Malesian PDPA 2024 -muutoksen evästeiden suostumusten vaatimustenmukaisuusopas julkaisijoille vuonna 2026

Malesian henkilötietosuojalaki 2010 oli vuonna 2013 voimaan tullessaan yksi Kaakkois-Aasian varhaisimmista kattavista tietosuojalaeista. Ensimmäisellä vuosikymmenellä toimintastandardi oli suhteellisen kevyt: Personal Data Protection Department (JPDP, nykyisin PDP) ylläpiti aktiivista rekisteröintijärjestelmää tietojen käyttäjille seitsemässä katetussa toimintaкатегoria-ryhmässä, mutta yleisten verkko-operaattorien valvonta oli vaatimatonta ja suostumusstandardi tulkittiin laajalti sallivaksi. 2024 Amendment Act, joka sai Royal Assent in October 2024 ja tuli voimaan vaiheistettuna vuonna 2025, muutti tätä asennetta merkittävästi. Muutos esitteli pakolliset tietosuojavastaavat kynnysarvot ylittäville rekisterinpitäjille, pakollisen tietomurtoilmoituksen 72 tunnin kuluessa, oikeuden tietojen siirrettävyyteen, uudelleennimetyn sääntelyviranomaisen terävöitetyin täytäntöönpanovaltuuksin sekä vahvisti rajat ylittävät siirtovaatimukset, jotka oli toteutettu epäselvästi alkuperäisen lain nojalla. Malesian liikennettä palveleville julkaisijoille ja SaaS-operaattoreille — markkinoille, joihin kuuluu yksi ASEAN:n aktiivisimmista fintech- ja digitaalitalouksien ekosysteemeistä — muutettu PDPA merkitsee merkittävää operatiivista muutosta. Tämä opas käy läpi, mitä vuonna 2024 muuttui, miten PDP on tulkinnut muutettua suostumusstandardia verkkoseurannalle sekä mihin käytännön vaatimustenmukaisuustyö on kohdistettava.

PDPA vuonna 2026 — Muutoksen jälkeinen katsaus

Muutettu PDPA on edelleen rakentunut seitsemän periaatteen ympärille Section 5:ssä: Yleinen, Ilmoitus ja Valinta, Luovuttaminen, Turvallisuus, Säilyttäminen, Tietojen eheys ja Pääsy. Section 7:n Ilmoitus- ja Valintaperiaate on evästeiden suostumuksen kannalta tärkein, sillä se edellyttää tietojen käyttäjien antavan kirjallisen ilmoituksen sekä englanniksi että Bahasa Malaysiaksi ja hankkivan suostumuksen (tai tukevan vaihtoehtoista perustaa Section 6:ssa) ennen käsittelyä.

Kolme rakenteellista muutosta vuoden 2024 muutoksesta ovat toiminnallisesti tärkeitä verkkojulkaisijoille. Ensinnäkin uudelleennimetyllä Personal Data Protection Departmentilla on nyt nimenomainen toimivalta määrätä hallinnollisia seuraamusmaksuja, jotka on sidottu prosenttiosuuteen vuotuisesta liikevaihdosta, korvaten vanhemman kiinteän sakkomallin. Toiseksi Section 12A:n mukainen pakollinen DPO-nimitys koskee rekisterinpitäjiä, jotka ylittävät määritellyt kynnysarvot — useimmat mainoksilla tuetut julkaisijat ja SaaS-operaattorit ylittävät nämä kynnysarvot. Kolmanneksi uusi Section 12B edellyttää tietomurtoilmoitusta PDP:lle 72 tunnin kuluessa tietoisuudesta, ja ilmoitus asianomaisille rekisteröidyille on tarpeen, kun merkittävä vahinko on todennäköinen.

Miten muutettu PDPA kohtelee evästeitä ja verkkoseurantaa

PDPA ei sisällä evästeisiin liittyvää erityissäännöstä. Suostumus- ja tiedonantovelvoitteet johtuvat lain Sections 5, 6 ja 7:stä sekä PDP:n 2025 Public Consultation Paper verkkoseurannasta, jossa muotoiltiin sääntelyviranomaisen muutoksen jälkeiset odotukset evästebannerien ja käyttäytymiseen perustuvan mainonnan osalta. Neljällä kohdalla on eniten toiminnallista vaikutusta.

Myöntävä suostumus ei-välttämättömälle seurannalle

2025 Public Consultation Paper hylkäsi konkludenttisen suostumuksen, jatkuvan käytön ja ennalta rastitetut ruudut katsoen, etteivät ne täytä Ilmoitus- ja Valintaperiaatetta tulkittaessa verkkoympäristössä. Ei-välttämättömien evästeiden osalta vaaditaan nimenomainen myöntävä toimenpide, mikä linjaa Malesian käytännön EDPB:n evästebannerien työryhmän kannan mukaisesti.

Kaksikielinen ilmoitusvaatimus

Section 7(3) edellyttää, että tietosuojailmoitus ja suostumusmekanismi ovat saatavilla sekä englanniksi että Bahasa Malaysiaksi. Tämä oli alkuperäisen lain piirre, jonka muutos vahvisti; PDP on ollut yhä selvempi siitä, että yksikieliset englanninkieliset bannerit eivät täytä vaatimusta Malesian asukkaille palveluja tarjoaville kohderyhmille.

Tarkat luokittainkontrollit

Kuulemisasiakirja odottaa, että bannerit sallivat käyttäjän hyväksyä ja hylätä luokat itsenäisesti. Yksipainike hyväksy kaikki ilman erittelyjä katsotaan virheeksi Section 5(c):n suhteellisuustulkinnan nojalla (kerääminen ei saa olla "liiallista").

Rajat ylittävä siirto (Section 129)

Alkuperäisen PDPA:n Section 129 edellytti, että rajat ylittävät siirrot tehdään vastaanottajalle "valkolistattuun" maahan (luettelo, jota ministerin piti ylläpitää, mutta jota ei koskaan tehokkaasti julkaistu). 2024 Amendment Act korvaa tämän käytännöllisemmällä kehyksellä: siirrot voidaan tehdä lainkäyttöalueille, joilla on vastaava suojaus, tai asianmukaisten sopimussuojien nojalla tai nimenomaisen suostumuksen perusteella. PDP on antanut mallisopimuslausekkeita, jotka muistuttavat EU SCCs:ää.

PDP:n täytäntöönpanoasenne vuonna 2026

Personal Data Protection Departmentin muutoksen jälkeinen asenne eroaa muutosta edeltävästä lähestymistavastaan kolmella havaittavalla tavalla.

Aktiiviset toimialakohtaiset tarkastukset

PDP on priorisoinut fintech-, verkkokauppa- ja digitaalisen luotonannon sektoreita ennakoiville tarkastuksille muutoksen voimaantulon jälkeen. Nämä tarkastukset alkavat tyypillisesti rekisteröintiauditoinnilla ja eskaloituvat laajemmaksi tarkastukseksi, jos rekisteröinti ei ole ajan tasalla.

Suurempaa huomiota saaneet sakot

Uusi hallinnollinen seuraamusjärjestelmä on tuottanut suurempia ja julkisesti näkyvämpiä sakkoja kuin vanhempi kiinteän sakon malli. Useille telecom- ja fintech-operaattoreille määrättiin kahdeksannumeroisia ringgit-seuraamusmaksuja vuonna 2025, joita PDP on käyttänyt viestimään, että muutoksella on todellisia hampaita.

ASEAN:n sääntelykoordinaatio

PDP osallistuu ASEAN:n tietohallintakehyksen työvirtaan ja koordinoi Singaporen PDPC:n, Thaimaan PDPC:n ja Filippiinien NPC:n kanssa. Malesian ja muun ASEAN-liikenteen sisältäviä rajat ylittäviä tutkintoja käsitellään yhä useammin koordinoitujen menettelyjen kautta.

Käytännön vaatimustenmukaisuuden tarkistuslista

Kuusi konkreettista kysymystä, joihin on vastattava minkä tahansa Malesian liikennettä palvelevan evästebannerina puitteissa.

Missä Malaysia sopii monijurisdiktionaaliseen pinoon

Malaysia on yksi neljästä toiminnallisesti merkittävimmästä ASEAN:n tietosuojajärjestelmästä Singaporen, Thaimaan ja Filippiinien rinnalla. 2024 Amendment Act sulki suurimman osan alkuperäisen PDPA:n ja GDPR:n välisestä kuilusta, mikä tarkoittaa, että eurooppalaisiin standardeihin rakennettu CMP-arkkitehtuuri käsittelee nyt suurimman osan Malesian vaatimustenmukaisuudesta kolmella erityisellä lisäyksellä: kaksikielinen (englanti + Bahasa Malaysia) banneri ja ilmoitus, PDP-rekisteröinti siellä, missä katetun luokan kynnysarvot soveltuvat, sekä Section 12B:n tietomurtoilmoituksen työnkulku 72 tunnin kellolla. Julkaisijoille, jotka rakentavat pan-ASEAN-toimintoja, muutoksen jälkeinen PDPA on merkityksellinen malli — uudemmat alueelliset lait todennäköisesti nojaavat sen rakenteeseen — ja toiminnalliset lisäykset ovat hallittavissa jo käyttöön otetun eurooppalaisen tason suostumuspinoamisen päälle.

← Blogi Lue kaikki →