Sprievodca dodržiavaním súhlasu s cookies podľa novely PDPA Malaysia 2024 pre vydavateľov v roku 2026
Personal Data Protection Act Malaysia z roku 2010 bol, keď nadobudol účinnosť v roku 2013, jedným z prvých komplexných právnych predpisov o ochrane súkromia v juhovýchodnej Ázii. Počas prvej dekády bol prevádzkový štandard relatívne mierne: Personal Data Protection Department (JPDP, teraz PDP) prevádzkoval aktívny registračný režim pre používateľov údajov v siedmich pokrytých triedach činností, no presadzovanie voči všeobecným online prevádzkovateľom bolo skromné a štandard súhlasu bol široko interpretovaný ako permisívny. 2024 Amendment Act, ktorý dostal Royal Assent v October 2024 a nadobudol účinnosť v etapách počas roku 2025, zmenil tento postoj podstatne. Novela zaviedla povinných Data Protection Officers pre prevádzkovateľov nad prahovými hodnotami, povinné oznamovanie porušení do 72 hodín, právo na prenosnosť údajov, premenovaný regulačný orgán s ostrejšími vykonávacími právomocami a potvrdila požiadavky na cezhraničný prenos, ktoré boli nejednoznačne implementované podľa pôvodného zákona. Pre vydavateľov a prevádzkovateľov SaaS obsluhujúcich malajzijskú návštevnosť — trh, ktorý zahŕňa jeden z najaktívnejších fintechových a digitálnych ekonomických ekosystémov v ASEAN — novelizovaný PDPA predstavuje zmysluplný prevádzkový posun. Tento sprievodca prechádza tým, čo sa zmenilo v roku 2024, ako PDP interpretoval novelizovaný štandard súhlasu pre online sledovanie a kde sa musí sústrediť praktická práca na dodržiavaní predpisov.
PDPA v roku 2026 — osnova po novele
Novelizovaný PDPA naďalej zostáva štruktúrovaný okolo siedmich princípov v Section 5: Všeobecný, Oznámenie a voľba, Zverejnenie, Bezpečnosť, Uchovávanie, Integrita údajov a Prístup. Princíp oznámenia a voľby v Section 7 je najzávažnejší pre súhlas s cookies, vyžaduje od používateľov údajov poskytnúť písomné oznámenie v angličtine aj Bahasa Malaysia a získať súhlas (alebo sa spoľahnúť na alternatívny základ v Section 6) pred spracovaním.
Tri štrukturálne zmeny z novely 2024 sú prevádzkovo dôležité pre online vydavateľov. Po prvé, premenovaný Personal Data Protection Department má teraz výslovnú právomoc ukladať správne sankcie viazané na percento ročných príjmov, čo nahradilo starší systém pevných pokút. Po druhé, povinné určenie DPO podľa Section 12A sa vzťahuje na prevádzkovateľov nad definovanými prahovými hodnotami — väčšina vydavateľov podporovaných reklamou a prevádzkovateľov SaaS tieto prahy prekračuje. Po tretie, nový Section 12B vyžaduje oznámenie porušenia PDP do 72 hodín od zistenia, pričom oznámenie dotknutým osobám je požadované, keď hrozí významná ujma.
Ako novelizovaný PDPA zaobchádza s cookies a online sledovaním
PDPA neobsahuje ustanovenie špecifické pre cookies. Povinnosti súhlasu a informovania vyplývajú z Section 5, Section 6 a Section 7 zákona a z 2025 Public Consultation Paper PDP o online sledovaní, ktorý artikuloval očakávania regulátora po novele pre bannery cookies a behaviorálnu reklamu. Štyri body majú najväčší prevádzkový dopad.
Potvrdzujúci súhlas pre neesenciálne sledovanie
2025 Public Consultation Paper odmietol implicitný súhlas, pokračujúce používanie a vopred začiarknuté políčka ako zlyhávajúce v splnení Princípu oznámenia a voľby, keď sa interpretuje v online kontexte. Výslovná potvrdzujúca akcia je vyžadovaná pre neesenciálne cookies, čím sa malajzijská prax zosúlaďuje s pozíciou EDPB Cookie Banner Taskforce.
Požiadavka dvojjazyčného oznámenia
Section 7(3) vyžaduje, aby oznámenie o ochrane súkromia a mechanizmus súhlasu boli dostupné v angličtine aj Bahasa Malaysia. Toto bola vlastnosť pôvodného zákona, ktorú novela potvrdila; PDP bol čoraz explicitnejší, že jednojazyčné anglické bannery nespĺňajú požiadavku pre publikum obsluhujúce malajzijských obyvateľov.
Granulárne ovládanie kategórií
2025 Public Consultation Paper očakáva, že bannery umožnia používateľovi akceptovať a odmietnuť kategórie nezávisle. Jediné tlačidlo prijať všetko bez granularity je považované za chybu podľa výkladu proporcionality Section 5(c) (zbieranie by nemalo byť nadmerné).
Cezhraničný prenos (Section 129)
Section 129 pôvodného PDPA vyžadoval, aby cezhraničné prenosy smerovali k príjemcovi v krajine na bielej listine (zoznam, ktorý mal minister udržiavať, ale nikdy účinne nezverejnil). Novela 2024 to nahrádza funkčnejším rámcom: prenosy môžu pokračovať do jurisdikcií s porovnateľnou ochranou alebo podľa vhodných zmluvných záruk alebo s výslovným súhlasom. PDP vydal vzorové zmluvné doložky podobné EU SCCs.
Postoj PDP k presadzovaniu v roku 2026
Postoj Personal Data Protection Department po novele sa líši od jeho prístupu pred novelou tromi pozorovateľnými spôsobmi.
Aktívne sektorové kontroly
PDP uprednostnil fintech, e-commerce a sektory digitálneho úverovania pre proaktívne kontroly od nadobudnutia účinnosti novely. Tieto kontroly zvyčajne začínajú registračným auditom a eskalujú do širšej inšpekcie, ak registrácia nie je aktuálna.
Pokuty s vyšším profilom
Nový režim správnych sankcií produkoval väčšie a verejne viditeľnejšie pokuty než starší model pevných pokút. Niekoľko telekomunikačných a fintechových prevádzkovateľov dostalo osemsciferné pokuty v ringgitoch v roku 2025, ktoré PDP použil na komunikáciu toho, že novela má skutočné zuby.
Koordinácia regulátorov v ASEAN
PDP sa zúčastňuje na pracovnom toku ASEAN Data Management Framework a koordinuje so Singapore PDPC, Thailand PDPC a Philippines NPC. Cezhraničné vyšetrovania zahŕňajúce malajzijskú a inú návštevnosť ASEAN sú čoraz viac riešené koordinovanými postupmi.
Praktický kontrolný zoznam dodržiavania predpisov
Šesť konkrétnych otázok, na ktoré treba odpovedať pre akýkoľvek banner cookies obsluhujúci malajzijskú návštevnosť.
- Je prevádzkovateľ registrovaný v PDP? Ak spracovanie spadá do pokrytej triedy, potvrďte, že registrácia je aktuálna. Novela 2024 rozšírila praktický rozsah registrácie.
- Je určený DPO? Section 12A vyžaduje určenie nad prahovými hodnotami. Potvrďte, že určenie je zdokumentované a kontaktné údaje DPO sú zverejnené v oznámení o ochrane súkromia.
- Je oznámenie dvojjazyčné? Angličtina a Bahasa Malaysia sú obidve vyžadované podľa Section 7(3).
- Existuje výslovné odmietnutie prvej vrstvy? Cesta odmietnutia musí byť na rovnakom povrchu ako prijatie. Rolovanie ako súhlas zlyhá v 2025 Public Consultation Paper.
- Sú zdokumentované cezhraničné prenosy? Identifikujte každú nemalajzijskú destináciu a mechanizmus Section 129 autorizujúci prenos.
- Je zapojená reakcia na porušenie? Potvrďte, že incidenty súvisiace s cookies spúšťajú pracovný postup oznamovania Section 12B s 72-hodinovými hodinami od zistenia.
Kde Malaysia zapadá do multi-jurisdikčného stacku
Malaysia je jedným zo štyroch prevádzkovo najzávažnejších režimov ochrany údajov v ASEAN popri Singapore, Thailand a Philippines. Novela 2024 uzavrela väčšinu medzery medzi pôvodným PDPA a GDPR, čo znamená, že CMP architektúra postavená na európskych štandardoch teraz zvláda väčšinu malajzijského dodržiavania predpisov s tromi špecifickými doplnkami: dvojjazyčný (angličtina + Bahasa Malaysia) banner a oznámenie, registrácia PDP tam, kde platia prahy pokrytej triedy, a pracovný postup oznamovania porušenia Section 12B s jeho 72-hodinovými hodinami. Pre vydavateľov budujúcich smerom k pan-ASEAN operáciám je PDPA po novele zmysluplnou šablónou — novšie regionálne zákony pravdepodobne budú čerpať z jeho štruktúry — a prevádzkové doplnky sú zvládnuteľné nad už nasadeným európskym zásobníkom súhlasu.