Przewodnik zgodności z nowelizacją PDPA Malaysia 2024 w zakresie zgody na pliki cookie dla wydawców w 2026 roku
Personal Data Protection Act 2010 Malezji była, gdy weszła w życie w 2013 roku, jedną z wcześniejszych kompleksowych ustaw o ochronie prywatności w Azji Południowo-Wschodniej. Przez pierwszą dekadę standard operacyjny był stosunkowo łagodny: Personal Data Protection Department (JPDP, obecnie PDP) prowadziła aktywny system rejestracji użytkowników danych w siedmiu objętych klasach działalności, ale egzekwowanie wobec ogólnych operatorów internetowych było skromne, a standard zgody był powszechnie interpretowany jako liberalny. 2024 Amendment Act, która otrzymała Royal Assent w October 2024 i weszła w życie etapami przez 2025 rok, znacząco zmieniła to podejście. Nowelizacja wprowadziła obowiązkowych DPO dla administratorów powyżej progów, obowiązkowe zgłaszanie naruszeń w ciągu 72 godzin, prawo do przenoszenia danych, przemianowanego regulatora z ostrzejszymi uprawnieniami egzekucyjnymi oraz potwierdziła wymogi transferu transgranicznego, które były dwuznacznie wdrożone w ramach oryginalnej ustawy. Dla wydawców i operatorów SaaS obsługujących ruch z Malaysia — rynku obejmującego jeden z najbardziej aktywnych ekosystemów fintech i gospodarki cyfrowej w ASEAN — znowelizowana PDPA reprezentuje znaczącą zmianę operacyjną. Ten przewodnik omawia, co zmieniło się w 2024 roku, jak PDP zinterpretowała znowelizowany standard zgody dla śledzenia online oraz gdzie należy skoncentrować praktyczną pracę nad zgodnością.
PDPA w 2026 roku — zarys po nowelizacji
Znowelizowana PDPA nadal opiera się na siedmiu zasadach w Section 5: ogólnej, powiadomienia i wyboru, ujawnienia, bezpieczeństwa, przechowywania, integralności danych oraz dostępu. Zasada powiadomienia i wyboru w Section 7 jest najbardziej konsekwentna dla zgody na pliki cookie, wymagając od użytkowników danych dostarczenia pisemnego powiadomienia zarówno w języku angielskim, jak i Bahasa Malaysia oraz uzyskania zgody (lub polegania na alternatywnej podstawie w Section 6) przed przetwarzaniem.
Trzy zmiany strukturalne z nowelizacji z 2024 roku mają znaczenie operacyjne dla wydawców internetowych. Po pierwsze, przemianowany Personal Data Protection Department ma teraz wyraźne uprawnienia do nakładania kar administracyjnych powiązanych z procentem rocznych przychodów, zastępując starszy system kar stałych. Po drugie, obowiązkowe wyznaczenie DPO zgodnie z Section 12A dotyczy administratorów powyżej określonych progów — większość wydawców wspieranych reklamami i operatorów SaaS przekracza te progi. Po trzecie, nowy Section 12B wymaga zgłoszenia naruszenia do PDP w ciągu 72 godzin od momentu uświadomienia, z wymaganym powiadomieniem dotkniętych osób, których dane dotyczą, gdy prawdopodobna jest znacząca szkoda.
Jak znowelizowana PDPA traktuje pliki cookie i śledzenie online
PDPA nie zawiera przepisu specyficznego dla plików cookie. Obowiązki dotyczące zgody i informacji wynikają z Section 5, Section 6 i Section 7 ustawy oraz z 2025 Public Consultation Paper PDP dotyczącego śledzenia online, który przedstawił oczekiwania regulatora po nowelizacji dotyczące banerów cookie i reklamy behawioralnej. Cztery punkty mają największy wpływ operacyjny.
Wyraźna zgoda na nieistotne śledzenie
2025 Public Consultation Paper odrzuciło dorozumianą zgodę, dalsze użytkowanie i wstępnie zaznaczone pola jako niespełniające zasady powiadomienia i wyboru przy interpretacji w kontekście online. Wymagane jest wyraźne działanie afirmatywne dla nieistotnych plików cookie, dostosowując praktykę Malezji do stanowiska EDPB Cookie Banner Taskforce.
Wymóg dwujęzycznego powiadomienia
Section 7(3) wymaga, aby powiadomienie o prywatności i mechanizm zgody były dostępne zarówno w języku angielskim, jak i Bahasa Malaysia. Była to cecha oryginalnej ustawy, którą nowelizacja potwierdziła; PDP jest coraz bardziej wyraźny, że banery tylko w języku angielskim nie spełniają wymogu dla odbiorców obsługujących mieszkańców Malaysia.
Szczegółowe kontrole kategorii
2025 Public Consultation Paper oczekuje, że banery pozwolą użytkownikowi akceptować i odrzucać kategorie niezależnie. Pojedynczy przycisk akceptacji wszystkiego bez szczegółowości jest traktowany jako defekt w ramach interpretacji proporcjonalności Section 5(c) (zbieranie nie powinno być nadmierne).
Transfer transgraniczny (Section 129)
Section 129 oryginalnej PDPA wymagała, aby transfery transgraniczne były do odbiorcy w kraju z białej listy (lista, którą minister miał utrzymywać, ale nigdy skutecznie nie opublikował). Nowelizacja z 2024 roku zastępuje to bardziej wykonalnym frameworkiem: transfery mogą być realizowane do jurysdykcji o porównywalnej ochronie, lub w ramach odpowiednich zabezpieczeń umownych, lub za wyraźną zgodę. PDP wydał modelowe klauzule umowne podobne do EU SCCs.
Postawa egzekucyjna PDP w 2026 roku
Postawa Personal Data Protection Department po nowelizacji różni się od jej podejścia sprzed nowelizacji na trzy obserwowalne sposoby.
Aktywne kontrole sektorowe
PDP nadała priorytet sektorom fintech, e-commerce i pożyczek cyfrowych dla proaktywnych kontroli od czasu wejścia w życie nowelizacji. Te kontrole zazwyczaj zaczynają się od audytu rejestracji i eskalują do szerszej inspekcji, jeśli rejestracja nie jest aktualna.
Grzywny o wyższym profilu
Nowy system kar administracyjnych wyprodukował większe i bardziej publicznie widoczne grzywny niż starszy model kar stałych. Kilku operatorów telekomunikacyjnych i fintech otrzymało ośmiocyfrowe kary w ringgitach w 2025 roku, które PDP wykorzystała do komunikowania, że nowelizacja ma prawdziwe zęby.
Koordynacja regulacyjna ASEAN
PDP uczestniczy w strumieniu roboczym ASEAN Data Management Framework i koordynuje się z PDPC Singapuru, PDPC Tajlandii i NPC Filipin. Dochodzenia transgraniczne dotyczące ruchu z Malaysia i innych krajów ASEAN są coraz częściej prowadzone przez skoordynowane procedury.
Praktyczna lista kontrolna zgodności
Sześć konkretnych pytań do odpowiedzi dla każdego banera cookie obsługującego ruch z Malaysia.
- Czy administrator jest zarejestrowany w PDP? Jeśli przetwarzanie mieści się w objętej klasie, potwierdź, że rejestracja jest aktualna. Nowelizacja z 2024 roku rozszerzyła praktyczny zakres rejestracji.
- Czy wyznaczono DPO? Section 12A wymaga wyznaczenia powyżej progów. Potwierdź, że wyznaczenie jest udokumentowane, a dane kontaktowe DPO są opublikowane w powiadomieniu o prywatności.
- Czy powiadomienie jest dwujęzyczne? Zarówno angielski, jak i Bahasa Malaysia są wymagane zgodnie z Section 7(3).
- Czy istnieje wyraźne odrzucenie w pierwszej warstwie? Ścieżka odrzucenia musi znajdować się na tej samej powierzchni co akceptacja. Przewijanie jako zgoda nie spełnia wymogów 2025 Public Consultation Paper.
- Czy transfery transgraniczne są udokumentowane? Zidentyfikuj każde miejsce docelowe spoza Malaysia i mechanizm Section 129 autoryzujący transfer.
- Czy odpowiedź na naruszenie jest podłączona? Potwierdź, że incydenty związane z plikami cookie uruchamiają proces powiadamiania Section 12B z 72-godzinnym zegarem od momentu uświadomienia.
Gdzie Malaysia mieści się w stosie wielojurysdykcyjnym
Malaysia jest jednym z czterech najbardziej operacyjnie konsekwentnych reżimów ochrony danych ASEAN obok Singapuru, Tajlandii i Filipin. Nowelizacja z 2024 roku zamknęła większość luki między oryginalną PDPA a GDPR, co oznacza, że architektura CMP zbudowana według standardów europejskich obsługuje teraz większość zgodności z Malaysia z trzema konkretnymi dodatkami: dwujęzyczny (angielski + Bahasa Malaysia) baner i powiadomienie, rejestracja PDP tam, gdzie mają zastosowanie progi objętej klasy, oraz przepływ pracy powiadamiania o naruszeniu Section 12B z jego 72-godzinnym zegarem. Dla wydawców budujących w kierunku operacji pan-ASEAN, PDPA po nowelizacji jest znaczącym szablonem — nowsze prawa regionalne prawdopodobnie będą czerpać z jej struktury — a dodatki operacyjne są wykonalne na szczycie już wdrożonego stosu zgody klasy europejskiej.