Leiðbeiningar um samþykki smákaka samkvæmt PDPA-breytingu Malaysia 2024 fyrir útgefendur árið 2026
Persónuverndarlög Malaysia frá 2010, þegar þau öðluðust gildi árið 2013, voru meðal fyrstu heildstæðu persónuverndarlaganna í Suðaustur-Asíu. Á fyrsta áratugnum var rekstrarstaðallinn tiltölulega léttur: Personal Data Protection Department (JPDP, nú PDP) rak virkt skráningarkerfi fyrir gagnnotendur í sjö flokkum starfsemi sem lög náðu til, en framkvæmd gagnvart almennum netvirkjendum var hófleg og samþykkisstaðallinn var almennt túlkaður sem frjálslyndur. Breytingarlögin frá 2024, sem fengu Royal Assent í October 2024 og tóku gildi í áföngum á árinu 2025, breyttu þessum áherslum verulega. Breytingarnar innleiddu skylduleg Data Protection Officers fyrir stjórnendur yfir ákveðnum mörkum, skylduleg tilkynning um gagnabrot innan 72 klukkustunda, rétt til gagnaflutningsmöguleika, endurnefndan eftirlitsaðila með skarpari framkvæmdarvald, og staðfestu reglur um millilandaflutninga gagna sem höfðu verið óskýrt framkvæmdar samkvæmt upprunalegu lögunum. Fyrir útgefendur og SaaS-rekstraraðila sem þjóna malasísísku umferð — markað sem felur í sér eitt virknasta fintech og stafrænt hagkerfi ASEAN — þýðir breytt PDPA verulegt rekstrarskipti. Þessi leiðbeining fer í gegnum hvað breyttist árið 2024, hvernig PDP hefur túlkað breytt samþykkisstaðal fyrir vefrakningu og hvar á að einbeita sér að hagnýtri fylgnivinnu.
PDPA árið 2026 — Yfirlit eftir breytingar
Breytt PDPA er enn byggt upp í kringum sjö meginreglur í Section 5: Almennar, Tilkynning og val, Upplýsingagjöf, Öryggi, Varðveisla, Gagnatrúverðugleiki og Aðgangur. Meginreglan um tilkynningu og val í Section 7 er mikilvægust fyrir samþykki smákaka, og krefst þess að gagnnotendur gefi skriflegar tilkynningar á ensku og Bahasa Malaysia og fái samþykki (eða styðjist við aðra lagalega grundvöll í Section 6) áður en gagnavinnsla hefst.
Þrjár skipulagslegar breytingar frá 2024-breytingunum skipta rekstrarlegu máli fyrir netvirkja útgefendur. Í fyrsta lagi hefur endurnefndi Personal Data Protection Department skýra heimild til að leggja á stjórnsýsluviðurlög tengd hlutfalli árlegra tekna, í stað eldra flatagjaldakerfisins. Í öðru lagi á skylduleg DPO-tilnefning samkvæmt Section 12A við um stjórnendur yfir skilgreindum mörkum — flestir auglýsingastyrktir útgefendur og SaaS-rekstraraðilar fara yfir þessi mörk. Í þriðja lagi krefst nýja Section 12B þess að tilkynnt sé um brot til PDP innan 72 klukkustunda frá því að þess varð vart, með tilkynningu til viðkomandi gagnaskyldumanna þegar líklegt er að verulegt tjón hlýst af.
Hvernig breytt PDPA meðhöndlar smákökur og vefrakningu
PDPA inniheldur ekki sérstakar ákvæði um smákökur. Samþykkis- og upplýsingaskyldan leiðir af Section 5, 6 og 7 laganna og af 2025 Public Consultation Paper on Online Tracking hjá PDP, sem setti fram væntingar eftirlitsaðilans eftir breytingar gagnvart smákökuborðum og hegðunarmiðuðum auglýsingum. Fjórir þættir hafa mestan rekstrarlegan áhrif.
Skýrt samþykki fyrir ekki-nauðsynlega rakningu
2025 Public Consultation Paper hafnaði óbeinni samþykki, áframhaldandi notkun og fyrirfram hakkaðum reitum sem brotlegar við meginregluna um tilkynningu og val þegar túlkað í netvistri. Skýr staðfestandi aðgerð er nauðsynleg fyrir ekki-nauðsynlegar smákökur, og samræmir malasísíska framkvæmd við afstöðu EDPB Cookie Banner Taskforce.
Tvítyngd tilkynningarkrafa
Section 7(3) krefst þess að persónuverndartilkynning og samþykkiskerfi séu tiltæk á ensku og Bahasa Malaysia. Þetta var eiginleiki upprunalegu laganna sem breytingarnar staðfesta; PDP hefur verið sífellt skýrari í því að einmála enskubonnar uppfylli ekki kröfur gagnvart áhorfendum sem þjóna búsetuaðilum í Malaysia.
Nákvæmar flokkastýringar
Samráðsskjalið gerir ráð fyrir að borðar geri notandanum kleift að samþykkja og hafna flokkum sjálfstætt. Einn hnappur taka-allt án nákvæmni er litinn sem galli samkvæmt hlutfallslegri túlkun á Section 5(c) (söfnun á ekki að vera óhóflegt).
Millilandalegar gagnaflutníngar (Section 129)
Section 129 upprunalegu PDPA krafðist þess að millilandalegar gagnaflutníngar færu til viðtakanda í ríki á hvítum lista (listi sem ráðherra átti að viðhalda en birti aldrei á áhrifaríkan hátt). Breytingarnar frá 2024 koma í stað þessa með hagnýtara ramma: flutníngar geta farið til lögsæðis með sambærilega vernd, eða samkvæmt viðeigandi samningsbundnum verndarráðstöfunum, eða með skýrri samþykki. PDP hefur gefið út líkanasamningsskilmála líkjandi EU SCCs.
Framkvæmdarstefna PDP árið 2026
Stefna Personal Data Protection Department eftir breytingar er frábrugðin aðferðinni fyrir breytingar á þrjá greinilega vegu.
Virkar geiraskoðanir
PDP hefur forgangsraðað fintech, e-verslun og stafrænum lánageirum fyrir forvirkar skoðanir síðan breytingarnar tóku gildi. Þessar skoðanir byrja venjulega með skráningarúttekt og þróast í víðtækari skoðun ef skráning er ekki gild.
Hærri sektir í sviðsljósinu
Nýja kerfið um stjórnsýsluviðurlög hefur leitt til stærri og opinbærari sekta en gamalt flatagjaldamódel. Nokkrir fjarskipta- og fintech-rekstraraðilar fengu áttastafa ringgit-sektir árið 2025, sem PDP notaði til að miðla þeirri skilaboð að breytingarnar hafi raunveruleg tennur.
ASEAN reglulagasamhæfing
PDP tekur þátt í ASEAN Data Management Framework verkefninu og samhæfist við PDPC Singapúr, PDPC Taílands og NPC Filippseyja. Millilandalegar rannsóknir sem fela í sér malasísíska og aðra ASEAN umferð eru í vaxandi mæli meðhöndlaðar í gegnum samhæfðar málsmeðferðir.
Hagnýt fylgniprjóll
Sex meginspurningar sem þarf að svara fyrir hvaða smákökuborða sem þjónar malasísísku umferð.
- Er stjórnandinn skráður hjá PDP? Ef vinnsla fellur undir þekkt flokk skaltu staðfesta að skráning sé í gildi. Breytingarnar frá 2024 víkkuðu út hagnýtt gildissvið skráningar.
- Er DPO tilnefndur? Section 12A krefst tilnefningar yfir mörkum. Staðfestu að tilnefningin sé skráð og samskiptaupplýsingar DPO séu birtar í persónuverndartilkynningunni.
- Er tilkynningin tvítyngd? Bæði enska og Bahasa Malaysia eru nauðsynleg samkvæmt Section 7(3).
- Er til skýr höfnun á fyrsta lagi? Höfnunarslóðin verður að vera á sama yfirborði og samþykkið. Scrolling sem samþykki stenst ekki 2025 Public Consultation Paper.
- Eru millilandalegar gagnaflutníngar skráðar? Greindu hvert mál utan Malaysia og Section 129-mekanísmann sem heimilar flutninginn.
- Er brotviðbrögð tengd? Staðfestu að smákökutengd atvik kveiki á tilkynningaverkferlinu samkvæmt Section 12B með 72 klukkustunda klukku frá því að þess varð vart.
Staðsetning Malaysia í fjölræðislegri eftirlitsuppbyggingu
Malaysia er eitt af fjórum rekstrarlega mikilvægustu ASEAN persónuverndarreglunum ásamt Singapúr, Taílandi og Filippseyjum. Breytingarnar frá 2024 lokuðu mestu bilinu á milli upprunalegu PDPA og GDPR, sem þýðir að CMP-uppbygging sem smíðuð er að evrópskum stöðlum sér nú um meginhluta malasísísku fylgninnar með þremur sérstökum viðbótum: tvítyngd (enska og Bahasa Malaysia) borði og tilkynning, PDP-skráning þar sem þröskuldar þekktrar flokks gilda og tilkynningaverkferli Section 12B vegna gagnabrot með 72 klukkustunda klukku. Fyrir útgefendur sem eru að byggja upp pan-ASEAN starfsemi er breytt PDPA mikilvæg fyrirmynd — yngri svæðisbundin lög munu líklega draga úr uppbyggingu þess — og rekstrarlegar viðbætur eru viðráðanlegar ofan á þegar útgefna evrópska gæðasamþykkisuppbyggingu.