მალაიზიის PDPA 2024 წლის შესწორება: ქუქი-ფაილების თანხმობის შესაბამისობის სახელმძღვანელო გამომცემლებისთვის 2026 წელს
მალაიზიის 2010 წლის პერსონალურ მონაცემთა დაცვის კანონი, 2013 წელს ამოქმედებისას, სამხრეთ-აღმოსავლეთ აზიაში ყოვლისმომცველი კონფიდენციალობის შესახებ ერთ-ერთი პირველი სტატუტი იყო. პირველი ათწლეულის განმავლობაში ოპერაციული სტანდარტი შედარებით მსუბუქი იყო: Personal Data Protection Department (JPDP, ახლა PDP) ახორციელებდა მონაცემთა მომხმარებლების აქტიური რეგისტრაციის რეჟიმს შვიდ დაფარულ საქმიანობის კლასში, თუმცა ზოგადი ონლაინ ოპერატორების მიმართ აღსრულება ზომიერი იყო და თანხმობის სტანდარტი ფართოდ განიმარტებოდა პერმისიულად. 2024 Amendment Act-მა, რომელმაც Royal Assent მიიღო October 2024-ში და 2025 წლის განმავლობაში ეტაპობრივად ამოქმედდა, ეს პოზიცია არსებითად შეცვალა. შესწორებამ შემოიღო მონაცემთა დაცვის ოფიცრების (DPO) სავალდებულო დანიშვნა ბარიერს ზემოთ მყოფი კონტროლიორებისთვის, 72 საათის განმავლობაში სავალდებულო დარღვევის შეტყობინება, მონაცემთა პორტაბელურობის უფლება, გადარქმეული მარეგულირებელი უფრო მკაცრი სამართალდამცავი უფლებამოსილებით და ხელახლა დაადასტურა საზღვარგარეთ გადაცემის მოთხოვნები, რომლებიც საწყისი კანონის საფუძველზე ორაზროვნად განხორციელდა. გამომცემლებისა და SaaS-ოპერატორებისთვის, რომლებიც მალაიზიურ ტრაფიკს ემსახურებიან — ბაზარი, რომელიც ASEAN-ის ერთ-ერთ ყველაზე აქტიურ ფინტექ- და ციფრული ეკონომიკის ეკოსისტემას მოიცავს — შეცვლილი PDPA მნიშვნელოვან ოპერაციულ ცვლას წარმოადგენს. ეს სახელმძღვანელო განიხილავს, რა შეიცვალა 2024 წელს, როგორ განმარტავს PDP ონლაინ თვალყურის დევნებისთვის შეცვლილ თანხმობის სტანდარტს და სად უნდა კონცენტრირდეს პრაქტიკული შესაბამისობის სამუშაო.
PDPA 2026 წელს — შესწორების შემდგომი მიმოხილვა
შეცვლილი PDPA კვლავ სტრუქტურირებულია Section 5-ის შვიდ პრინციპზე: ზოგადი, შეტყობინება და არჩევანი, გამჟღავნება, უსაფრთხოება, შენახვა, მონაცემთა მთლიანობა და წვდომა. Section 7-ში შეტყობინებისა და არჩევნის პრინციპი ყველაზე მნიშვნელოვანია ქუქი-ფაილების თანხმობისთვის, ვინაიდან მოითხოვს მონაცემთა მომხმარებლებს, მიაწოდონ წერილობითი შეტყობინება ინგლისურ ენაზე და Bahasa Malaysia-ზე, მიიღონ თანხმობა (ან Section 6-ის ალტერნატიულ საფუძველს დაეყრდნონ) დამუშავებამდე.
2024 წლის შესწორების სამი სტრუქტურული ცვლილება ოპერაციულად მნიშვნელოვანია ონლაინ გამომცემლებისთვის. პირველი, გადარქმეულ Personal Data Protection Department-ს ახლა გააჩნია მკაფიო უფლებამოსილება, დააწესოს სამინისტრო სახდელები, რომლებიც დაკავშირებულია წლიური შემოსავლის პროცენტთან, ჩაანაცვლებს ძველ ფიქსირებული ჯარიმის რეჟიმს. მეორე, Section 12A-ს მიხედვით სავალდებულო DPO-ს დანიშვნა ვრცელდება განსაზღვრული ბარიერების ზემოთ მყოფ კონტროლიორებზე — სარეკლამოდ დამოკიდებული გამომცემლების და SaaS-ოპერატორების უმეტესობა ამ ბარიერებს გადააჭარბებს. მესამე, ახალი Section 12B მოითხოვს, PDP-ს გაეგზავნოს დარღვევის შეტყობინება ამის გამოვლენიდან 72 საათის განმავლობაში, ხოლო დაზარალებულ მონაცემთა სუბიექტებს ეცნობოს, როდესაც სავარაუდო მნიშვნელოვანი ზიანია.
როგორ ექცევა შეცვლილი PDPA ქუქი-ფაილებს და ონლაინ თვალყურის დევნებას
PDPA არ შეიცავს ქუქი-ფაილებზე სპეციფიკურ დებულებას. თანხმობისა და ინფორმაციის ვალდებულებები გამომდინარეობს კანონის Section 5, 6 და 7-დან, ასევე PDP-ის 2025 Public Consultation Paper on Online Tracking-დან, რომელმაც ონლაინ თვალყურის დევნების ქუქი-ბანერებთან და ქცევითი სარეკლამო მიმართ შესწორების შემდეგ მარეგულირებლის მოლოდინები გამოხატა. ოთხ პუნქტს აქვს ყველაზე დიდი ოპერაციული გავლენა.
აფირმაციული თანხმობა არაარსებითი თვალყურის დევნებისთვის
2025 Public Consultation Paper-მა უარყო ნაგულისხმევი თანხმობა, გაგრძელებული გამოყენება და წინასწარ მონიშნული ველები, როგორც ონლაინ კონტექსტში ინტერპრეტირებული შეტყობინებისა და არჩევნის პრინციპის შეუსრულებელი. არაარსებითი ქუქი-ფაილებისთვის საჭიროა მკაფიო დამამტკიცებელი ქმედება, რომელიც ათანხმებს მალაიზიის პრაქტიკას EDPB Cookie Banner Taskforce-ის პოზიციასთან.
ორენოვანი შეტყობინების მოთხოვნა
Section 7(3) მოითხოვს, კონფიდენციალობის შეტყობინება და თანხმობის მექანიზმი ხელმისაწვდომი იყოს ინგლისურ ენაზე და Bahasa Malaysia-ზე. ეს საწყისი კანონის თვისება იყო, რომელიც შესწორებამ ხელახლა დაადასტურა; PDP სულ უფრო მკაფიო ხდება იმაში, რომ მხოლოდ ინგლისურენოვანი ბანერები არ ასრულებს მოთხოვნებს მალაიზიელ მცხოვრებლებს ემსახურე აუდიტორიებისთვის.
დეტალური კატეგორიების კონტროლი
საკონსულტაციო დოკუმენტი მოელის, რომ ბანერები მომხმარებელს მისცემს კატეგორიების დამოუკიდებლად მიღებისა და უარყოფის შესაძლებლობას. ერთი ღილაკიანი ყველაფრის-მიღება გრანულარობის გარეშე განიხილება ნაკლოვანებად Section 5(c)-ის პროპორციულობის ინტერპრეტაციის მიხედვით (შეგროვება არ უნდა იყოს გადაჭარბებული).
საზღვარგარეთ გადაცემა (Section 129)
საწყისი PDPA-ს Section 129 მოითხოვდა, საზღვარგარეთ გადაცემა განხორციელდეს მხოლოდ „თეთრ სიაში" შემავალ ქვეყნებში (სია, რომლის შენარჩუნებაც მინისტრს უნდა მოეხდინა, მაგრამ არასდროს ეფექტურად გამოქვეყნდა). 2024 წლის შესწორება ამას უფრო პრაქტიკული ჩარჩოთი ანაცვლებს: გადაცემა შეიძლება განხორციელდეს შესადარებელი დაცვის მქონე იურისდიქციებში, ან შესაბამისი სახელშეკრულებო დაცვის გარანტიებით, ან მკაფიო თანხმობით. PDP-მ გამოაქვეყნა სამოდელო სახელშეკრულებო პუნქტები, EU SCCs-ის მსგავსი.
PDP-ის სამართალდამცავი პოზიცია 2026 წელს
Personal Data Protection Department-ის შესწორების შემდგომი პოზიცია სამი შესამჩნევი გზით განსხვავდება შესწორებამდელი მიდგომისგან.
აქტიური სექტორული შემოწმებები
PDP-მ უპირატესობა მიანიჭა ფინტექ-, ელ-კომერციისა და ციფრული სესხების სექტორებს პროაქტიური შემოწმებებისთვის შესწორების ძალაში შესვლის შემდეგ. ეს შემოწმებები, როგორც წესი, დასაწყებდება რეგისტრაციის აუდიტით და ფართო ინსპექციად გადაიზრდება, თუ რეგისტრაცია მიმდინარე არ არის.
უფრო მაღალი პროფილის ჯარიმები
ახალი ადმინისტრაციული სანქციის რეჟიმმა გამოიმუშავა უფრო დიდი და საჯაროდ ხილული ჯარიმები ძველ ფიქსირებული ჯარიმის მოდელთან შედარებით. რამდენიმე სატელეკომუნიკაციო და ფინტექ ოპერატორმა მიიღო რვანიშნა რინგიტი ჯარიმები 2025 წელს, რომლებიც PDP-მ გამოიყენა სამ ყოველდღიურობად, რომ შესწორებას ნამდვილი კბილები აქვს.
ASEAN-ის მარეგულირებელი კოორდინაცია
PDP მონაწილეობს ASEAN Data Management Framework-ის სამუშაო ნაკადში და კოორდინაციას ახორციელებს სინგაპურის PDPC-თან, ტაილანდის PDPC-თან და ფილიპინების NPC-თან. მალაიზიური და სხვა ASEAN ტრაფიკის ჩართული საზღვარგარეთ გამოძიებები სულ უფრო მეტად განიხილება კოორდინირებული პროცედურებით.
პრაქტიკული შესაბამისობის საკონტროლო სია
ექვსი კონკრეტული კითხვა, რომელზეც პასუხი უნდა გაეცეს ნებისმიერ ქუქი-ბანერზე, რომელიც მალაიზიურ ტრაფიკს ემსახურება.
- რეგისტრირებულია კონტროლიორი PDP-ში? თუ დამუშავება შედის დაფარულ კლასში, დაადასტურეთ, რომ რეგისტრაცია მიმდინარეა. 2024 Amendment Act-მა გაფართოვა რეგისტრაციის პრაქტიკული მოცვა.
- დანიშნული არის DPO? Section 12A მოითხოვს დანიშვნას ბარიერებს ზემოთ. დაადასტურეთ, რომ დანიშვნა დოკუმენტირებული და DPO-ის საკონტაქტო მონაცემები კონფიდენციალობის შეტყობინებაში გამოქვეყნებულია.
- ორენოვანია შეტყობინება? ინგლისური და Bahasa Malaysia ორივე სავალდებულოა Section 7(3)-ის მიხედვით.
- არის მკაფიო პირველი დონის უარი? უარყოფის გზა უნდა იყოს მიღებასთან ერთსა და იმავე ზედაპირზე. გადახვევა-როგორც-თანხმობა ვერ ასრულებს 2025 Public Consultation Paper-ის სტანდარტებს.
- საზღვარგარეთ გადაცემები დოკუმენტირებულია? განსაზღვრეთ ყოველი არამალაიზიური დანიშნულება და Section 129-ის მექანიზმი, რომელიც გადაცემას ავტორიზებს.
- ინციდენტზე რეაგირება დაკავშირებულია? დაადასტურეთ, რომ ქუქი-ფაილებთან დაკავშირებული ინციდენტები ააქტიურებს Section 12B-ის შეტყობინების სამუშაო ნაკადს გამოვლენიდან 72-საათიანი საათით.
მალაიზიის ადგილი მრავალ იურისდიქციულ შესაბამისობის სტეკში
მალაიზია ოთხი ყველაზე ოპერაციულად მნიშვნელოვანი ASEAN მონაცემთა დაცვის რეჟიმიდან ერთ-ერთია სინგაპურის, ტაილანდისა და ფილიპინების გვერდით. 2024 წლის შესწორებამ დახურა საწყის PDPA-სა და GDPR-ს შორის არსებული სხვაობის უმეტესი ნაწილი, რაც ნიშნავს, რომ ევროპული სტანდარტებით აგებული CMP არქიტექტურა ახლა მალაიზიის შესაბამისობის ძირითად ნაწილს მოიცავს სამი სპეციფიკური დამატებით: ორენოვანი (ინგლისური და Bahasa Malaysia) ბანერი და შეტყობინება, PDP-ში რეგისტრაცია, სადაც დაფარული კლასის ბარიერები ვრცელდება, და Section 12B-ის დარღვევის შეტყობინების სამუშაო ნაკადი 72-საათიანი საათით. გამომცემლებისთვის, რომლებიც პან-ASEAN-ის ოპერაციებს ქმნიან, შესწორების შემდგომი PDPA მნიშვნელოვანი შაბლონია — ახალი რეგიონული კანონები სავარაუდოდ მის სტრუქტურას გამოიყენებს — და ოპერაციული დამატებები შეიძლება მართვადი იყოს უკვე განლაგებული ევროპული ხარისხის თანხმობის სტეკის თავზე.