Ghid de conformitate pentru consimțământul cookie-urilor conform amendamentului PDPA 2024 din Malaysia pentru editori în 2026

Legea privind protecția datelor cu caracter personal din Malaysia din 2010 a fost, când a intrat în vigoare în 2013, una dintre primele statute cuprinzătoare privind confidențialitatea din Asia de Sud-Est. În primul său deceniu, standardul operațional a fost relativ flexibil: Personal Data Protection Department (JPDP, acum PDP) gestiona un regim activ de înregistrare pentru utilizatorii de date în șapte clase de activități acoperite, dar aplicarea legii împotriva operatorilor online generali era modestă, iar standardul de consimțământ era interpretat pe scară largă ca permisiv. 2024 Amendment Act, care a primit Royal Assent în October 2024 și a intrat în vigoare în etape pe parcursul anului 2025, a schimbat substanțial această poziție. Amendamentul a introdus Data Protection Officers obligatorii pentru responsabilii cu prelucrarea peste praguri, notificarea obligatorie a încălcărilor în termen de 72 de ore, dreptul la portabilitatea datelor, un regulator redenumit cu autoritate mai puternică de aplicare și a reafirmat cerințele de transfer transfrontalier care fuseseră implementate ambiguu în cadrul legii originale. Pentru editorii și operatorii SaaS care servesc trafic maleezian — o piață care include unul dintre cele mai active ecosisteme fintech și economie digitală din ASEAN — PDPA amendată reprezintă o schimbare operațională semnificativă. Acest ghid prezintă ce s-a schimbat în 2024, cum a interpretat PDP standardul amendat de consimțământ pentru urmărirea online și unde trebuie să se concentreze munca practică de conformitate.

PDPA în 2026 — prezentare generală post-amendament

PDPA amendată continuă să fie structurată în jurul a șapte principii din Section 5: General, Notificare și Alegere, Divulgare, Securitate, Retenție, Integritatea datelor și Acces. Principiul Notificării și Alegerii din Section 7 este cel mai important pentru consimțământul cookie-urilor, solicitând utilizatorilor de date să furnizeze o notificare scrisă atât în engleză, cât și în Bahasa Malaysia și să obțină consimțământul (sau să se bazeze pe un temei alternativ din Section 6) înainte de prelucrare.

Trei schimbări structurale din amendamentul din 2024 contează operațional pentru editorii online. În primul rând, redenumitul Personal Data Protection Department are acum autoritate explicită de a impune penalități administrative legate de un procent din veniturile anuale, înlocuind vechiul regim de amenzi fixe. În al doilea rând, desemnarea obligatorie a DPO conform Section 12A se aplică responsabililor cu prelucrarea peste pragurile definite — majoritatea editorilor susținuți de publicitate și a operatorilor SaaS depășesc aceste praguri. În al treilea rând, noul Section 12B solicită notificarea încălcării către PDP în termen de 72 de ore de la luarea la cunoștință, cu notificarea către subiectele de date afectate necesară atunci când este probabil un prejudiciu semnificativ.

Cum tratează PDPA amendată cookie-urile și urmărirea online

PDPA nu conține o prevedere specifică pentru cookie-uri. Obligațiile de consimțământ și informare derivă din Section 5, Section 6 și Section 7 ale Legii și din 2025 Public Consultation Paper al PDP privind urmărirea online, care a articulat așteptările post-amendament ale regulatorului pentru bannerele de cookie-uri și publicitatea comportamentală. Patru puncte au cel mai mare impact operațional.

Consimțământ afirmativ pentru urmărirea non-esențială

2025 Public Consultation Paper a respins consimțământul implicit, utilizarea continuă și casetele pre-bifate ca neîndeplinind Principiul Notificării și Alegerii atunci când este interpretat în contextul online. Este necesară o acțiune afirmativă explicită pentru cookie-urile non-esențiale, aliniind practica maleziană cu poziția EDPB Cookie Banner Taskforce.

Cerința de notificare bilingvă

Section 7(3) solicită ca notificarea privind confidențialitatea și mecanismul de consimțământ să fie disponibile atât în engleză, cât și în Bahasa Malaysia. Aceasta a fost o caracteristică a Legii originale pe care amendamentul a reafirmat-o; PDP a fost din ce în ce mai explicit că bannerele unilingve în engleză nu satisfac cerința pentru publicul care servește rezidenții maleezieni.

Controale granulare pe categorii

2025 Public Consultation Paper se așteaptă ca bannerele să permită utilizatorului să accepte și să respingă categoriile în mod independent. Butonul unic de acceptare totală fără granularitate este tratat ca un defect în baza interpretării proporționalității din Section 5(c) (colectarea nu ar trebui să fie excesivă).

Transfer transfrontalier (Section 129)

Section 129 al PDPA originale solicita ca transferurile transfrontaliere să fie către un destinatar dintr-o țară din lista albă (o listă pe care Ministrul trebuia să o mențină, dar nu a fost niciodată publicată efectiv). Amendamentul din 2024 înlocuiește aceasta cu un cadru mai funcțional: transferurile pot continua către jurisdicții cu protecție comparabilă, sau în baza unor garanții contractuale adecvate, sau cu consimțământ explicit. PDP a emis clauze contractuale model similare cu EU SCCs.

Poziția de aplicare a PDP în 2026

Poziția post-amendament a Personal Data Protection Department diferă de abordarea sa pre-amendament în trei moduri observabile.

Verificări sectoriale active

PDP a prioritizat sectoarele fintech, comerț electronic și creditare digitală pentru verificări proactive de când amendamentul a intrat în vigoare. Aceste verificări încep de obicei cu un audit de înregistrare și escaladează într-o inspecție mai largă dacă înregistrarea nu este curentă.

Amenzi de profil mai înalt

Noul regim de penalități administrative a produs amenzi mai mari și mai vizibile public decât vechiul model de amenzi fixe. Mai mulți operatori de telecomunicații și fintech au primit penalități de opt cifre în ringgit în 2025, pe care PDP le-a folosit pentru a comunica că amendamentul are dinți reali.

Coordonare regulatorie ASEAN

PDP participă la fluxul de lucru ASEAN Data Management Framework și coordonează cu PDPC din Singapore, PDPC din Thailanda și NPC din Filipine. Investigațiile transfrontaliere care implică trafic maleezian și din alte țări ASEAN sunt gestionate din ce în ce mai mult prin proceduri coordonate.

O listă de verificare practică a conformității

Șase întrebări concrete la care trebuie să răspundeți pentru orice banner de cookie-uri care servește trafic maleezian.

Unde se încadrează Malaysia într-un stack multi-jurisdicțional

Malaysia este unul dintre cele patru regimuri de protecție a datelor ASEAN cele mai importante din punct de vedere operațional, alături de Singapore, Thailanda și Filipine. Amendamentul din 2024 a închis cea mai mare parte a decalajului dintre PDPA originală și GDPR, ceea ce înseamnă că o arhitectură CMP construită conform standardelor europene gestionează acum cea mai mare parte a conformității maleeziene cu trei adăugiri specifice: banner și notificare bilingvă (engleză + Bahasa Malaysia), înregistrare PDP unde se aplică pragurile clasei acoperite și fluxul de notificare a încălcării Section 12B cu termenul său de 72 de ore. Pentru editorii care construiesc operațiuni pan-ASEAN, PDPA post-amendament este un șablon semnificativ — noile legi regionale sunt susceptibile să se inspire din structura sa — iar adăugirile operaționale sunt abordabile peste un stack de consimțământ de grad european deja implementat.

← Blog Citește tot →