Malaysia PDPA 2024-ændringslov: Compliance-guide til cookie-samtykke for udgivere i 2026

Malaysias persondatabeskyttelseslov fra 2010 var, da den trådte i kraft i 2013, en af de tidligste omfattende privatlivslovgivninger i Sydøstasien. I det første årti var den operationelle standard relativt let: Personal Data Protection Department (JPDP, nu PDP) drev et aktivt registreringsregime for dataudnyttere inden for syv dækkede aktivitetskategorier, men håndhævelsen over for generelle onlineoperatører var beskeden, og samtykkestandardet blev bredt fortolket som tilladende. Ændringsloven fra 2024, som modtog Royal Assent i October 2024 og trådte i kraft i etaper gennem 2025, ændrede dette grundlæggende. Ændringen indførte obligatoriske databeskyttelsesrådgivere for dataansvarlige over tærskelværdier, obligatorisk brudmeddelelse inden for 72 timer, retten til dataportabilitet, en omdøbt regulator med skarpere håndhævelsesbeføjelser og bekræftede krav til grænseoverskridende overførsler, som var blevet implementeret tvetydigt under den oprindelige lov. For udgivere og SaaS-operatører, der betjener malaysisk trafik — et marked der inkluderer et af de mest aktive fintech- og digitaløkonomiske økosystemer i ASEAN — repræsenterer den ændrede PDPA et meningsfuldt operationelt skift. Denne guide gennemgår, hvad der ændrede sig i 2024, hvordan PDP har fortolket den ændrede samtykkestdandard for onlinesporing, og hvor det praktiske compliance-arbejde skal fokusere.

PDPA i 2026 — Overblik efter ændringen

Den ændrede PDPA er fortsat struktureret omkring syv principper i Section 5: Generelt, Meddelelse og valg, Videregivelse, Sikkerhed, Opbevaring, Dataintegritet og Adgang. Princippet om meddelelse og valg i Section 7 er mest afgørende for cookie-samtykke og kræver, at dataudnyttere giver skriftlig meddelelse på både engelsk og Bahasa Malaysia og opnår samtykke (eller støtter sig på et alternativt grundlag i Section 6) inden behandling.

Tre strukturelle ændringer fra 2024-ændringen er operationelt vigtige for onlineudgivere. For det første har det omdøbte Personal Data Protection Department nu udtrykkelig autoritet til at pålægge administrative sanktioner bundet til en procentdel af den årlige omsætning, hvilket erstatter det ældre faste bøderegime. For det andet gælder obligatorisk DPO-udpegning i henhold til Section 12A for dataansvarlige over definerede tærskler — de fleste reklamesupporterede udgivere og SaaS-operatører overskrider disse tærskler. For det tredje kræver den nye Section 12B brudmeddelelse til PDP inden for 72 timer fra kendskab, hvor meddelelse til berørte registrerede er påkrævet, når betydelig skade er sandsynlig.

Hvordan den ændrede PDPA behandler cookies og onlinesporing

PDPA indeholder ikke en cookiespecifik bestemmelse. Samtykke- og informationsforpligtelserne udspringer af lovens Sections 5, 6 og 7 og af PDP's 2025 Public Consultation Paper on Online Tracking, som formulerede regulatorens forventninger efter ændringen til cookie-bannere og adfærdsbaseret annoncering. Fire punkter har den største operationelle indvirkning.

Bekræftende samtykke til ikke-essentiel sporing

Høringsdokumentet fra 2025 afviste underforstået samtykke, fortsat brug og forudfyldte afkrydsningsfelter som manglende opfyldelse af princippet om meddelelse og valg, når det fortolkes i onlinekontekst. Der kræves en eksplicit bekræftende handling for ikke-essentielle cookies, hvilket bringer malaysisk praksis på linje med EDPB Cookie Banner Taskforce-positionen.

Krav om tosproget meddelelse

Section 7(3) kræver, at fortrolighedsmeddelelsen og samtykkemekanismen er tilgængelig på både engelsk og Bahasa Malaysia. Dette var et træk ved den oprindelige lov, som ændringen bekræftede; PDP er i stigende grad eksplicit om, at ensprogede engelske bannere ikke opfylder kravet for målgrupper, der betjener malaysiske beboere.

Granulære kategorikontroller

Høringsdokumentet forventer, at bannere giver brugeren mulighed for at acceptere og afvise kategorier uafhængigt. Et enkeltknap-accepter-alt-banner uden granularitet behandles som en defekt under proportionalitetslæsningen af Section 5(c) (indsamling må ikke være "overdreven").

Grænseoverskridende overførsler (Section 129)

Den oprindelige PDPA's Section 129 krævede, at grænseoverskridende overførsler gik til en modtager i et "hvidlistet" land (en liste, som ministeren skulle vedligeholde, men aldrig effektivt offentliggjorde). 2024-ændringen erstatter dette med et mere anvendeligt rammeværk: overførsler kan fortsætte til jurisdiktioner med sammenlignelig beskyttelse, eller under passende kontraktuelle garantier, eller med eksplicit samtykke. PDP har udstedt modelkontraktuelle klausuler svarende til EU SCCs.

PDP's håndhævelsesposition i 2026

Personal Data Protection Department's position efter ændringen adskiller sig fra tilgangen før ændringen på tre observerbare måder.

Aktive sektorielle kontrolrunder

PDP har prioriteret fintech, e-handel og digitale lånssektorer for proaktive kontrolrunder siden ændringen trådte i kraft. Disse kontrolrunder begynder typisk med en registreringsrevision og eskalerer til en bredere inspektion, hvis registreringen ikke er opdateret.

Højprofilerede bøder

Det nye administrative sanktionsregime har produceret større og mere offentligt synlige bøder end den ældre faste bødemodel. Adskillige tele- og fintech-operatører modtog ottecifrede ringgit-bøder i 2025, som PDP har brugt til at signalere, at ændringen har reelle konsekvenser.

ASEAN regulatorisk koordinering

PDP deltager i ASEAN Data Management Framework-arbejdsstrømmen og koordinerer med Singapores PDPC, Thailands PDPC og Filippinernes NPC. Grænseoverskridende undersøgelser, der involverer malaysisk og anden ASEAN-trafik, håndteres i stigende grad gennem koordinerede procedurer.

En praktisk compliance-tjekliste

Seks konkrete spørgsmål, der skal besvares for ethvert cookie-banner, der betjener malaysisk trafik.

Malaysias plads i en multijurisdiktionsstabel

Malaysia er et af de fire mest operationelt konsekvensrige databeskyttelsesregimer i ASEAN ved siden af Singapore, Thailand og Filippinerne. 2024-ændringen lukkede det meste af kløften mellem den oprindelige PDPA og GDPR, hvilket betyder, at en CMP-arkitektur bygget til europæiske standarder nu håndterer størstedelen af malaysisk compliance med tre specifikke tilføjelser: tosproget (engelsk + Bahasa Malaysia) banner og meddelelse, PDP-registrering, hvor dækkede-kategori-tærsklerne gælder, og Section 12B-brudmeddelelsesworkflowet med dets 72-timers ur. For udgivere, der bygger mod pan-ASEAN-operationer, er den ændrede PDPA en meningsfuld skabelon — nyere regionale love trækker sandsynligvis på dens struktur — og de operationelle tilføjelser er håndterbare oven på en allerede installeret europæisk-klasse samtykkestabel.

← Blog Læs alt →