Malaysia PDPA 2024-endringslov: Veiledning for informasjonskapselssamtykke for utgivere i 2026

Malaysias Personal Data Protection Act 2010 var, da den trådte i kraft i 2013, en av de tidligste omfattende personvernlovene i Sørøst-Asia. I det første tiåret var den operative standarden relativt mild: Personal Data Protection Department (JPDP, nå PDP) drev en aktiv registreringsordning for databrukere i syv dekket aktivitetsklasser, men håndhevelse mot generelle nettoperatører var beskjeden og samtykkestandarden ble i stor grad tolket som tillatende. 2024 Amendment Act, som mottok Royal Assent i October 2024 og trådte i kraft i etapper gjennom 2025, endret denne holdningen betydelig. Endringen introduserte obligatoriske Data Protection Officers for kontrollører over terskelverdier, obligatorisk varslingsplikt ved brudd innen 72 timer, retten til dataportabilitet, en omdøpt reguleringsmyndighet med skarpere håndhevelsesmyndighet, og bekreftet krav til grenseoverskridende overføring som hadde blitt tvetydig implementert under den opprinnelige loven. For utgivere og SaaS-operatører som betjener malaysisk trafikk — et marked som inkluderer et av de mest aktive fintech- og digital økonomi-økosystemene i ASEAN — representerer den endrede PDPA et meningsfullt operativt skifte. Denne veiledningen går gjennom hva som endret seg i 2024, hvordan PDP har tolket den endrede samtykkestandarden for nettsporig, og hvor det praktiske samsvarsarbeidet må fokusere.

PDPA i 2026 — Oversikt etter endringen

Den endrede PDPA fortsetter å være strukturert rundt syv prinsipper i Section 5: Generelt, Varsel og valg, Offentliggjøring, Sikkerhet, Oppbevaring, Dataintegritet og Tilgang. Varsel og valg-prinsippet i Section 7 er det mest konsekvensrike for informasjonskapselssamtykke, og krever at databrukere skal gi skriftlig varsel på både engelsk og Bahasa Malaysia og innhente samtykke (eller basere seg på et alternativt grunnlag i Section 6) før behandling.

Tre strukturelle endringer fra 2024-endringen er operativt viktige for nettutgivere. For det første har det omdøpte Personal Data Protection Department nå eksplisitt myndighet til å ilegge administrative sanksjoner knyttet til en prosentandel av årlig inntekt, som erstatter den eldre ordningen med faste bøter. For det andre gjelder obligatorisk DPO-utnevnelse under Section 12A for kontrollører over definerte terskelverdier — de fleste annonsefinansierte utgivere og SaaS-operatører krysser disse terskelene. For det tredje krever den nye Section 12B varslingsplikt til PDP innen 72 timer etter at man er blitt oppmerksom på bruddet, med varslingsplikt overfor berørte registrerte når det er sannsynlig med betydelig skade.

Hvordan den endrede PDPA behandler informasjonskapsler og nettsporig

PDPA inneholder ingen bestemmelse spesifikk for informasjonskapsler. Samtykke- og informasjonspliktene følger av Section 5, Section 6 og Section 7 i loven og fra PDPs 2025 Public Consultation Paper om nettsporig, som artikulerte reguleringsmyndighetens forventninger etter endringen for informasjonskapselbannere og atferdsbasert annonsering. Fire punkter har størst operativ innvirkning.

Bekreftende samtykke for ikke-essensiell sporing

2025 Public Consultation Paper avviste implisitt samtykke, fortsatt bruk og forhåndsavkryssede bokser som ikke oppfyller Varsel og valg-prinsippet når det tolkes i nettkontekst. En eksplisitt bekreftende handling er påkrevd for ikke-essensielle informasjonskapsler, noe som bringer malaysisk praksis i tråd med EDPB Cookie Banner Taskforce-posisjonen.

Tospråklig varslingskrav

Section 7(3) krever at personvernerklæringen og samtykkemekanismen skal være tilgjengelig på både engelsk og Bahasa Malaysia. Dette var en del av den opprinnelige loven som endringen bekreftet; PDP har blitt stadig mer eksplisitt på at engelskspråklige bannere alene ikke oppfyller kravet for publikum som betjener malaysiske innbyggere.

Detaljerte kategorikontroller

2025 Public Consultation Paper forventer at bannere tillater brukeren å akseptere og avvise kategorier uavhengig. En enkelt aksepter-alle-knapp uten detaljer behandles som en mangel under proporsjanalitetslesningen av Section 5(c) (innsamling bør ikke være overdreven).

Grenseoverskridende overføring (Section 129)

Den opprinnelige PDPAs Section 129 krevde at grenseoverskridende overføringer skulle være til en mottaker i et hvitlistet land (en liste ministeren skulle opprettholde, men som aldri effektivt ble publisert). 2024-endringen erstatter dette med et mer praktisk rammeverk: overføringer kan fortsette til jurisdiksjoner med sammenlignbar beskyttelse, eller under passende kontraktsmessige sikkerhetstiltak, eller med eksplisitt samtykke. PDP har utstedt modellkontraktsklausuler som ligner EU SCCs.

PDPs håndhevelsesholdning i 2026

Personal Data Protection Departments holdning etter endringen skiller seg fra tilnærmingen før endringen på tre observerbare måter.

Aktive sektorvise inspeksjoner

PDP har prioritert fintech, e-handel og digitale utlånssektorer for proaktive inspeksjoner siden endringen trådte i kraft. Disse inspeksjonene starter typisk med en registreringsrevisjon og eskalerer til en bredere inspeksjon hvis registreringen ikke er oppdatert.

Høyprofilerte bøter

Den nye ordningen for administrative sanksjoner har produsert større og mer offentlig synlige bøter enn den eldre modellen med faste bøter. Flere telekom- og fintech-operatører mottok åttesifrede ringgit-straffer i 2025, noe PDP har brukt til å kommunisere at endringen har reelle konsekvenser.

ASEAN regulatorisk koordinering

PDP deltar i ASEAN Data Management Framework-arbeidsstrømmen og koordinerer med Singapores PDPC, Thailands PDPC og Filippinenes NPC. Grenseoverskridende undersøkelser som involverer malaysisk og annen ASEAN-trafikk håndteres i økende grad gjennom koordinerte prosedyrer.

En praktisk sjekkliste for samsvar

Seks konkrete spørsmål å besvare for enhver informasjonskapselbanner som betjener malaysisk trafikk.

Hvor Malaysia passer inn i en multi-jurisdiksjonsstack

Malaysia er ett av de fire mest operativt konsekvensrike ASEAN-databeskyttelsesregimene ved siden av Singapore, Thailand og Filippinene. 2024-endringen lukket mesteparten av gapet mellom den opprinnelige PDPA og GDPR, noe som betyr at en CMP-arkitektur bygget etter europeiske standarder nå håndterer hovedtyngden av malaysisk samsvar med tre spesifikke tillegg: tospråklig (engelsk + Bahasa Malaysia) banner og varsel, PDP-registrering der terskelverdier for dekket klasse gjelder, og Section 12B-varslingsprosedyren ved brudd med sin 72-timers klokke. For utgivere som bygger mot pan-ASEAN-operasjoner, er den endrede PDPA en meningsfull mal — nyere regionale lover kommer sannsynligvis til å trekke på dens struktur — og de operative tilleggene er håndterbare på toppen av en allerede distribuert samtykkestack av europeisk kvalitet.

← Blogg Les alt →