Przewodnik zgodności z nowelizacją PDPA Malaysia 2024 w zakresie zgody na pliki cookie dla wydawców w 2026 roku

Personal Data Protection Act 2010 Malezji była, gdy weszła w życie w 2013 roku, jedną z wcześniejszych kompleksowych ustaw o ochronie prywatności w Azji Południowo-Wschodniej. Przez pierwszą dekadę standard operacyjny był stosunkowo łagodny: Personal Data Protection Department (JPDP, obecnie PDP) prowadziła aktywny system rejestracji użytkowników danych w siedmiu objętych klasach działalności, ale egzekwowanie wobec ogólnych operatorów internetowych było skromne, a standard zgody był powszechnie interpretowany jako liberalny. 2024 Amendment Act, która otrzymała Royal Assent w October 2024 i weszła w życie etapami przez 2025 rok, znacząco zmieniła to podejście. Nowelizacja wprowadziła obowiązkowych DPO dla administratorów powyżej progów, obowiązkowe zgłaszanie naruszeń w ciągu 72 godzin, prawo do przenoszenia danych, przemianowanego regulatora z ostrzejszymi uprawnieniami egzekucyjnymi oraz potwierdziła wymogi transferu transgranicznego, które były dwuznacznie wdrożone w ramach oryginalnej ustawy. Dla wydawców i operatorów SaaS obsługujących ruch z Malaysia — rynku obejmującego jeden z najbardziej aktywnych ekosystemów fintech i gospodarki cyfrowej w ASEAN — znowelizowana PDPA reprezentuje znaczącą zmianę operacyjną. Ten przewodnik omawia, co zmieniło się w 2024 roku, jak PDP zinterpretowała znowelizowany standard zgody dla śledzenia online oraz gdzie należy skoncentrować praktyczną pracę nad zgodnością.

PDPA w 2026 roku — zarys po nowelizacji

Znowelizowana PDPA nadal opiera się na siedmiu zasadach w Section 5: ogólnej, powiadomienia i wyboru, ujawnienia, bezpieczeństwa, przechowywania, integralności danych oraz dostępu. Zasada powiadomienia i wyboru w Section 7 jest najbardziej konsekwentna dla zgody na pliki cookie, wymagając od użytkowników danych dostarczenia pisemnego powiadomienia zarówno w języku angielskim, jak i Bahasa Malaysia oraz uzyskania zgody (lub polegania na alternatywnej podstawie w Section 6) przed przetwarzaniem.

Trzy zmiany strukturalne z nowelizacji z 2024 roku mają znaczenie operacyjne dla wydawców internetowych. Po pierwsze, przemianowany Personal Data Protection Department ma teraz wyraźne uprawnienia do nakładania kar administracyjnych powiązanych z procentem rocznych przychodów, zastępując starszy system kar stałych. Po drugie, obowiązkowe wyznaczenie DPO zgodnie z Section 12A dotyczy administratorów powyżej określonych progów — większość wydawców wspieranych reklamami i operatorów SaaS przekracza te progi. Po trzecie, nowy Section 12B wymaga zgłoszenia naruszenia do PDP w ciągu 72 godzin od momentu uświadomienia, z wymaganym powiadomieniem dotkniętych osób, których dane dotyczą, gdy prawdopodobna jest znacząca szkoda.

Jak znowelizowana PDPA traktuje pliki cookie i śledzenie online

PDPA nie zawiera przepisu specyficznego dla plików cookie. Obowiązki dotyczące zgody i informacji wynikają z Section 5, Section 6 i Section 7 ustawy oraz z 2025 Public Consultation Paper PDP dotyczącego śledzenia online, który przedstawił oczekiwania regulatora po nowelizacji dotyczące banerów cookie i reklamy behawioralnej. Cztery punkty mają największy wpływ operacyjny.

Wyraźna zgoda na nieistotne śledzenie

2025 Public Consultation Paper odrzuciło dorozumianą zgodę, dalsze użytkowanie i wstępnie zaznaczone pola jako niespełniające zasady powiadomienia i wyboru przy interpretacji w kontekście online. Wymagane jest wyraźne działanie afirmatywne dla nieistotnych plików cookie, dostosowując praktykę Malezji do stanowiska EDPB Cookie Banner Taskforce.

Wymóg dwujęzycznego powiadomienia

Section 7(3) wymaga, aby powiadomienie o prywatności i mechanizm zgody były dostępne zarówno w języku angielskim, jak i Bahasa Malaysia. Była to cecha oryginalnej ustawy, którą nowelizacja potwierdziła; PDP jest coraz bardziej wyraźny, że banery tylko w języku angielskim nie spełniają wymogu dla odbiorców obsługujących mieszkańców Malaysia.

Szczegółowe kontrole kategorii

2025 Public Consultation Paper oczekuje, że banery pozwolą użytkownikowi akceptować i odrzucać kategorie niezależnie. Pojedynczy przycisk akceptacji wszystkiego bez szczegółowości jest traktowany jako defekt w ramach interpretacji proporcjonalności Section 5(c) (zbieranie nie powinno być nadmierne).

Transfer transgraniczny (Section 129)

Section 129 oryginalnej PDPA wymagała, aby transfery transgraniczne były do odbiorcy w kraju z białej listy (lista, którą minister miał utrzymywać, ale nigdy skutecznie nie opublikował). Nowelizacja z 2024 roku zastępuje to bardziej wykonalnym frameworkiem: transfery mogą być realizowane do jurysdykcji o porównywalnej ochronie, lub w ramach odpowiednich zabezpieczeń umownych, lub za wyraźną zgodę. PDP wydał modelowe klauzule umowne podobne do EU SCCs.

Postawa egzekucyjna PDP w 2026 roku

Postawa Personal Data Protection Department po nowelizacji różni się od jej podejścia sprzed nowelizacji na trzy obserwowalne sposoby.

Aktywne kontrole sektorowe

PDP nadała priorytet sektorom fintech, e-commerce i pożyczek cyfrowych dla proaktywnych kontroli od czasu wejścia w życie nowelizacji. Te kontrole zazwyczaj zaczynają się od audytu rejestracji i eskalują do szerszej inspekcji, jeśli rejestracja nie jest aktualna.

Grzywny o wyższym profilu

Nowy system kar administracyjnych wyprodukował większe i bardziej publicznie widoczne grzywny niż starszy model kar stałych. Kilku operatorów telekomunikacyjnych i fintech otrzymało ośmiocyfrowe kary w ringgitach w 2025 roku, które PDP wykorzystała do komunikowania, że nowelizacja ma prawdziwe zęby.

Koordynacja regulacyjna ASEAN

PDP uczestniczy w strumieniu roboczym ASEAN Data Management Framework i koordynuje się z PDPC Singapuru, PDPC Tajlandii i NPC Filipin. Dochodzenia transgraniczne dotyczące ruchu z Malaysia i innych krajów ASEAN są coraz częściej prowadzone przez skoordynowane procedury.

Praktyczna lista kontrolna zgodności

Sześć konkretnych pytań do odpowiedzi dla każdego banera cookie obsługującego ruch z Malaysia.

Gdzie Malaysia mieści się w stosie wielojurysdykcyjnym

Malaysia jest jednym z czterech najbardziej operacyjnie konsekwentnych reżimów ochrony danych ASEAN obok Singapuru, Tajlandii i Filipin. Nowelizacja z 2024 roku zamknęła większość luki między oryginalną PDPA a GDPR, co oznacza, że architektura CMP zbudowana według standardów europejskich obsługuje teraz większość zgodności z Malaysia z trzema konkretnymi dodatkami: dwujęzyczny (angielski + Bahasa Malaysia) baner i powiadomienie, rejestracja PDP tam, gdzie mają zastosowanie progi objętej klasy, oraz przepływ pracy powiadamiania o naruszeniu Section 12B z jego 72-godzinnym zegarem. Dla wydawców budujących w kierunku operacji pan-ASEAN, PDPA po nowelizacji jest znaczącym szablonem — nowsze prawa regionalne prawdopodobnie będą czerpać z jej struktury — a dodatki operacyjne są wykonalne na szczycie już wdrożonego stosu zgody klasy europejskiej.

← Blog Czytaj wszystko →