිදු කරන පාලකයන් හා සකසන්නන්ට අදාළ වේ.
සුදුසුකම් හා පත් කිරීම
දත්ත ආරක්ෂණ නිලධාරියාට එම භූමිකාව සඳහා අදාළ අධ්යාපනික සුදුසුකම් හා වෘත්තීය දක්ෂතාව තිබිය යුතුය. DPA විසින්, දත්ත ආරක්ෂණ නිලධාරි සුදුසුකම් හා පත් කිරීමේ ක්රියාපටිපාටි පිළිබඳ කෙටුම්පත් නියාමන මාර්ගෝපදේශයක් පළ කර ඇත.
වගකීම්
දත්ත ආරක්ෂණ නිලධාරියා, ආයතනය, දත්ත විෂයයන් සහ DPA අතර ප්රධාන සම්බන්ධතා ලක්ෂ්යය ලෙස කටයුතු කරයි. ඔවුන්ගේ රාජකාරි අතරට, අභ්යන්තර අනුකූලතාව නිරීක්ෂණය කිරීම, DPIA සම්බන්ධයෙන් උපදෙස් දීම, දත්ත ආරක්ෂණ වගකීම් පිළිබඳව කාර්ය මණ්ඩලයට පුහුණුව ලබා දීම සහ විමර්ශන අවස්ථාවලදී DPA සමඟ සහයෝගයෙන් කටයුතු කිරීම ඇතුළත් වේ.
ප්රකාශන අවශ්යතා
පාලකයන් හා සකසන්නන්, තම දත්ත ආරක්ෂණ නිලධාරියාගේ සම්බන්ධතා විස්තර තම වෙබ් අඩවියේ ප්රකාශයට පත් කළ යුතු අතර, පත් කිරීමෙන් පසු එම විස්තර DPA වෙත දැනුම් දිය යුතුය.
බෙදාගත් දත්ත ආරක්ෂණ නිලධාරීන්
සම්බන්ධිත ආයතන සමූහයකට, එක් එක් ආයතනයට පහසුවෙන් ප්රවේශ විය හැකි එකම දත්ත ආරක්ෂණ නිලධාරියෙකු පත් කළ හැක. ඒ ආකාරයටම, සංවිධානාත්මක ව්යුහය මෙම විධිවිධානයට සහාය වන්නේ නම්, රාජ්ය ආයතන කිහිපයක් සඳහාද එකම දත්ත ආරක්ෂණ නිලධාරියෙකු නම් කළ හැක.
උල්ලංඝන දැනුම්දීමේ අවශ්යතා
PDPA පනත, පාලකයන් හා සකසන්නන් සඳහා අනිවාර්ය උල්ලංඝන දැනුම්දීමේ වගකීම් ස්ථාපිත කරයි.
DPA වෙත දැනුම්දීම
පුද්ගලික දත්ත උල්ලංඝනයක් සිදු වූ විට, පාලකයා එය පිළිබඳව දැනගත් වේලාවේ සිට පැය 72ක් ඇතුළත දත්ත ආරක්ෂණ අධිකාරියට දැනුම් දිය යුතුය. දැනුම්දීමේදී, උල්ලංඝනයේ ස්වභාවය, බලපෑමට ලක් වූ දත්ත විෂයයන්ගේ වර්ග හා ආසන්න සංඛ්යාව, ඇතිවිය හැකි ප්රතිවිපාක, සහ එය විසඳීම සඳහා ගත් හෝ යෝජිත පියවර විස්තර කළ යුතුය.
මෙම පැය 72 දැනුම්දීමේ කාලසීමාව, GDPR උල්ලංඝන දැනුම්දීමේ රාමුව යටතේ ඇති අවශ්යතාවයට සමානය.
දත්ත විෂයයන් වෙත දැනුම්දීම
දත්ත විෂයයන්ට සෘජුවම දැනුම් දිය යුතු තත්ත්වයන් මෙන්ම, එම සන්නිවේදනයේ ක්රමය හා මාධ්යයද DPA විසින් තීරණය කරනු ලැබේ. උල්ලංඝනයක් දත්ත විෂයයන්ගේ අයිතිවාසිකම් හා නිදහසට ඉහළ අවදානමක් ඇති කරන අවස්ථාවක, සෘජු දැනුම්දීමක් අපේක්ෂා කෙරේ.
අවසන් කරමින් පවතින කෙටුම්පත් නීති
DPA විසින්, පුද්ගලික දත්ත උල්ලංඝන දැනුම්දීම් පිළිබඳ කෙටුම්පත් නීති පළ කර ඇති අතර, එම රෙගුලාසි අවසන් කිරීමේ ක්රියාවලියේ නිරත වේ. පාලකයන්, අවසන් උල්ලංඝන දැනුම්දීමේ රාමුව පිළිබඳ යාවත්කාලීන තොරතුරු සඳහා DPA හි වෙබ් අඩවිය නිරීක්ෂණය කළ යුතුය.
දේශසීමා තරණ දත්ත මාරු කිරීම්
දත්ත සැකසෙන ස්ථානය කුමක් වුවත් දත්ත විෂයයන්ගේ අයිතිවාසිකම් ආරක්ෂා වන බව සහතික කිරීම සඳහා, PDPA පනත ශ්රී ලංකාවෙන් පිටතට පුද්ගලික දත්ත මාරු කිරීම සීමා කරයි. 2025 සංශෝධන පනතින් සංශෝධිත පනතේ 26 වන වගන්තිය, දේශසීමා තරණ දත්ත ප්රවාහයන්හි නිරත වන පාලකයන්, අනුකූලතාව සහතික කර දත්ත අයිතිවාසිකම් සුරක්ෂිත කිරීම සඳහා බැඳී පවතින උපකරණ අනුගමනය කළ යුතු බව දැන් නියම කරයි.
ප්රමාණවත්භාව තීරණ
ප්රමාණවත් දත්ත ආරක්ෂණ මට්ටමක් සපයන බව DPA විසින් තීරණය කරන ලද රටවලට හෝ ප්රදේශවලට මාරු කිරීම් සඳහා අවසර ඇත. ප්රමාණවත්භාව තීරණය කිරීමේ ක්රියාවලිය, EU ප්රමාණවත්භාව තීරණ යටතේ භාවිත කරන ක්රමවේදයට සමානය. 2026 මැයි වන විටත් DPA විසින් විධිමත් ප්රමාණවත්භාව තීරණයක් නිකුත් කර නොමැත.
සුදුසු ආරක්ෂණයන්
ප්රමාණවත්භාව තීරණයක් නොමැති අවස්ථාවක, පාලකයන් හා සකසන්නන් සුදුසු ආරක්ෂණයන් ක්රියාත්මක කරන්නේ නම්, ජාත්යන්තර වශයෙන් දත්ත මාරු කළ හැක. මෙම ආරක්ෂණයන්, ලබන්නා මත බැඳී පවතින හා බලාත්මක කළ හැකි වගකීම් ඇති කළ යුතු අතර, PDPA පනත යටතේ දත්ත විෂයයන්ට තම අයිතිවාසිකම් හා පිළියම් සඳහා ප්රවේශය පවතින බව සහතික කළ යුතුය.
ආරක්ෂණයන් නොමැතිව අවසර ලත් මාරු කිරීම්
පහත සඳහන් අවස්ථාවලදීද දේශසීමා තරණ මාරු කිරීම්වලට අවසර ඇත:
- දත්ත විෂයයා මාරු කිරීමට පැහැදිලි කැමැත්ත ලබා දී ඇති විට
- දත්ත විෂයයා සමඟ ඇති ගිවිසුමක් ඉටු කිරීම සඳහා මාරු කිරීම අවශ්ය වූ විට
- මහජන යහපත සම්බන්ධ වැදගත් හේතූන් සඳහා මාරු කිරීම අවශ්ය වූ විට
- නෛතික හිමිකම් ස්ථාපිත කිරීම, ක්රියාත්මක කිරීම හෝ ආරක්ෂා කිරීම සඳහා මාරු කිරීම අවශ්ය වූ විට
2025 සංශෝධනය යටතේ ක්ලවුඩ් පරිගණන නම්යශීලීත්වය
2025 සංශෝධන පනත, දේශසීමා තරණ දත්ත ප්රවාහයන් සඳහා සැලකිය යුතු මෙහෙයුම් වෙනසක් හඳුන්වා දුන්නේය. ආයතනවලට දැන්, තම දත්තවල සංවේදීතාවය හා ආරක්ෂක වර්ගීකරණය මත පදනම්ව, ස්ථානික, ස්වෛරී හෝ පොදු ක්ලවුඩ් පහසුකම් අතරින් තෝරා ගත හැක. මෙමගින්, දත්ත සංවේදීතාව, ගබඩා පිරිවැය සහ කෘත්රිම බුද්ධි හැකියාවන් වෙත ප්රවේශය සමතුලිත කරමින්, රාජ්ය හා පෞද්ගලික අංශයේ පාලකයන් දෙපිරිසටම නඩුවකට අනුරූප තීන්දු ගැනීමට හැකි වේ. සුදුසු ආරක්ෂණයන් පවත්වා ගනිමින් ඩිජිටල් ආර්ථික වර්ධනයට සහාය වීම සඳහා මෙම වෙනස සැලසුම් කරන ලදී.
දත්ත ස්ථානීයකරණ වගකීම් විවිධ අධිකරණ බල ප්රදේශ අතර සැසඳෙන ආකාරය පිළිබඳ ගෝලීය දෘෂ්ටිකෝණයක් සඳහා, රටවල් අනුව දත්ත ස්ථානීයකරණ නීති බලන්න.
දඬුවම් හා බලාත්මක කිරීම
PDPA පනතේ බලාත්මක කිරීම හා දඬුවම් විධිවිධාන ඇත්තේ පනතේ VII වන කොටසේ වන අතර, එය තවම බලාත්මක වී නොමැත.
මූල්ය දඬුවම්
ක්රියාත්මක වූ පසු, DPA විසින් නිකුත් කරන නියෝගවලට අනුකූල නොවන ආයතන, අනුකූල නොවීමේ එක් සිද්ධියක් සඳහා රුපියල් මිලියන 10ක් (ආසන්න වශයෙන් ඇමරිකානු ඩොලර් 30,000ක්) දක්වා දඬුවම්වලට මුහුණ දිය හැක. පුනරාවර්තන වැරදිකරුවන් සඳහා, එක් එක් පසුකාලීන උල්ලංඝනයත් සමඟ දඬුවම දෙගුණ වේ.
දඬුවමේ ප්රමාණය තීරණය කිරීමේදී, DPA අනුකූල නොවීමේ ස්වභාවය හා ප්රමාණය, බලපෑමට ලක් වූ දත්ත විෂයයන් කෙරෙහි ඇති බලපෑම, ආයතනය ගත් සමනශීලී පියවර මොනවාද යන්නත්, ආයතනයේ අනුකූලතා ඉතිහාසයත් සලකා බැලිය යුතුය.
GDPR සමඟ සැසඳීම
වඩාත් බරපතළ උල්ලංඝනවල දී 4% දක්වා, ගෝලීය වාර්ෂික ආදායමෙන් ප්රතිශතයක් ලෙස දඬුවම් ගණනය කරන GDPR මෙන් නොව, PDPA පනත ස්ථාවර මූල්ය සීමා භාවිත කරයි. මෙම සීමා ශ්රී ලංකා ආර්ථිකය තුළ අර්ථවත් වුවද, විශාල බහුජාතික සමාගම් සඳහා ඒවා අඩු වැදගත්කමක් ගත හැක. 2025 සංශෝධන සාකච්ඡාවලදී ආදායම් පදනම් කරගත් දඬුවම් පිළිබඳ සලකා බැලීමක් සිදු වූවත්, අවසාන පනතේ ස්ථාවර සීමා ප්රවේශයම රඳවා ගන්නා ලදී.
අනුකූලතා නියෝග
මූල්ය දඬුවම්වලට අමතරව, ආයතන තම දත්ත සැකසීමේ භාවිතයන් වෙනස් කිරීමට, නිශ්චිත ආරක්ෂණයන් ක්රියාත්මක කිරීමට, හෝ පනත උල්ලංඝනය කරන සැකසීමේ ක්රියාකාරකම් නවත්වා දැමීමට අවශ්ය කරන බැඳී පවතින අනුකූලතා නියෝග නිකුත් කිරීමට DPA ට හැකිය. මෙම නියෝගවලට අනුකූල නොවීම අමතර දඬුවම් ඇති කළ හැක.
2025 සංශෝධන පනත: ප්රධාන වෙනස්කම්
2025 ඔක්තෝබර් 21 වන දින පනවන ලද සහ 2025 ඔක්තෝබර් 31 වන දින ගැසට් කරන ලද 2025 අංක 22 දරන පුද්ගලික දත්ත ආරක්ෂණ (සංශෝධන) පනත, ස්ථාවර ක්රියාත්මක වීමේ දින ඉවත් කිරීමට අමතරව, රාමුවට මූලික වෙනස්කම් කිහිපයක්ම සිදු කළේය.
ක්රියාත්මක වීමේ ක්රමවේදය
වඩාත්ම වැදගත් ව්යුහාත්මක වෙනස වන්නේ, ස්ථාවර නෛතික කාලසීමාවලින්, අමාත්ය අභිමතය වෙත මාරු වීමයි. PDPA පනතේ ඉතිරි කොටස්, සූදානම මත පදනම් වූ ක්රියාත්මක කිරීමේ කාලසටහනකට ඉඩ සලසමින්, අමාත්යවරයා ගැසට් නියෝගයක් මගින් නියම කරන දිනවල සිට ක්රියාත්මක වේ. 2026 මැයි වන විටත් ක්රියාත්මක වීමේ දිනයක් නියම කර නොමැත.
ක්ලවුඩ් පරිගණනය හා කෘත්රිම බුද්ධිය
සංශෝධනය මගින්, කෘත්රිම බුද්ධි යෙදුම් ඇතුළුව, දත්ත සැකසීම සඳහා ක්ලවුඩ් වේදිකා භාවිත කිරීමේ අවසර ලත් ක්රම පැහැදිලි කරන ලදී. ආයතනවලට, දත්ත සංවේදීතාව හා ආරක්ෂක වර්ගීකරණය මත පදනම්ව, ස්ථානික, ස්වෛරී හෝ පොදු ක්ලවුඩ් විසඳුම් අතරින් තෝරා ගත හැක. සංශෝධනය, ආයතන තුළ අනවසර කෘත්රිම බුද්ධි මෙවලම් භාවිතය වන shadow AI ගැටලුවද අමතා, කෘත්රිම බුද්ධි ක්රමවේද යොදවන ආයතන සඳහා පාලන වගකීම් හඳුන්වා දුන්නේය.
ස්වයංක්රීය තීරණ ගැනීමේ ආරක්ෂණයන්
සංශෝධනය, පක්ෂග්රාහීත්වයට හෝ වෙනස්කම් කිරීමට එරෙහිව අභියෝග කිරීමේ අයිතිවාසිකම් ශක්තිමත් කළ අතර, ස්වයංක්රීය සැකසීම හෝ පැතිකඩ නිර්මාණ ක්රමවේද හරහා ගත් තීරණවලට එරෙහිව පිළියම් ඉල්ලා සිටින දත්ත විෂයයන් සඳහා වඩාත් පැහැදිලි ක්රියාපටිපාටි ස්ථාපිත කළේය.
පුළුල් කළ නියාමන මෙවලම් කට්ටලය
සංශෝධනය, අංශ-විශේෂිත මාර්ගෝපදේශ නිකුත් කිරීමට DPA ට ඇති බලය පුළුල් කළ අතර, දත්ත විෂයයන්ගේ ඉල්ලීම්වලට ප්රතිචාර දැක්වීම සඳහා නිශ්චිත කාලසීමා නියම කිරීමට DPA හට ඇති බලය නිර්වචනය කර, නියාමකයාට වැඩි මෙහෙයුම් නම්යශීලීත්වයක් ලබා දුන්නේය.
දේශසීමා තරණ මාරු කිරීමේ වගකීම්
ජාත්යන්තර දත්ත මාරු කිරීම්වල නිරත වන පාලකයන්, ගමනාන්ත රටේ දත්ත විෂයයන්ගේ අයිතිවාසිකම් ආරක්ෂා කිරීම සඳහා බැඳී පවතින උපකරණ අනුගමනය කළ යුතු බව පැහැදිලිව නියම කරමින් 26 වන වගන්තිය සංශෝධනය කරන ලදී.
නොපැතූ පණිවිඩ හා සෘජු අලෙවිකරණය
PDPA පනතේ IV වන කොටස, සෘජු අලෙවිකරණ සන්නිවේදන ඇතුළුව නොපැතූ පණිවිඩ ව්යාප්ත කිරීම සඳහා පුද්ගලික දත්ත භාවිතය විශේෂයෙන් අමතයි. IV වන කොටස තවම බලාත්මක කර නොමැත.
IV වන කොටස ක්රියාත්මක වූ පසු, අලෙවිකරණය සඳහා පුද්ගලික දත්ත භාවිත කරන පාලකයන්, තවදුරටත් පණිවිඩ ලැබීමෙන් නොමිලේ ඉවත් වීමට දත්ත විෂයයන්ට ඇති ක්රමය පිළිබඳ පැහැදිලි විස්තර සැපයිය යුතුය. ඉවත් වීමේ ක්රමවේදය, මුල් දත්ත රැස් කිරීමේ අවස්ථාවේදීත්, ඉන් පසුව යවනු ලබන සෑම පණිවිඩයකදීත් ලබා ගත හැකි විය යුතුය.
ශ්රී ලාංකික පාරිභෝගිකයන් වෙත සෘජු අලෙවිකරණය සිදු කරන ව්යාපාර, IV වන කොටසේ ක්රියාත්මක වීමේ දිනය ප්රකාශයට පත් කරන විට සූදානම් වීමට, දැන්ම තම කැමැත්ත හා ඉවත් වීමේ ක්රමවේද සකස් කරගත යුතුය.
අංශ-විශේෂිත දත්ත ආරක්ෂණ නීති
PDPA පනතට පෙර, දත්ත හැසිරවීමේ වගකීම් සම්බන්ධයෙන් ශ්රී ලංකාව අංශ-විශේෂිත නීතිය මත රඳා පැවතුනි. මෙම නීති තවමත් බලාත්මකව පවතින අතර PDPA රාමුව සමඟ සමගාමීව ක්රියාත්මක වේ.
2007 අංක 24 දරන පරිගණක අපරාධ පනත
මෙම පනත, පරිගණක පද්ධතිවලට අනවසර ප්රවේශය, දත්ත අන්තර්ග්රහණය සහ සයිබර් අපරාධ අමතයි. එය අනවසර දත්ත ප්රවේශය සඳහා අපරාධ දඬුවම් සපයන නමුත්, විස්තීරණ දත්ත ආරක්ෂණ ක්රමවේදයක් ඇති නොකරයි.
1988 අංක 30 දරන බැංකු පනත සහ මූල්ය පාරිභෝගික ආරක්ෂණ රෙගුලාසි
බැංකු පනත, බලපත්රලාභී බැංකු මත රහස්යභාවය සම්බන්ධ වගකීම් පනවයි. 2023 අගෝස්තු 9 වන දින පළ කරන ලද 2023 අංක 1 දරන මූල්ය පාරිභෝගික ආරක්ෂණ රෙගුලාසි, මූල්ය පාරිභෝගිකයන්ගේ පුද්ගලික තොරතුරු ආරක්ෂා කිරීම සඳහා PDPA පනතට සැලකිය යුතු ලෙස සමාන වගකීම් හඳුන්වා දුන්නේය. මෙම රෙගුලාසිය, මූල්ය අංශය සඳහා දැනට බලාත්මකව පවතී.
2016 අංක 12 දරන තොරතුරු දැනගැනීමේ අයිතිය පිළිබඳ පනත
මෙම පනත, රාජ්ය ආයතන සතු තොරතුරු ලබා ගැනීමේ ආණ්ඩුක්රම ව්යවස්ථාමය අයිතියක් ස්ථාපිත කරයි. ආණ්ඩුක්රම ව්යවස්ථාවේ 14A වගන්තිය මෙම අයිතියේ පදනම සපයයි. මෙම රාමුව යටතේ, පෞද්ගලිකත්ව සලකා බැලීම් ලබා ගැනීමේ අයිතිවලට සීමාවක් ලෙස ක්රියා කරයි; හෙළිදරව් කිරීම පුද්ගල පෞද්ගලිකත්වයට හානි වන අවස්ථාවක, රාජ්ය ආයතනවලට පුද්ගලික තොරතුරු වසන් කර තැබිය හැක.
2006 අංක 19 දරන විද්යුත් ගනුදෙනු පනත
මෙම පනත, විද්යුත් වාර්තා හා අත්සන්වල නෛතික පිළිගැනීම පාලනය කරයි, නමුත් දත්ත ආරක්ෂණය විස්තීරණ ලෙස අමතන්නේ නැත.
1991 අංක 25 දරන විදුරු සන්නිවේදන පනත
විදුරු සන්නිවේදන පනත, සන්නිවේදන හා දායක දත්ත සම්බන්ධයෙන් විදුරු සන්නිවේදන මෙහෙයුම්කරුවන් මත රහස්යභාවය සම්බන්ධ වගකීම් පනවයි.
කලාපීය දත්ත ආරක්ෂණ රාමු සමඟ සැසඳීම
ශ්රී ලංකාවේ PDPA පනත, දකුණු ආසියාවේ පළමු විස්තීරණ දත්ත ආරක්ෂණ නීතිය විය. එය සම්මත වීමෙන් පසුව, කලාපයේ සැලකිය යුතු නෛතික ක්රියාකාරකම් දක්නට ලැබී ඇත.
ඉන්දියාවේ 2023 ඩිජිටල් පුද්ගලික දත්ත ආරක්ෂණ පනත, 2023 අගෝස්තු මාසයේ පනවන ලද අතර, DPDP රෙගුලාසි 2025, 2025 ජනවාරි මාසයේ අදහස් ලබා ගැනීම සඳහා පළ කරන ලදී. ඉන්දියාවේ රාමුවේද අදියරානුකූල ක්රියාත්මක කිරීමක්, දත්ත ආරක්ෂණ මණ්ඩලයක් සහ කැමැත්ත මත පදනම් වූ සැකසීමේ අවශ්යතා ඇතුළත් වේ.
බංග්ලාදේශයේ 2025 පුද්ගලික දත්ත ආරක්ෂණ ආඥා පනත, දත්ත ආරක්ෂණ කොමිසමක් ස්ථාපිත කරමින් හා ගෝලීය ප්රමිතීන්ට සමාන ආදර්ශයක් සහිත රාමුවක් සමඟ, කලාපයේ නවතම එකතු වීම නියෝජනය කරයි.
ඉන්දීය හා ශ්රී ලාංකික රාමු දෙකම, කැමැත්ත අවශ්යතා, දත්ත විෂයයන්ගේ අයිතිවාසිකම්, පාලක වගකීම්, උල්ලංඝන දැනුම්දීම වැනි GDPR ආභාෂය ලද ව්යුහයක් බෙදාගනී. ශ්රී ලංකාවේ ස්ථාවර මූල්ය දඬුවම් සීමා, නිශ්චිත උල්ලංඝනවලට රුපියල් කෝටි 250 දක්වා ළඟා විය හැකි ඉන්දියාවේ මූල්ය දඬුවම් ක්රමවේදයට වඩා වෙනස් වේ. දකුණු ආසියාව පුරා ක්රියාත්මක වන ආයතන සඳහා, විවිධ බලාත්මක කිරීමේ කාලරාමු හා නියාමන පරිණතභාවය සැලකිල්ලට ගනිමින්, එක් එක් අධිකරණ බල ප්රදේශය වෙන වෙනම අනුකූලතා සැලසුම් කිරීමේදී අමතන්නේ.
ආයතන සඳහා ප්රායෝගික අනුකූලතා පියවර
ශ්රී ලංකාවේ PDPA පනතේ මූලික විධිවිධාන තවම බලාත්මක වී නොමැති වුවද, බලාත්මක කිරීමේ දිනය අමාත්ය ගැසට් නියෝගයක් මගින් නියම කරනු ලබන අතර, පූර්ව දැනුම්දීමක් සඳහා නෛතික අවශ්යතාවයක් නොමැත. ආයතන, තම අනුකූලතා වැඩසටහන් ගොඩනගා ගැනීමට වර්තමාන කාල පරාසය භාවිත කළ යුතුය.

ඔබේ දත්ත සැකසීමේ ක්රියාකාරකම් සිතියම්ගත කරන්න
ශ්රී ලංකාවේ පුද්ගලයන් සම්බන්ධ ඔබේ ආයතනය රැස් කරන, සකසන සහ ගබඩා කරන සියලුම පුද්ගලික දත්ත හඳුනාගැනීමට විස්තීරණ දත්ත විගණනයක් සිදු කරන්න. එක් එක් සැකසීමේ ක්රියාකාරකම සඳහා නෛතික පදනම හා දත්ත රැස් කළ අරමුණ ලේඛනගත කරන්න.
දත්ත ආරක්ෂණ නිලධාරි අවශ්යතා තක්සේරු කරන්න
ඔබේ ආයතනය අනිවාර්ය දත්ත ආරක්ෂණ නිලධාරි පත් කිරීමේ සීමාව සපුරාලනවාද යන්න තීරණය කරන්න. දත්ත ආරක්ෂණ නිලධාරි සුදුසුකම් පිළිබඳ DPA හි කෙටුම්පත් නියාමන මාර්ගෝපදේශය සමාලෝචනය කරන්න. පත් කිරීම අනිවාර්ය නොවන අවස්ථාවලදීද, නම් කළ පෞද්ගලිකත්ව නායකයෙකු සිටීම හොඳම භාවිතය ලෙස සැලකේ. ගෝලීය සැසඳීමක් සඳහා රටවල් අනුව දත්ත ආරක්ෂණ නිලධාරි අවශ්යතා බලන්න.
පෞද්ගලිකත්ව දැනුම්දීම් හා කැමැත්ත ක්රමවේද යාවත්කාලීන කරන්න
ඔබේ පෞද්ගලිකත්ව ප්රතිපත්ති, සැකසීමේ අරමුණු, යොදාගත් නෛතික පදනම, දත්ත විෂයයන්ගේ අයිතිවාසිකම්, රඳවා තබා ගැනීමේ කාල සීමා සහ දේශසීමා තරණ මාරු කිරීමේ ක්රමවේද පැහැදිලිව විස්තර කරන බව සහතික කරන්න. IV වන කොටසේ අනුකූලතාවයට සූදානම් වීම සඳහා සෘජු අලෙවිකරණ කැමැත්ත ක්රමවේද සමාලෝචනය කරන්න.
උල්ලංඝන ප්රතිචාර ක්රියාපටිපාටි ස්ථාපිත කරන්න
පැය 72 දැනුම්දීමේ කාල සීමාව තුළ දත්ත උල්ලංඝන හඳුනාගැනීම, විමර්ශනය කිරීම හා වාර්තා කිරීම සඳහා අභ්යන්තර ක්රියාපටිපාටි ක්රියාත්මක කරන්න. පැහැදිලි භූමිකා හා වගකීම් පවරා, අභ්යාස පවත්වන්න. කෙටුම්පත් උල්ලංඝන දැනුම්දීමේ නීති අවසන් කිරීම සඳහා DPA හි වෙබ් අඩවිය නිරීක්ෂණය කරන්න.
දේශසීමා තරණ දත්ත මාරු කිරීම් සමාලෝචනය කරන්න
ශ්රී ලංකාවෙන් පිටතට සිදු කරන පුද්ගලික දත්ත මාරු කිරීම් සියල්ල විගණනය කරන්න. 2025 සංශෝධනයේ නව නම්යශීලීත්වය සැලකිල්ලට ගනිමින් ක්ලවුඩ් සැපයුම්කරු තෝරාගැනීම් ඇගයීමට ලක් කරන්න. ප්රමාණවත්භාව තීරණයක් නොමැති රටවලට මාරු කිරීම් සඳහා, බැඳී පවතින සංස්ථා නීති හෝ සම්මත ගිවිසුම්ගත වගන්ති වැනි සුදුසු ආරක්ෂණයන් ක්රියාත්මක කරන්න.
දත්ත ආරක්ෂණ බලපෑම් තක්සේරු සිදු කරන්න
පුළුල් පරිමාණ පැතිකඩ නිර්මාණය, ක්රමානුකූල නිරීක්ෂණය, හෝ සංවේදී පුද්ගලික දත්ත ඇතුළත් සැකසීමේ ක්රියාකාරකම් සඳහා, දැන්ම DPIA සිදු කරන්න. බලාත්මක කිරීමේ පළමු දිනයේ සිටම අනුකූලතාව පෙන්විය හැකි වන පරිදි, අවදානම් හා අවම කිරීමේ පියවර ලේඛනගත කරන්න.
DPA හි මාර්ගෝපදේශ නිරීක්ෂණය කරන්න
DPA විසින්, DPMP, දත්ත ආරක්ෂණ නිලධාරි අවශ්යතා, උල්ලංඝන දැනුම්දීම, දත්ත වර්ගීකරණය සහ අංශ-විශේෂිත නීති පිළිබඳ මාර්ගෝපදේශ අවසන් කරමින් සිටී. DPA හි වෙබ් අඩවිය අනුගමනය කර, බලාත්මක කිරීමේ ආරම්භක දිනය නියම කරන අමාත්ය නියෝගය සම්බන්ධ ගැසට් නිවේදන දායක වන්න.
මෙම ලිපිය, ශ්රී ලංකාවේ දත්ත පෞද්ගලිකත්ව නීති පිළිබඳ සාමාන්ය තොරතුරු සපයන අතර, එය නෛතික උපදෙස් ලෙස නොසැලකිය යුතුය. දත්ත ආරක්ෂණ අවශ්යතා නිතර වෙනස් වන අතර, DPA නව මාර්ගෝපදේශ නිකුත් කරන විට බලාත්මක කිරීමේ ප්රමුඛතා විකාශනය වේ. ඔබේ තත්ත්වයට විශේෂිත උපදෙස් සඳහා, ශ්රී ලංකාවේ බලපත්රලාභී සුදුසුකම් ලත් නීතිඥවරයෙකුගෙන් උපදෙස් ලබා ගන්න.
Frequently Asked Questions
ශ්රී ලංකාවේ PDPA පනත දැනට බලාත්මකද?
නැත, සම්පූර්ණයෙන් නොවේ. දත්ත ආරක්ෂණ අධිකාරිය පිහිටුවීම හා එහි පරිපාලන කටයුතු පාලනය කරන PDPA පනතේ කොටස් 2023 සිට බලාත්මකව පවතී. දත්ත විෂයයන්ගේ අයිතිවාසිකම්, පාලක හා සකසන්නන්ගේ වගකීම් සහ බලාත්මක කිරීමේ දඬුවම් ආවරණය කරන මූලික විධිවිධාන තවම බලාත්මක වී නොමැත. 2025 ඔක්තෝබර් මාසයේ පනවන ලද 2025 අංක 22 දරන පුද්ගලික දත්ත ආරක්ෂණ (සංශෝධන) පනත මගින්, ස්ථාවර ක්රියාත්මක වීමේ සියලු දින ඉවත් කර, ගැසට් නියෝගයක් මගින් ක්රියාත්මක වීමේ දිනය නියම කිරීමේ අභිමතය අමාත්යවරයාට පවරන ලදී. 2026 මැයි වන විටත් එවැනි නියෝගයක් නිකුත් කර නොමැත. අලුතින් පත් වූ අධ්යක්ෂ ජනරාල් දිමුත් අටපත්තු යටතේ, DPA තම මාර්ගෝපදේශ සකස් කිරීම හා ක්රියාත්මක කිරීමේ සැලසුම් කිරීම සම්පූර්ණ කළ පසු පූර්ණ බලාත්මක කිරීම අපේක්ෂා කෙරේ.
ශ්රී ලංකා ආණ්ඩුක්රම ව්යවස්ථාව පෞද්ගලිකත්වය ආරක්ෂා කරයිද?
ප්රකටව නොවේ. ශ්රී ලංකාවේ 1978 ආණ්ඩුක්රම ව්යවස්ථාවේ මූලික අයිතිවාසිකම් පරිච්ඡේදයේ පෞද්ගලිකත්වය සඳහා ප්රකට අයිතියක් අන්තර්ගත වී නොමැත. 2015 ආණ්ඩුක්රම ව්යවස්ථා සංශෝධනය මගින්, රාජ්ය ආයතන සතු තොරතුරු ලබා ගැනීමේ අයිතිය සුරක්ෂිත කරන 14A වගන්තිය හඳුන්වා දෙන ලදී. 14A වගන්තිය පෞද්ගලිකත්වය පිළිගන්නේ එම ලබා ගැනීමේ අයිතියට විය හැකි සීමාවක් ලෙස පමණක් මිස, ස්වාධීන මූලික අයිතියක් ලෙස නොවේ. ශ්රී ලාංකික අධිකරණ, actio iniuriarum මූලධර්මය භාවිත කරමින්, ප්රධාන වශයෙන් නිවාස පෞද්ගලිකත්වය සම්බන්ධයෙන් පොදු නීතිය හරහා සීමිත පෞද්ගලිකත්ව ආරක්ෂණයන් පිළිගෙන ඇත. පුද්ගලික දත්ත ආරක්ෂණය සඳහා ප්රධාන නෛතික රාමුව සපයන්නේ PDPA පනතයි.
ශ්රී ලංකා PDPA පනත ශ්රී ලංකාවෙන් පිටත සමාගම්වලට අදාළද?
ඔව්. PDPA පනතට දේශසීමා ඉක්මවූ විෂය පථයක් ඇත. එය, ශ්රී ලංකාවේ පිහිටි පුද්ගලයන්ට භාණ්ඩ හෝ සේවා සපයන, හෝ ශ්රී ලංකාවේ දත්ත විෂයයන්ගේ හැසිරීම නිරීක්ෂණය කරන, ශ්රී ලංකාවෙන් පිටත ඕනෑම පාලකයෙකුට හෝ සකසන්නෙකුට අදාළ වේ. ශ්රී ලාංකික පාරිභෝගිකයන් හෝ පරිශීලකයන් සිටින විදේශීය සමාගම්, ඔවුන්ගේ මූලස්ථානය පිහිටා ඇති ස්ථානය කුමක් වුවත් PDPA පනතට අනුකූල විය යුතුය.
PDPA පනත උල්ලංඝනය කිරීම සඳහා දඬුවම් මොනවාද?
VII වන කොටසේ බලාත්මක කිරීමේ විධිවිධාන ක්රියාත්මක වූ පසු, දත්ත ආරක්ෂණ අධිකාරිය නිකුත් කරන නියෝගවලට අනුකූල නොවන ආයතන, අනුකූල නොවීමේ එක් සිද්ධියක් සඳහා රුපියල් මිලියන 10ක් (ආසන්න වශයෙන් ඇමරිකානු ඩොලර් 30,000ක්) දක්වා දඬුවම්වලට මුහුණ දිය හැක. පුනරාවර්තන උල්ලංඝනවලට, එක් එක් පසුකාලීන අවස්ථාවත් සමඟ දඬුවම දෙගුණ වේ. දත්ත සැකසීමේ භාවිතයන් වෙනස් කිරීමට හෝ නීතිවිරෝධී සැකසීමේ ක්රියාකාරකම් නවත්වා දැමීමට අවශ්ය කරන බැඳී පවතින අනුකූලතා නියෝගද DPA ට නිකුත් කළ හැක.
ශ්රී ලංකා PDPA පනත GDPR සමඟ සැසඳෙන්නේ කෙසේද?
PDPA පනත GDPR ආදර්ශයට සමීපව ගැලපෙන අතර, එහි ප්රධාන ව්යුහය බෙදාගනී: කැමැත්ත හා සැකසීම සඳහා අනෙකුත් නෛතික පදනම්, දත්ත විෂයයන්ගේ අයිතිවාසිකම් (ප්රවේශ වීම, නිවැරදි කිරීම, මකා දැමීම, සැකසීමට විරුද්ධ වීම, ස්වයංක්රීය තීරණ ගැනීමට විරුද්ධ වීම), පැය 72ක් ඇතුළත උල්ලංඝන දැනුම්දීම, දත්ත ආරක්ෂණ බලපෑම් තක්සේරු, සහ දත්ත ආරක්ෂණ නිලධාරි අවශ්යතා. ප්රධාන වෙනස්කම් අතරට, ආදායම් පදනම් කරගත් දඬුවම්වලට වඩා PDPA හි ස්ථාවර මූල්ය දඬුවම් සීමා, GDPR හි එක් දින දර්ශන මාසයකට සාපේක්ෂව විෂය ප්රවේශ ඉල්ලීම් සඳහා වැඩකරන දින 21ක ප්රතිචාර කාලසීමාව, සහ අඛණ්ඩව සිදුවෙමින් පවතින අදියරානුකූල ක්රියාත්මක කිරීමේ ප්රවේශය ඇතුළත් වේ. 2025 සංශෝධන පනත මගින් ක්ලවුඩ් පරිගණන නම්යශීලීත්වය සහ කෘත්රිම බුද්ධි පාලන විධිවිධාන එකතු කරන ලදී.
2025 අංක 22 දරන පුද්ගලික දත්ත ආරක්ෂණ (සංශෝධන) පනත යටතේ වෙනස් වූයේ කුමක්ද?
2025 ඔක්තෝබර් 21 වන දින පනවන ලද 2025 සංශෝධන පනත, සැලකිය යුතු වෙනස්කම් කිහිපයක් සිදු කළේය. වඩාත්ම වැදගත් වශයෙන්, එය PDPA පනතේ ඉතිරි කොටස් සඳහා ස්ථාවර නෛතික ක්රියාත්මක වීමේ දින සියල්ල ඉවත් කර, ඒ වෙනුවට ගැසට් නියෝගයක් මගින් බලාත්මක කිරීමේ දින නියම කිරීමේ අභිමතය අමාත්යවරයාට පැවරීය. එය, දත්ත සංවේදීතාව මත පදනම්ව ස්ථානික, ස්වෛරී හෝ පොදු ක්ලවුඩ් විකල්ප අතරින් තෝරා ගැනීමට ආයතනවලට ඉඩ සලසන ක්ලවුඩ් පරිගණන නම්යශීලීත්වයද හඳුන්වා දුන්නේය. එය කෘත්රිම බුද්ධිය හා ස්වයංක්රීය තීරණ ගැනීමේ ආරක්ෂණයන් පැහැදිලි කළ අතර, අංශ-විශේෂිත මාර්ගෝපදේශ නිකුත් කිරීමට DPA ට ඇති බලය පුළුල් කර, දේශසීමා තරණ දත්ත මාරු කිරීම් සඳහා බැඳී පවතින උපකරණ අවශ්ය කරමින් 26 වන වගන්තිය සංශෝධනය කළේය.
PDPA පනත යටතේ දත්ත ආරක්ෂණ නිලධාරියෙකු පත් කිරීම අවශ්ය වන්නේ කාටද?
පාලකයන් හා සකසන්නන්ගේ ප්රධාන ක්රියාකාරකම්, දත්ත විෂයයන් පුළුල් පරිමාණයෙන් නිරන්තර හා ක්රමානුකූලව නිරීක්ෂණය කිරීම, හෝ සංවේදී පුද්ගලික දත්තවල පුළුල් පරිමාණ සැකසීම වන අවස්ථාවලදී, දත්ත ආරක්ෂණ නිලධාරියෙකු පත් කිරීම PDPA පනත අවශ්ය කරයි. සම්බන්ධිත ආයතන සමූහයකට, එක් එක් ආයතනයට පහසුවෙන් ප්රවේශ විය හැකි බෙදාගත් දත්ත ආරක්ෂණ නිලධාරියෙකු පත් කළ හැකි අතර, රාජ්ය ආයතන කිහිපයකට එකම දත්ත ආරක්ෂණ නිලධාරියෙකු නම් කළ හැක. දත්ත ආරක්ෂණ නිලධාරි සුදුසුකම් හා පත් කිරීමේ ක්රියාපටිපාටි පිළිබඳ කෙටුම්පත් නියාමන මාර්ගෝපදේශයක් DPA විසින් පළ කර ඇත. නෛතික වශයෙන් දත්ත ආරක්ෂණ නිලධාරියෙකු පත් කිරීම අවශ්ය නොවන ආයතනවලටද, අනුකූලතා හොඳම භාවිතයක් ලෙස එසේ කිරීමට දිරිගැන්වේ.
Sources and References
- පුද්ගලික දත්ත ආරක්ෂණ පනත, අංක 9, 2022 - සම්පූර්ණ පාඨය(parliament.lk).gov
- ශ්රී ලංකා දත්ත ආරක්ෂණ අධිකාරිය - නිල වෙබ් අඩවිය(dpa.gov.lk).gov
- දත්ත ආරක්ෂණ අධිකාරිය - පසුබිම හා අදියරානුකූල ක්රියාත්මක කිරීමේ දින(dpa.gov.lk).gov
- දත්ත ආරක්ෂණ නිලධාරි පත් කිරීම පිළිබඳ DPA කෙටුම්පත් රෙගුලාසි(dpa.gov.lk).gov
- පුද්ගලික දත්ත ආරක්ෂණ (සංශෝධන) පනත, අංක 22, 2025 - ශ්රී ලංකා පාර්ලිමේන්තුව(parliament.lk).gov
- ඩිජිටල් ආර්ථික අමාත්යාංශය - දත්ත ආරක්ෂණ අධිකාරිය පිළිබඳ විස්තර(mode.gov.lk).gov
- ICTA - දත්ත ආරක්ෂණ නීති පිළිබඳ දළ විශ්ලේෂණය(icta.lk).gov
- මූල්ය පාරිභෝගික ආරක්ෂණ රෙගුලාසි, අංක 1, 2023 - ශ්රී ලංකා මහ බැංකුව(cbsl.gov.lk).gov
- දිමුත් අටපත්තු දත්ත ආරක්ෂණ අධිකාරියේ අධ්යක්ෂ ජනරාල් ලෙස පත් කිරීම(newswire.lk)
- PDPA පනත සඳහා නව බලාත්මක කිරීමේ දිනයක් 2026 අප්රේල් වන විට අපේක්ෂිතයි - The Morning(themorning.lk)
- ශ්රී ලංකා PDPA සංශෝධන 2025 නොවැම්බර් - Biometric Update(biometricupdate.com)
- DLA Piper - ශ්රී ලංකාවේ දත්ත ආරක්ෂණ නීති(dlapiperdataprotection.com)
- විකිපීඩියා - පුද්ගලික දත්ත ආරක්ෂණ පනත (ශ්රී ලංකාව)(en.wikipedia.org)
- මූල්ය පාරිභෝගික ආරක්ෂණ රෙගුලාසි, අංක 1, 2023 - ශ්රී ලංකා මහ බැංකුව(cbsl.gov.lk).gov