מדריך ציות להסכמת עוגיות תיקון PDPA 2024 של מלזיה למפרסמים ב-2026

חוק הגנת המידע האישי של מלזיה משנת 2010 היה, כאשר נכנס לתוקף ב-2013, אחד מחוקי הפרטיות המקיפים הראשונים בדרום-מזרח אסיה. בעשור הראשון שלו, הסטנדרט התפעולי היה קל יחסית: ה-Personal Data Protection Department (JPDP, כיום PDP) ניהל משטר רישום פעיל עבור משתמשי נתונים בשבע קבוצות פעילות מכוסות, אך האכיפה כנגד מפעילים מקוונים כלליים הייתה צנועה וסטנדרט ההסכמה פורש באופן נרחב כמתירני. ה-2024 Amendment Act, שקיבל Royal Assent in October 2024 ונכנס לתוקף בשלבים לאורך שנת 2025, שינה את הגישה הזו באופן מהותי. התיקון הכניס ממונים חובה על הגנת נתונים עבור בקרים מעל לסף, הודעת הפרה חובה תוך 72 שעות, הזכות לניידות נתונים, רגולטור שמה שונה עם סמכות אכיפה חדה יותר, ואישר מחדש את דרישות ההעברה החוצת גבולות שיושמו באופן מעורפל תחת החוק המקורי. עבור מפרסמים ומפעילי SaaS המשרתים תנועה מלזית — שוק הכולל את אחד מאקוסיסטמי הפינטק והכלכלה הדיגיטלית הפעילים ביותר ב-ASEAN — ה-PDPA המתוקן מייצג שינוי תפעולי משמעותי. מדריך זה עובר על מה שהשתנה ב-2024, כיצד ה-PDP פירש את סטנדרט ההסכמה המתוקן למעקב מקוון, והיכן צריך להתמקד העבודה המעשית לציות.

ה-PDPA ב-2026 — סקירה כללית לאחר התיקון

ה-PDPA המתוקן ממשיך להיות מובנה סביב שבעה עקרונות ב-Section 5: כללי, הודעה ובחירה, גילוי, אבטחה, שמירה, שלמות נתונים וגישה. עקרון ההודעה והבחירה ב-Section 7 הוא המשמעותי ביותר להסכמת עוגיות, הדורש ממשתמשי נתונים לספק הודעה כתובה הן באנגלית והן ב-Bahasa Malaysia ולקבל הסכמה (או להסתמך על בסיס חלופי ב-Section 6) לפני העיבוד.

שלושה שינויים מבניים מתיקון 2024 חשובים מבחינה תפעולית למפרסמים מקוונים. ראשית, ל-Personal Data Protection Department ששמו שונה יש כעת סמכות מפורשת להטיל עיצומים מנהליים הקשורים לאחוז מההכנסות השנתיות, המחליפים את משטר הקנסות הקבועים הישן יותר. שנית, מינוי DPO חובה תחת Section 12A חל על בקרים מעל לסף המוגדר — רוב המפרסמים הנתמכים בפרסומות ומפעילי SaaS חוצים את הסף הזה. שלישית, Section 12B החדש דורש הודעת הפרה ל-PDP תוך 72 שעות מהמודעות, עם הודעה לנושאי הנתונים המושפעים הנדרשת כאשר נזק משמעותי עשוי להתרחש.

כיצד ה-PDPA המתוקן מתייחס לעוגיות ולמעקב מקוון

ה-PDPA אינו מכיל הוראה ספציפית לעוגיות. חובות ההסכמה והמידע נובעות מ-Sections 5, 6 ו-7 של החוק ומה-2025 Public Consultation Paper של ה-PDP בנושא מעקב מקוון, שניסח את ציפיות הרגולטור לאחר התיקון לגבי באנרים של עוגיות ופרסום התנהגותי. לארבע נקודות יש את ההשפעה התפעולית הגדולה ביותר.

הסכמה חיובית למעקב לא חיוני

ה-2025 Public Consultation Paper דחה הסכמה מרומזת, שימוש מתמשך ותיבות סימון מסומנות מראש כפגעות בעקרון ההודעה והבחירה כאשר מתפרשות בהקשר המקוון. נדרשת פעולה חיובית מפורשת עבור עוגיות לא חיוניות, ומיישרת את הפרקטיקה המלזית עם עמדת ה-EDPB Cookie Banner Taskforce.

דרישת הודעה דו-לשונית

Section 7(3) מחייב שהודעת הפרטיות ומנגנון ההסכמה יהיו זמינים הן באנגלית והן ב-Bahasa Malaysia. זה היה מאפיין של החוק המקורי שהתיקון אישר מחדש; ה-PDP היה הולך ומפורש יותר שבאנרים אנגלית בלבד אינם עומדים בדרישה עבור קהלים המשרתים תושבי מלזיה.

בקרות קטגוריה גרנולריות

מסמך ההתייעצות מצפה שהבאנרים יאפשרו למשתמש לקבל ולדחות קטגוריות באופן עצמאי. כפתור יחיד קבל-הכל ללא גרנולריות מטופל כפגם בהתאם לקריאת המידתיות של Section 5(c) (האיסוף לא צריך להיות "מוגזם").

העברה חוצת גבולות (Section 129)

Section 129 של ה-PDPA המקורי דרש שהעברות חוצות גבולות יהיו לנמען במדינה "ברשימת היתר" (רשימה שהשר היה אמור לתחזק אך מעולם לא פורסמה ביעילות). ה-2024 Amendment Act מחליף זאת במסגרת עבודה מעשית יותר: העברות עשויות להמשיך לתחומי שיפוט עם הגנה דומה, או תחת אמצעי הגנה חוזיים מתאימים, או עם הסכמה מפורשת. ה-PDP הוציא סעיפים חוזיים לדוגמה דומים ל-EU SCCs.

עמדת האכיפה של ה-PDP ב-2026

עמדת ה-Personal Data Protection Department לאחר התיקון שונה מגישתו לפני התיקון בשלוש דרכים ניתנות לצפייה.

סריקות סקטוריאליות פעילות

ה-PDP העניק עדיפות לסקטורי הפינטק, המסחר האלקטרוני וההלוואות הדיגיטליות לסריקות יזומות מאז שנכנס לתוקף התיקון. סריקות אלו מתחילות בדרך כלל בביקורת רישום ומסלימות לבדיקה רחבה יותר אם הרישום אינו עדכני.

קנסות בפרופיל גבוה יותר

משטר העיצומים המנהליים החדש הניב קנסות גדולים ונראים יותר לציבור מאשר הדגם הישן יותר של קנסות קבועים. מספר מפעילי תקשורת ופינטק קיבלו עיצומי רינגיט בעלי שמונה ספרות ב-2025, שבהם השתמש ה-PDP כדי לתקשר שלתיקון יש שיניים אמיתיות.

תיאום רגולטורי ASEAN

ה-PDP משתתף בזרם העבודה של מסגרת ניהול הנתונים של ASEAN ומתאם עם ה-PDPC של סינגפור, ה-PDPC של תאילנד וה-NPC של הפיליפינים. חקירות חוצות גבולות הכוללות תנועה מלזית ואחרת של ASEAN מטופלות יותר ויותר דרך נהלים מתואמים.

רשימת פעולות לציות מעשי

שש שאלות קונקרטיות שיש לענות עליהן עבור כל באנר עוגיות המשרת תנועה מלזית.

היכן מלזיה מתאימה במחסנית רב-תחומית

מלזיה היא אחת מארבעת משטרי הגנת הנתונים של ASEAN החשובים ביותר מבחינה תפעולית לצד סינגפור, תאילנד והפיליפינים. ה-2024 Amendment Act סגר את רוב הפער בין ה-PDPA המקורי ל-GDPR, כלומר ארכיטקטורת CMP שנבנתה לפי סטנדרטים אירופיים מטפלת כעת ברוב הציות המלזי עם שלוש תוספות ספציפיות: באנר והודעה דו-לשוניים (אנגלית + Bahasa Malaysia), רישום PDP כאשר חלים סף קטגוריית הכיסוי, וזרימת העבודה להודעת הפרה של Section 12B עם שעון ה-72 שעות שלה. עבור מפרסמים הבונים לקראת פעולות פאן-ASEAN, ה-PDPA לאחר התיקון הוא תבנית משמעותית — חוקים אזוריים חדשים יותר צפויים להסתמך על המבנה שלו — והתוספות התפעוליות ניתנות לניהול על גבי ערימת הסכמה ברמה אירופית שכבר פרוסה.

← בdelays delays קרא הכל →