Panduan Pematuhan Persetujuan Cookie Pindaan PDPA 2024 Malaysia untuk Penerbit pada 2026

Personal Data Protection Act 2010 Malaysia adalah, apabila ia berkuat kuasa pada 2013, salah satu statut privasi komprehensif yang lebih awal di Asia Tenggara. Untuk dekad pertamanya, piawaian operasi adalah agak ringan: Personal Data Protection Department (JPDP, kini PDP) menjalankan rejim pendaftaran aktif untuk pengguna data dalam tujuh kelas aktiviti yang dilindungi, tetapi penguatkuasaan terhadap pengendali dalam talian umum adalah sederhana dan piawaian persetujuan ditafsirkan secara meluas sebagai permisif. 2024 Amendment Act, yang menerima Royal Assent pada October 2024 dan berkuat kuasa secara berperingkat melalui 2025, mengubah postur tersebut dengan ketara. Pindaan ini memperkenalkan Pegawai Perlindungan Data mandatori untuk pengawal melebihi ambang, notifikasi pelanggaran mandatori dalam masa 72 jam, hak kepada kemudahalihan data, pengawal selia yang dinamakan semula dengan kuasa penguatkuasaan yang lebih tajam, dan mengesahkan semula keperluan pemindahan merentas sempadan yang telah dilaksanakan secara samar-samar di bawah Akta asal. Untuk penerbit dan pengendali SaaS yang melayani trafik Malaysia — sebuah pasaran yang merangkumi salah satu ekosistem ekonomi digital dan fintech yang paling aktif di ASEAN — PDPA yang dipinda mewakili peralihan operasi yang bermakna. Panduan ini mengupas perkara yang berubah pada 2024, bagaimana PDP telah mentafsir piawaian persetujuan yang dipinda untuk penjejakan dalam talian, dan di mana kerja pematuhan praktikal perlu memberi tumpuan.

PDPA pada 2026 — Garis Besar Selepas Pindaan

PDPA yang dipinda terus distrukturkan berdasarkan tujuh prinsip dalam Section 5: Umum, Notis dan Pilihan, Pendedahan, Keselamatan, Pengekalan, Integriti Data, dan Akses. Prinsip Notis dan Pilihan dalam Section 7 adalah yang paling berkesan untuk persetujuan cookie, memerlukan pengguna data menyediakan notis bertulis dalam kedua-dua Bahasa Malaysia dan bahasa Inggeris serta mendapatkan persetujuan (atau bergantung pada alasan alternatif dalam Section 6) sebelum pemprosesan.

Tiga perubahan struktural daripada pindaan 2024 penting secara operasi untuk penerbit dalam talian. Pertama, Personal Data Protection Department yang dinamakan semula kini mempunyai kuasa eksplisit untuk mengenakan penalti pentadbiran yang dikaitkan dengan peratusan hasil tahunan, menggantikan rejim denda rata yang lama. Kedua, penetapan DPO mandatori di bawah Section 12A terpakai kepada pengawal melebihi ambang yang ditakrifkan — kebanyakan penerbit yang disokong iklan dan pengendali SaaS melepasi ambang tersebut. Ketiga, Section 12B baharu memerlukan notifikasi pelanggaran kepada PDP dalam masa 72 jam selepas menyedari, dengan notifikasi kepada subjek data yang terjejas diperlukan apabila bahaya ketara berkemungkinan.

Bagaimana PDPA yang Dipinda Merawat Cookie dan Penjejakan Dalam Talian

PDPA tidak mengandungi peruntukan khusus cookie. Kewajipan persetujuan dan maklumat mengalir daripada Section 5, Section 6, dan Section 7 Akta dan daripada 2025 Public Consultation Paper PDP mengenai Penjejakan Dalam Talian, yang menyatakan jangkaan pengawal selia selepas pindaan untuk sepanduk cookie dan pengiklanan tingkah laku. Empat perkara mempunyai kesan operasi yang paling besar.

Persetujuan afirmatif untuk penjejakan bukan penting

2025 Public Consultation Paper menolak persetujuan tersirat, penggunaan berterusan, dan kotak pra-tanda sebagai gagal Prinsip Notis dan Pilihan apabila ditafsirkan dalam konteks dalam talian. Tindakan afirmatif eksplisit diperlukan untuk cookie bukan penting, menyelaraskan amalan Malaysia dengan kedudukan Pasukan Petugas Sepanduk Cookie EDPB.

Keperluan notis dwibahasa

Section 7(3) memerlukan notis privasi dan mekanisme persetujuan tersedia dalam kedua-dua Bahasa Malaysia dan bahasa Inggeris. Ini adalah ciri Akta asal yang disahkan semula oleh pindaan; PDP semakin eksplisit bahawa sepanduk bahasa Inggeris tunggal tidak memenuhi keperluan untuk khalayak yang melayani penduduk Malaysia.

Kawalan kategori terperinci

2025 Public Consultation Paper menjangkakan sepanduk membenarkan pengguna menerima dan menolak kategori secara bebas. Terima semua butang tunggal tanpa perincian dianggap sebagai kecacatan di bawah bacaan proporsionaliti Section 5(c) (pengumpulan tidak seharusnya berlebihan).

Pemindahan merentas sempadan (Section 129)

Section 129 PDPA asal memerlukan pemindahan merentas sempadan kepada penerima di negara yang disenarai putih (senarai yang Menteri sepatutnya kekalkan tetapi tidak pernah diterbitkan dengan berkesan). Pindaan 2024 menggantikan ini dengan rangka kerja yang lebih berkesan: pemindahan boleh diteruskan ke bidang kuasa dengan perlindungan setanding, atau di bawah perlindungan kontrak yang sesuai, atau dengan persetujuan eksplisit. PDP telah mengeluarkan klausa kontrak model yang serupa dengan EU SCCs.

Postur Penguatkuasaan PDP pada 2026

Postur Personal Data Protection Department selepas pindaan berbeza daripada pendekatannya sebelum pindaan dalam tiga cara yang boleh diperhatikan.

Sapuan sektoral aktif

PDP telah mengutamakan sektor fintech, e-dagang, dan pinjaman digital untuk sapuan proaktif sejak pindaan berkuat kuasa. Sapuan ini biasanya bermula dengan audit pendaftaran dan meningkat kepada pemeriksaan yang lebih luas jika pendaftaran tidak terkini.

Denda berprofil lebih tinggi

Rejim penalti pentadbiran baharu telah menghasilkan denda yang lebih besar dan lebih kelihatan awam berbanding model denda rata yang lama. Beberapa pengendali telekom dan fintech menerima penalti ringgit lapan angka pada 2025, yang PDP telah gunakan untuk menyampaikan bahawa pindaan mempunyai kuasa sebenar.

Penyelarasan pengawalseliaan ASEAN

PDP mengambil bahagian dalam aliran kerja Rangka Kerja Pengurusan Data ASEAN dan menyelaras dengan PDPC Singapura, PDPC Thailand, dan NPC Filipina. Penyiasatan merentas sempadan yang melibatkan trafik Malaysia dan ASEAN lain semakin dikendalikan melalui prosedur yang diselaraskan.

Senarai Semak Pematuhan Praktikal

Enam soalan konkrit untuk dijawab bagi mana-mana sepanduk cookie yang melayani trafik Malaysia.

Di Mana Malaysia Sesuai dalam Timbunan Pelbagai Bidang Kuasa

Malaysia adalah salah satu daripada empat rejim perlindungan data ASEAN yang paling berkesan secara operasi bersama Singapura, Thailand, dan Filipina. Pindaan 2024 menutup sebahagian besar jurang antara PDPA asal dan GDPR, yang bermakna bahawa seni bina CMP yang dibina mengikut piawaian Eropah kini mengendalikan sebahagian besar pematuhan Malaysia dengan tiga penambahan khusus: sepanduk dan notis dwibahasa (Bahasa Malaysia + bahasa Inggeris), pendaftaran PDP di mana ambang kelas dilindungi terpakai, dan aliran kerja notifikasi pelanggaran Section 12B dengan jam 72 jamnya. Untuk penerbit yang membina ke arah operasi pan-ASEAN, PDPA selepas pindaan adalah templat yang bermakna — undang-undang serantau yang lebih baharu berkemungkinan akan mengambil strukturnya — dan penambahan operasi adalah mudah diuruskan di atas timbunan persetujuan gred Eropah yang telah digunakan.

← Blog Baca Semua →