Ръководство за съответствие с изискванията за бисквитки по изменението на Malaysia PDPA от 2024 г. за издатели през 2026 г.

Малайзийският Закон за защита на личните данни от 2010 г., когато влезе в сила през 2013 г., беше един от по-ранните всеобхватни статути за поверителност в Югоизточна Азия. В продължение на първото десетилетие оперативният стандарт беше сравнително лек: Personal Data Protection Department (JPDP, сега PDP) поддържаше активен режим на регистрация на потребителите на данни в седем обхванати класа дейности, но прилагането срещу общите онлайн оператори беше умерено, а стандартът за съгласие се тълкуваше широко като разрешителен. Законът за изменение от 2024 г., получил Royal Assent в October 2024 и влязъл в сила на етапи през 2025 г., промени съществено тази позиция. Изменението въведе задължителни длъжностни лица по защита на данните за администратори над прагове, задължително уведомяване за нарушения в рамките на 72 часа, право на преносимост на данните, преименуван регулатор с по-остри правомощия за прилагане и потвърди изискванията за трансгранично предаване, които бяха двусмислено прилагани по оригиналния Закон. За издателите и SaaS операторите, обслужващи малайзийски трафик — пазар, включващ една от най-активните финтех и цифрови икономически екосистеми в ASEAN — изменената PDPA представлява значима оперативна промяна. Настоящото ръководство разглежда какво се е променило през 2024 г., как PDP е тълкувал изменения стандарт за съгласие за онлайн проследяване и къде трябва да бъде насочена практическата работа по съответствие.

PDPA през 2026 г. — Контури след изменението

Изменената PDPA продължава да е структурирана около седем принципа в Section 5: Общ, Уведомяване и избор, Разкриване, Сигурност, Съхранение, Интегритет на данните и Достъп. Принципът за уведомяване и избор в Section 7 е най-съществен за съгласието за бисквитки, изисквайки от потребителите на данни да предоставят писмено уведомление на английски и на Bahasa Malaysia и да получат съгласие (или да разчитат на алтернативно основание в Section 6) преди обработката.

Три структурни промени от изменението от 2024 г. имат оперативно значение за онлайн издателите. Първо, преименуваният Personal Data Protection Department разполага сега с изрично правомощие да налага административни санкции, обвързани с процент от годишния приход, заменяйки по-стария режим на фиксирани глоби. Второ, задължителното назначаване на DPO съгласно Section 12A се прилага за администратори над определени прагове — повечето издатели, финансирани с реклами, и SaaS оператори надвишават тези прагове. Трето, новата Section 12B изисква уведомяване на PDP за нарушение в рамките на 72 часа от узнаването, като уведомяването на засегнатите субекти на данни се изисква, когато значителна вреда е вероятна.

Как изменената PDPA третира бисквитките и онлайн проследяването

PDPA не съдържа конкретна разпоредба за бисквитките. Задълженията за съгласие и информация произтичат от Sections 5, 6 и 7 на Закона и от 2025 Public Consultation Paper on Online Tracking на PDP, което формулира очакванията на регулатора след изменението по отношение на банери за бисквитки и поведенческа реклама. Четири точки имат най-голямо оперативно въздействие.

Потвърдително съгласие за несъществено проследяване

Консултационният документ от 2025 г. отхвърли подразбиращото се съгласие, продължаването на използването и предварително отметнатите полета като неудовлетворяващи Принципа за уведомяване и избор, когато се тълкуват в онлайн контекст. Изисква се изрично потвърдително действие за несъществени бисквитки, привеждайки малайзийската практика в съответствие с позицията на EDPB Cookie Banner Taskforce.

Изискване за двуезично уведомление

Section 7(3) изисква уведомлението за поверителност и механизмът за съгласие да са достъпни на английски и на Bahasa Malaysia. Това беше характеристика на оригиналния Закон, потвърдена от изменението; PDP е все по-категоричен, че едноезичните английски банери не удовлетворяват изискването за аудитории, обслужващи малайзийски жители.

Детайлни контроли на категориите

Консултационният документ очаква банерите да позволяват на потребителя да приема и отхвърля категории независимо. Банерът с единичен бутон за приемане на всички без детайлизация се третира като недостатък при пропорционалното тълкуване на Section 5(c) (събирането не трябва да е „прекомерно").

Трансгранично предаване (Section 129)

Section 129 на оригиналната PDPA изискваше трансграничните предавания да бъдат към получател в „одобрена" страна (списък, който Министърът трябваше да поддържа, но никога ефективно не публикува). Изменението от 2024 г. го заменя с по-приложима рамка: предаванията могат да продължат към юрисдикции със сравнима защита, или при подходящи договорни гаранции, или с изрично съгласие. PDP е издал типови договорни клаузи, подобни на EU SCCs.

Позицията на PDP по прилагане през 2026 г.

Позицията на Personal Data Protection Department след изменението се различава от подхода преди него по три наблюдаеми начина.

Активни секторни проверки

PDP е приоритизирал финтех, електронна търговия и секторите за цифрово кредитиране за проактивни проверки след влизането в сила на изменението. Тези проверки обикновено започват с одит на регистрацията и ескалират до по-широка инспекция, ако регистрацията не е актуална.

По-видими глоби

Новият режим на административни санкции е произвел по-големи и по-публично видими глоби от по-стария модел на фиксирани глоби. Няколко телеком и финтех оператора получиха осемцифрени глоби в рингит през 2025 г., които PDP използва, за да покаже, че изменението има реална сила.

Регулаторна координация в ASEAN

PDP участва в работния поток на ASEAN Data Management Framework и координира с PDPC на Сингапур, PDPC на Тайланд и NPC на Филипините. Трансгранични разследвания, включващи малайзийски и друг трафик от ASEAN, все по-често се обработват чрез координирани процедури.

Практически контролен списък за съответствие

Шест конкретни въпроса, на които трябва да се отговори за всеки банер за бисквитки, обслужващ малайзийски трафик.

Мястото на Малайзия в многоюрисдикционен стек

Малайзия е един от четирите оперативно най-важни режима за защита на данните в ASEAN, заедно със Сингапур, Тайланд и Филипините. Изменението от 2024 г. затвори по-голямата част от разликата между оригиналната PDPA и GDPR, което означава, че CMP архитектура, изградена по европейски стандарти, вече обхваща основната част от малайзийското съответствие с три специфични допълнения: двуезичен (английски + Bahasa Malaysia) банер и уведомление, регистрация в PDP там, където се прилагат праговете за обхванати категории, и работен поток за уведомяване за нарушения по Section 12B с 72-часов срок. За издатели, насочени към общо-ASEAN операции, изменената PDPA е значим шаблон — по-новите регионални закони вероятно ще се вдъхновяват от нейната структура — и оперативните допълнения са постижими върху вече внедрен стек за съгласие от европейски клас.

← Блaderegistrdelays delays Прочети всичко →