පෞද්ගලික දත්ත ආරක්ෂණයේ ස්වර්ණමය නීති:  

2022 අංක 9 දරන පෞද්ගලික දත්ත ආරක්ෂණ පනත (DPA) සහ එහි 2025 වැදගත් සංශෝධන , හුදු නීතිමය ලියවිල්ලක් පමණක් නොවේ. එය ශ්‍රී ලංකාවේ ඩිජිටල් ආර්ථිකයේ "ක්‍රීඩාවේ නීති" (rulebook) අලුතින් ලියන ලද අවස්ථාවකි.  ව්‍යාපාරික හිමිකරුවන්, වාණිජ මණ්ඩල සහ තොරතුරු තාක්ෂණ ප්‍රතිපත්ති සම්පාදකයින් ඇතුළු සියලු දෙනා සඳහා මෙය තීරණාත්මක සන්ධිස්ථානයකි.   

දුර්වල දත්ත කළමනාකරණ පිළිවෙත්, ආයතනයක කීර්ති නාමයට මෙන්ම මූල්‍ය ස්ථාවරත්වයට ද දැඩි ලෙස හානි කළ හැකිය. ශ්‍රී ලංකා DPA පනත මෙම අවදානම තියුණු ලෙස ඉස්මතු කරයි. දත්ත ආරක්ෂණ අධිකාරියට එක් නොගැලපීමක් සඳහා  දඩ පැනවීමට නීතිමය බලය ලබා දී ඇත. 

කෙසේ වෙතත්, DPA පනත දෙස හුදු අවදානමක් ලෙස බැලීම උපායමාර්ගික වරදකි. යථාර්ථය නම්, "ස්ථිර දත්ත පෞද්ගලිකත්ව පිළිවෙත් මගින් පාරිභෝගික විශ්වාසය, ආයතනික ආරක්ෂාව සහ ව්‍යාපාරික සාර්ථකත්වය" තහවුරු වන බවයි. මෙම පනත යනු එම විශ්වාසය ගොඩනැගීම සඳහා ඔබට ලැබී ඇති රාමුවයි.  

"දත්ත පාලකයා" (Controller) - එනම්, දත්ත සැකසීමේ අරමුණු සහ ක්‍රමවේද තීරණය කරන ව්‍යාපාරය හෝ ආයතනය - පනතට අනුකූල වීම සම්බන්ධයෙන් පූර්ණ වගකීම දැරිය යුතුය.  ඔබගේ මූලික යුතුකම වන්නේ "දත්ත ආරක්ෂණ කළමනාකරණ වැඩසටහනක්" (Data Protection Management Programme) ක්‍රියාත්මක කිරීමයි . මෙය හුදු ප්‍රතිපත්ති ලේඛනයක් නොවේ; එය ඔබ නීතියට අනුකූල බව ඔප්පු කරන, විගණනය කළ හැකි, අභ්‍යන්තර පාලන, වාර්තා සහ ක්‍රියා පටිපාටිවල එකතුවකි. අධිකාරිය ඔබෙන් "ඔබ දත්ත ආරක්ෂා කරන්නේ කෙසේද?" යැයි විමසූ විට, ඔබේ පිළිතුර විය යුත්තේ මෙම වැඩසටහනයි.   

"සමහර විට අවශ්‍ය වේ යැයි" සිතා ඔබට පෞද්ගලික දත්ත රැස් කළ නොහැක. ඔබ එකතු කරන සෑම දත්තයක්ම "නිශ්චිත, පැහැදිලි සහ නීත්‍යානුකූල අරමුණක්" සඳහාම විය යුතුය (6 වන වගන්තිය) . තවද, එම දත්ත සැකසීම සඳහා I වන උපලේඛනයේ (Schedule I) දක්වා ඇති නීත්‍යානුකූල පදනමක් (උදා: දත්ත හිමියාගේ පැහැදිලි කැමැත්ත, ගිවිසුමක් ඉටු කිරීම) ඔබට තිබිය යුතුය.    ඔබ භාණ්ඩයක් බෙදා හැරීම සඳහා පාරිභෝගිකයෙකුගේ ජාතික හැඳුනුම්පත් අංකය ලබා ගත්තේ නම්, වෙනම නීත්‍යානුකූල පදනමක් නොමැතිව එම දත්ත අලෙවිකරණ කටයුතු සඳහා පසුව භාවිතා කළ නොහැක. ඔබගේ නීතිමය සීමාව ඔබගේ අරමුණයි.  

3. විනිවිදභාවය අත්‍යවශ්‍ය සාධකයකි 

DPA පනත (11 වන වගන්තිය) ඔබට නියම කරන්නේ දත්ත හිමියන්ට තොරතුරු "සංක්ෂිප්ත, විනිවිදභාවයෙන් යුත්, තේරුම් ගත හැකි සහ පහසුවෙන් ප්‍රවේශ විය හැකි ආකාරයකින්" ලබා දිය යුතු බවයි.    මෙය අතීතයේ අප දුටු පිටු 40ක නීතිමය වචනවලින් පිරවූ පෞද්ගලිකත්ව ප්‍රතිපත්ති සඳහා වූ සෘජු අභියෝගයකි. "දත්ත විනිවිදභාවය මගින් ආයතනවලට නීතිවලට අනුකූලව සිටීමට හැකි වේ." ඔබ සතුව ඇති දත්ත මොනවාද, ඒවා ඇත්තේ ඇයි, සහ ඔබ ඒවා බෙදාගන්නේ කවුරුන් සමඟද යන්න දැන ගැනීමට ඔබේ පාරිභෝගිකයින්ට අයිතියක් ඇත .   

DPA පනත මගින් පුද්ගලයන්ට තම දත්ත වෙත ප්‍රවේශ වීමට (13 වන වගන්තිය) , ඒවා නිවැරදි කිරීමට (15 වන වගන්තිය) , සහ බොහෝ අවස්ථාවලදී ඒවා මකා දැමීමට ඉල්ලීමට (16 වන වගන්තිය) ප්‍රබල අයිතිවාසිකම් ලබා දී ඇත.  2025 (සංශෝධන) පනත මෙය තීරණාත්මක පාරිභෝගික සේවා කාරණයක් බවට පත් කර ඇත. එමගින් නියම කර ඇත්තේ ඔබ මෙම ඉල්ලීම් බොහොමයක් "ගාස්තු රහිතව" සහ නව, දැඩි මාසයක කාල සීමාවක් තුළ ඉටු කළ යුතු බවයි. ව්‍යාපාර විසින් මෙම ඉල්ලීම් කාර්යක්ෂමව හැසිරවීම සඳහා ක්‍රියාවලි දැන්ම සකස් කළ යුතුය.     

"සුදුසු තාක්ෂණික සහ ආයතනික ක්‍රම" (10 වන වගන්තිය) භාවිතා කරමින් පෞද්ගලික දත්තවල "අඛණ්ඩතාව සහ රහස්‍යභාවය" සහතික කිරීම ඔබේ නීතිමය වගකීමයි. දත්ත ගුප්තකේතනය (encryption), ව්‍යාජ නාමකරණය (pseudonymisation) සහ ප්‍රවේශ පාලනය (access controls) වැනි ක්‍රියාමාර්ග මෙයට ඇතුළත් වේ.  මෙම නීතිය ඔබගේ "මානව ආරක්ෂක පවුර" ද ආවරණය කරයි. බොහෝ ආයතන දත්ත ආරක්ෂණ නිලධාරියෙකු (DPO) පත් කළ යුතුය.  කුඩා හා මධ්‍ය පරිමාණ ව්‍යවසායකයින්ට සහ වාණිජ මණ්ඩලවලට 2025 සංශෝධනය මගින් වැදගත් නම්‍යශීලී බවක් ලබා දී ඇත: DPO යනු "සෘජුව සේවයේ නියුක්ත නොවන තෙවන පාර්ශවයක්" විය හැකි බව පැහැදිලි කිරීම, "සේවාවක් ලෙස DPO" (DPO as a Service) වැනි පිරිවැය-ඵලදායී ආකෘති සඳහා දොරටු විවෘත කරයි.  

6. ඔබේ සැපයුම්කරුවන් ද ඔබගේ වගකීමකි 

ඔබේ වගකීම ඔබේ කාර්යාල දොරකඩින් අවසන් නොවේ. ඔබ දත්ත හැසිරවීම සඳහා 'Cloud' සපයන්නෙකු, මෘදුකාංග සංවර්ධකයෙකු, හෝ අලෙවිකරණ ආයතනයක් (එනම් "සකසන්නෙක්" - Processor) භාවිතා කරන්නේ නම්, එම දත්ත සඳහා තවමත් වගකීමට සිදුවන්නේ ඔබටය.  DPA පනත (21 වන වගන්තිය) නියම කරන්නේ පනතේ අවශ්‍යතා සපුරාලිය හැකි බවට "සහතිකයක්" ලබා දිය හැකි සකසන්නන් පමණක් ඔබ භාවිතා කළ යුතු බවයි. ඔබට ඔවුන් සමඟ නීත්‍යානුකූලව බැඳී පවතින ගිවිසුමක් තිබිය යුතුය. ඔබේ සැපයුම්කරු දත්ත කඩවීමක් සිදු කළහොත්, නීත්‍යානුකූලව එය ඔබගේ දත්ත කඩවීමකි.