Panduan Kepatuhan Persetujuan Cookie Amandemen PDPA Malaysia 2024 untuk Penerbit di 2026
Undang-Undang Perlindungan Data Pribadi Malaysia tahun 2010, ketika mulai berlaku pada tahun 2013, merupakan salah satu undang-undang privasi komprehensif pertama di Asia Tenggara. Selama satu dekade pertama, standar operasionalnya relatif ringan: Personal Data Protection Department (JPDP, kini PDP) menjalankan rezim pendaftaran aktif bagi pengguna data dalam tujuh kelas kegiatan yang dicakup, namun penegakan terhadap operator online umum cukup terbatas dan standar persetujuan secara luas ditafsirkan sebagai permisif. Undang-Undang Amandemen 2024, yang menerima Royal Assent pada October 2024 dan mulai berlaku secara bertahap sepanjang tahun 2025, mengubah postur tersebut secara substansial. Amandemen ini memperkenalkan kewajiban penunjukan Data Protection Officers bagi pengendali di atas ambang batas, pemberitahuan pelanggaran wajib dalam 72 jam, hak portabilitas data, regulator yang berganti nama dengan kewenangan penegakan yang lebih tajam, dan menegaskan kembali persyaratan transfer lintas batas yang sebelumnya diterapkan secara ambigu berdasarkan undang-undang asli. Bagi penerbit dan operator SaaS yang melayani lalu lintas Malaysia — pasar yang mencakup salah satu ekosistem fintech dan ekonomi digital paling aktif di ASEAN — PDPA yang telah diamandemen merupakan pergeseran operasional yang signifikan. Panduan ini membahas apa yang berubah pada tahun 2024, bagaimana PDP menafsirkan standar persetujuan yang diamandemen untuk pelacakan online, dan di mana fokus pekerjaan kepatuhan praktis harus diarahkan.
PDPA di Tahun 2026 — Ikhtisar Pasca-Amandemen
PDPA yang diamandemen terus disusun berdasarkan tujuh prinsip dalam Section 5: Umum, Pemberitahuan dan Pilihan, Pengungkapan, Keamanan, Retensi, Integritas Data, dan Akses. Prinsip Pemberitahuan dan Pilihan dalam Section 7 adalah yang paling penting bagi persetujuan cookie, yang mewajibkan pengguna data untuk memberikan pemberitahuan tertulis dalam bahasa Inggris dan Bahasa Malaysia serta mendapatkan persetujuan (atau mengandalkan dasar alternatif dalam Section 6) sebelum memproses data.
Tiga perubahan struktural dari amandemen 2024 penting secara operasional bagi penerbit online. Pertama, Personal Data Protection Department yang berganti nama kini memiliki wewenang eksplisit untuk mengenakan sanksi administratif yang dikaitkan dengan persentase pendapatan tahunan, menggantikan rezim denda tetap yang lama. Kedua, penunjukan DPO wajib berdasarkan Section 12A berlaku bagi pengendali di atas ambang batas yang ditentukan — sebagian besar penerbit yang didukung iklan dan operator SaaS melampaui ambang batas tersebut. Ketiga, Section 12B yang baru mewajibkan pemberitahuan pelanggaran kepada PDP dalam 72 jam sejak mengetahuinya, dengan pemberitahuan kepada subjek data yang terdampak diperlukan ketika kerugian signifikan kemungkinan terjadi.
Bagaimana PDPA yang Diamandemen Memperlakukan Cookie dan Pelacakan Online
PDPA tidak mengandung ketentuan khusus tentang cookie. Kewajiban persetujuan dan informasi mengalir dari Section 5, 6, dan 7 Undang-Undang serta dari 2025 Public Consultation Paper on Online Tracking milik PDP, yang mengartikulasikan ekspektasi regulator pasca-amandemen untuk spanduk cookie dan periklanan perilaku. Empat poin memiliki dampak operasional terbesar.
Persetujuan afirmatif untuk pelacakan non-esensial
2025 Public Consultation Paper menolak persetujuan tersirat, penggunaan berkelanjutan, dan kotak yang dicentang sebelumnya sebagai gagal memenuhi Prinsip Pemberitahuan dan Pilihan ketika ditafsirkan dalam konteks online. Tindakan afirmatif eksplisit diperlukan untuk cookie non-esensial, menyelaraskan praktik Malaysia dengan posisi EDPB Cookie Banner Taskforce.
Persyaratan pemberitahuan bilingual
Section 7(3) mewajibkan pemberitahuan privasi dan mekanisme persetujuan tersedia dalam bahasa Inggris dan Bahasa Malaysia. Ini merupakan fitur dari undang-undang asli yang ditegaskan kembali oleh amandemen; PDP semakin tegas menyatakan bahwa spanduk berbahasa Inggris saja tidak memenuhi persyaratan bagi audiens yang melayani penduduk Malaysia.
Kontrol kategori yang terperinci
2025 Public Consultation Paper mengharapkan spanduk memungkinkan pengguna menerima dan menolak kategori secara independen. Tombol tunggal terima-semua tanpa granularitas dianggap sebagai cacat berdasarkan pembacaan proporsionalitas Section 5(c) (pengumpulan tidak boleh berlebihan).
Transfer lintas batas (Section 129)
Section 129 PDPA asli mewajibkan transfer lintas batas hanya kepada penerima di negara yang masuk daftar putih (sebuah daftar yang seharusnya dipelihara Menteri namun tidak pernah diterbitkan secara efektif). Amandemen 2024 menggantinya dengan kerangka kerja yang lebih praktis: transfer dapat dilakukan ke yurisdiksi dengan perlindungan sebanding, atau berdasarkan perlindungan kontraktual yang sesuai, atau dengan persetujuan eksplisit. PDP telah menerbitkan klausul kontraktual model yang serupa dengan EU SCCs.
Postur Penegakan PDP di Tahun 2026
Postur pasca-amandemen Personal Data Protection Department berbeda dari pendekatan pra-amandemen dalam tiga cara yang dapat diamati.
Pemeriksaan sektoral aktif
PDP telah memprioritaskan sektor fintech, e-commerce, dan pinjaman digital untuk pemeriksaan proaktif sejak amandemen berlaku. Pemeriksaan ini biasanya dimulai dengan audit pendaftaran dan meningkat menjadi inspeksi yang lebih luas jika pendaftaran tidak terkini.
Denda yang lebih menonjol
Rezim sanksi administratif baru telah menghasilkan denda yang lebih besar dan lebih terlihat secara publik dibandingkan model denda tetap yang lama. Beberapa operator telekomunikasi dan fintech menerima denda ringgit delapan digit pada tahun 2025, yang digunakan PDP untuk mengomunikasikan bahwa amandemen memiliki dampak nyata.
Koordinasi regulasi ASEAN
PDP berpartisipasi dalam alur kerja ASEAN Data Management Framework dan berkoordinasi dengan PDPC Singapura, PDPC Thailand, dan NPC Filipina. Investigasi lintas batas yang melibatkan lalu lintas Malaysia dan ASEAN lainnya semakin ditangani melalui prosedur yang terkoordinasi.
Daftar Periksa Kepatuhan Praktis
Enam pertanyaan konkret yang perlu dijawab untuk setiap spanduk cookie yang melayani lalu lintas Malaysia.
- Apakah pengendali terdaftar di PDP? Jika pemrosesan termasuk dalam kelas yang dicakup, konfirmasi bahwa pendaftaran terkini. Amandemen 2024 memperluas cakupan praktis pendaftaran.
- Apakah DPO telah ditunjuk? Section 12A mewajibkan penunjukan di atas ambang batas. Konfirmasi bahwa penunjukan terdokumentasi dan detail kontak DPO diterbitkan dalam pemberitahuan privasi.
- Apakah pemberitahuan bilingual? Bahasa Inggris dan Bahasa Malaysia keduanya diwajibkan berdasarkan Section 7(3).
- Apakah ada penolakan eksplisit di lapisan pertama? Jalur penolakan harus berada di permukaan yang sama dengan penerimaan. Gulir-sebagai-persetujuan gagal memenuhi 2025 Public Consultation Paper.
- Apakah transfer lintas batas terdokumentasi? Identifikasi setiap tujuan non-Malaysia dan mekanisme Section 129 yang mengotorisasi transfer.
- Apakah respons insiden sudah terhubung? Konfirmasi bahwa insiden terkait cookie memicu alur kerja pemberitahuan Section 12B dengan jam 72 jam sejak mengetahuinya.
Posisi Malaysia dalam Tumpukan Multi-Yurisdiksi
Malaysia adalah salah satu dari empat rezim perlindungan data ASEAN yang paling signifikan secara operasional bersama Singapura, Thailand, dan Filipina. Amandemen 2024 menutup sebagian besar kesenjangan antara PDPA asli dan GDPR, yang berarti arsitektur CMP yang dibangun sesuai standar Eropa kini menangani sebagian besar kepatuhan Malaysia dengan tiga tambahan spesifik: spanduk dan pemberitahuan bilingual (Inggris dan Bahasa Malaysia), pendaftaran PDP di mana ambang batas kelas yang dicakup berlaku, dan alur kerja pemberitahuan pelanggaran Section 12B dengan jam 72 jam. Bagi penerbit yang membangun operasi pan-ASEAN, PDPA pasca-amandemen adalah template yang bermakna — undang-undang regional yang lebih baru kemungkinan akan mengambil strukturnya — dan tambahan operasional dapat dikelola di atas tumpukan persetujuan bermutu Eropa yang sudah diterapkan.