Кіраўніцтва па захаванні згоды на cookie па папраўцы да PDPA Малайзіі 2024 года для выдаўцоў у 2026 годзе
Закон Малайзіі аб абароне персанальных даных 2010 года быў, калі ўступіў у сілу ў 2013 годзе, адным з ранніх усеабдымных законаў аб прыватнасці ў Паўднёва-Усходняй Азіі. На працягу першага дзесяцігоддзя аперацыйны стандарт быў адносна лёгкім: Дэпартамент абароны персанальных даных (JPDP, цяпер PDP) вёў актыўны рэжым рэгістрацыі для карыстальнікаў даных у сямі ахопленых класах дзейнасці, але праваахова ў адносінах да агульных анлайн-аператараў была ўмеранай, а стандарт згоды шырока інтэрпрэтаваўся як дазвальны. Закон аб папраўцы 2024 года, які атрымаў каралеўскае адабрэнне ў кастрычніку 2024 года і паэтапна ўступіў у сілу на працягу 2025 года, істотна змяніў гэту пазіцыю. Папраўка ўвяла абавязковых супрацоўнікаў па абароне даных для кантралёраў вышэй парогаў, абавязковае паведамленне аб парушэннях на працягу 72 гадзін, права на пераноснасць даных, перайменаванага рэгулятара з больш выразным праваахоўным паўнамоцтвам і пацвердзіла патрабаванні трансгранічнай перадачы, што былі неадназначна рэалізаваны па арыгінальным Законе. Для выдаўцоў і аператараў SaaS, што абслугоўваюць малайзійскі трафік — рынак, які ўключае адну з найбольш актыўных фінтэх- і лічбавых эканамічных экасістэм у АСЕАН — змянёны PDPA прадстаўляе значны аперацыйны зрух. Гэта кіраўніцтва разбірае, што змянілася ў 2024 годзе, як PDP інтэрпрэтаваў змянёны стандарт згоды для анлайн-адсочвання і на чым павінна засяродзіцца практычная работа па захаванні.
PDPA ў 2026 годзе — пост-папраўчы контур
Змянёны PDPA працягвае быць структураваным вакол сямі прынцыпаў у раздзеле 5: Агульны, Паведамленне і Выбар, Раскрыццё, Бяспека, Захоўванне, Цэласнасць даных і Доступ. Прынцып Паведамлення і Выбару ў раздзеле 7 найбольш значны для згоды на cookie, патрабуючы ад карыстальнікаў даных прадастаўляць пісьмовае паведамленне на англійскай і малайскай мовах і атрымліваць згоду (ці спадзявацца на альтэрнатыўную падставу ў раздзеле 6) да апрацоўкі.
Тры структурныя змены з папраўкі 2024 года маюць аперацыйнае значэнне для анлайн-выдаўцоў. Па-першае, перайменаваны Дэпартамент абароны персанальных даных цяпер мае яўнае паўнамоцтва накладаць адміністрацыйныя штрафы, прывязаныя да працэнта гадавога даходу, замяняючы стары рэжым фіксаваных штрафаў. Па-другое, абавязковае прызначэнне DPO па раздзеле 12A прымяняецца да кантралёраў вышэй вызначаных парогаў — большасць выдаўцоў з рэкламнай падтрымкай і аператараў SaaS перасякаюць гэтыя парогі. Па-трэцяе, новы раздзел 12B патрабуе паведамлення аб парушэнні PDP на працягу 72 гадзін з моманту дасведчанасці, з паведамленнем закранутых суб'ектаў даных, калі верагодны значны ўрон.
Як змянёны PDPA абыходзіцца з cookie і анлайн-адсочваннем
PDPA не змяшчае спецыфічнага для cookie палажэння. Абавязацельствы па згодзе і інфармаванні вынікаюць з раздзелаў 5, 6 і 7 Закона і з Кансультацыйнага дакумента PDP 2025 года аб анлайн-адсочванні, які сфармуляваў пост-папраўчыя чаканні рэгулятара ў адносінах да банераў cookie і паводніцкай рэкламы. Чатыры пункты маюць найбольшы аперацыйны ўплыў.
Сцвярджальная згода для несуттёвага адсочвання
Кансультацыйны дакумент 2025 года адхіліў падразумеваную згоду, працяг выкарыстання і загадзя адзначаныя сцяжкі як не адпаведныя Прынцыпу Паведамлення і Выбару пры інтэрпрэтацыі ў анлайн-кантэксце. Яўнае сцвярджальнае дзеянне патрабуецца для несуттёвых cookie, прыводзячы малайзійскую практыку ў адпаведнасць з пазіцыяй Мэтавай групы EDPB па банерах cookie.
Патрабаванне двухмоўнага паведамлення
Раздзел 7(3) патрабуе, каб паведамленне аб прыватнасці і механізм згоды былі даступны на англійскай і малайскай мовах. Гэта была асаблівасць арыгінальнага Закона, якую папраўка пацвердзіла; PDP усё больш яўна паказваў, што аднамоўныя англійскія банеры не задавальняюць патрабаванне для аўдыторый, што абслугоўваюць малайзійскіх рэзідэнтаў.
Гранулярны кантроль катэгорый
Кансультацыйны дакумент чакае, што банеры дазволяць карыстальніку прымаць і адхіляць катэгорыі незалежна. Аднакнопачнае прыняцце ўсяго без гранулярнасці разглядаецца як дэфект па тлумачэнні прапарцыянальнасці раздзела 5(c) (збор не павінен быць «празмерным»).
Трансгранічная перадача (раздзел 129)
Раздзел 129 арыгінальнага PDPA патрабаваў, каб трансгранічныя перадачы былі атрымальніку ў «занесенай у белы спіс» краіне (спіс, які міністр павінен быў весці, але ніколі эфектыўна не публікаваў). Папраўка 2024 года замяняе гэта больш рабочым асяроддзем: перадачы могуць ажыццяўляцца ў юрысдыкцыі з супастаўнай абаронай, ці пры належных дагаворных гарантыях, ці з яўнай згодай. PDP выпусціў мадэльныя дагаворныя палажэнні, аналагічныя SCC ЕС.
Праваахоўная пазіцыя PDP у 2026 годзе
Пост-папраўчая пазіцыя Дэпартамента абароны персанальных даных адрозніваецца ад яго да-папраўчага падыходу трыма назіральнымі спосабамі.
Актыўныя сектаральныя праверкі
PDP прыярытызаваў сектары фінтэху, электроннай камерцыі і лічбавага крэдытавання для праактыўных праверак з моманту ўступлення папраўкі ў сілу. Гэтыя праверкі звычайна пачынаюцца з рэгістрацыйнага аўдыту і перарастаюць у больш шырокую інспекцыю, калі рэгістрацыя неактуальная.
Больш гучныя штрафы
Новы рэжым адміністрацыйных штрафаў вырабіў больш буйныя і публічна прыкметныя штрафы, чым старая мадэль фіксаваных штрафаў. Некалькі тэлекам- і фінтэх-аператараў атрымалі васьмізначныя штрафы ў рынгітах у 2025 годзе, што PDP выкарыстаў, каб данесці, што папраўка мае рэальныя зубы.
Рэгулятарная каардынацыя АСЕАН
PDP удзельнічае ў працоўным патоку Рамак кіравання данымі АСЕАН і каардынуецца з PDPC Сінгапура, PDPC Тайланда і NPC Філіпін. Трансгранічныя расследаванні, што закранаюць малайзійскі і іншы трафік АСЕАН, усё часцей апрацоўваюцца праз скаардынаваныя працэдуры.
Практычны чэк-ліст захавання
Шэсць канкрэтных пытанняў, на якія трэба адказаць для любога банера cookie, што абслугоўвае малайзійскі трафік.
- Ці зарэгістраваны кантралёр у PDP? Калі апрацоўка трапляе ў ахоплены клас, пацвердзіце, што рэгістрацыя актуальная. Папраўка 2024 года пашырыла практычны аб'ём рэгістрацыі.
- Ці прызначаны DPO? Раздзел 12A патрабуе прызначэння вышэй парогаў. Пацвердзіце, што прызначэнне задакументавана і кантактныя даныя DPO апублікаваны ў паведамленні аб прыватнасці.
- Ці двухмоўнае паведамленне? Англійская і малайская мовы абедзве патрабуюцца па раздзеле 7(3).
- Ці ёсць яўная адмова на першым слоі? Шлях адмовы павінен знаходзіцца на той жа паверхні, што і прыняцце. Пракрутка-як-згода не праходзіць Кансультацыйны дакумент 2025 года.
- Ці задакументаваны трансгранічныя перадачы? Вызначце кожны немалайзійскі пункт прызначэння і механізм раздзела 129, што аўтарызуе перадачу.
- Ці падключаны адказ на парушэнні? Пацвердзіце, што звязаныя з cookie інцыдэнты запускаюць працоўны працэс паведамлення раздзела 12B з 72-гадзінным адлікам з моманту дасведчанасці.
Дзе Малайзія ўпісваецца ў шматюрысдыкцыйны стэк
Малайзія — адзін з чатырох найбольш аперацыйна значных рэжымаў абароны даных АСЕАН разам з Сінгапурам, Тайландам і Філіпінамі. Папраўка 2024 года закрыла большую частку разрыву паміж арыгінальным PDPA і GDPR, што азначае, што архітэктура CMP, пабудаваная па еўрапейскіх стандартах, цяпер апрацоўвае асноўную масу малайзійскага захавання з трыма канкрэтнымі дадаткамі: двухмоўны (англійскі + малайскі) банер і паведамленне, рэгістрацыя PDP, дзе прымяняюцца парогі ахопленага класа, і працоўны працэс паведамлення аб парушэннях раздзела 12B з яго 72-гадзінным адлікам. Для выдаўцоў, што будуюць да пан-АСЕАН-аперацый, пост-папраўчы PDPA — значны шаблон — новыя рэгіянальныя законы, верагодна, будуць абапірацца на яго структуру — а аперацыйныя дадаткі выканальныя па-над ужо разгорнутым стэкам згоды еўрапейскага ўзроўню.