Malezija PDPA 2024 Sprememba Privolitev za Piškotke Vodnik za Skladnost za Založnike v 2026
Malezijski zakon o varstvu osebnih podatkov iz leta 2010 je bil, ko je začel veljati leta 2013, eden zgodnjih celovitih zakonov o zasebnosti v jugovzhodni Aziji. Prvo desetletje je bil operativni standard razmeroma lahek: Personal Data Protection Department (JPDP, zdaj PDP) je vodil aktiven režim registracije uporabnikov podatkov v sedmih zajetih razredih dejavnosti, vendar je bilo uveljavljanje proti splošnim spletnim operaterjem skromno in standard privolitve je bil široko razumljen kot dovoljen. Zakon o spremembah iz leta 2024, ki je prejel Royal Assent oktobra 2024 in začel veljati v fazah skozi leto 2025, je to držo bistveno spremenil. Sprememba je uvedla obvezne pooblaščence za varstvo podatkov za upravljavce nad pragovi, obvezno obveščanje o kršitvah v 72 urah, pravico do prenosljivosti podatkov, preimenovanega regulatorja z ostrejšimi pooblastili za izvrševanje ter potrdila zahteve za čezmejni prenos, ki so bile dvoumno izvedene v prvotnem zakonu. Za založnike in ponudnike SaaS, ki strežejo malezijskemu prometu — trgu, ki vključuje eden najbolj aktivnih ekosistemov fintech in digitalnega gospodarstva v ASEAN — spremenjeni PDPA predstavlja pomembno operativno spremembo. Ta vodnik obravnava, kaj se je spremenilo leta 2024, kako je PDP razlagal spremenjeni standard privolitve za spletno sledenje in kje se mora osredotočiti praktično delo za skladnost.
PDPA v letu 2026 — Oris po spremembi
Spremenjeni PDPA še naprej temelji na sedmih načelih v Section 5: splošno, obveščanje in izbira, razkritje, varnost, hranjenje, celovitost podatkov in dostop. Načelo obveščanja in izbire v Section 7 je najpomembnejše za privolitev za piškotke, ki zahteva, da uporabniki podatkov zagotovijo pisno obvestilo v angleščini in Bahasa Malaysia ter pridobijo privolitev (ali se zanašajo na alternativno podlago v Section 6) pred obdelavo.
Tri strukturne spremembe iz spremembe iz leta 2024 so operativno pomembne za spletne založnike. Prvič, preimenovani Personal Data Protection Department ima zdaj izrecno pooblastilo za naložitev upravnih kazni, vezanih na odstotek letnega prihodka, ki nadomešča starejši režim fiksnih kazni. Drugič, obvezna določitev pooblaščenca za varstvo podatkov po Section 12A velja za upravljavce nad opredeljenimi pragovi — večina založnikov, ki jih podpirajo oglasi, in ponudnikov SaaS preseže te pragove. Tretjič, novi Section 12B zahteva obveščanje o kršitvah PDP v 72 urah od zavedanja, pri čemer je treba obvestiti prizadete posameznike, kadar je verjetna velika škoda.
Kako spremenjeni PDPA obravnava piškotke in spletno sledenje
PDPA ne vsebuje določbe, specifične za piškotke. Obveznosti privolitve in informiranja izhajajo iz Section 5, 6 in 7 zakona ter iz PDP 2025 Public Consultation Paper o spletnem sledenju, ki je izrazil pričakovanja regulatorja po spremembi za pasice s piškotki in vedenjsko oglaševanje. Štiri točke imajo največji operativni vpliv.
Afirmativna privolitev za nebistveno sledenje
2025 Consultation Paper je zavrnila navidezno privolitev, nadaljnjo uporabo in vnaprej označena polja, ker ne izpolnjujejo načela obveščanja in izbire, ko je razlagano v spletnem kontekstu. Za nebistvene piškotke je potrebno izrecno afirmativno dejanje, kar usklajuje malezijsko prakso s stališčem EDPB Cookie Banner Taskforce.
Zahteva za dvojezično obvestilo
Section 7(3) zahteva, da sta obvestilo o zasebnosti in mehanizem privolitve na voljo v angleščini in Bahasa Malaysia. To je bila značilnost prvotnega zakona, ki ga je sprememba potrdila; PDP je bil vse bolj jasen, da pasice v angleščini ne izpolnjujejo zahteve za občinstvo, ki streže malezijskim prebivalcem.
Granulirani nadzor kategorij
Consultation Paper pričakuje, da pasice uporabniku omogočijo neodvisno sprejemanje in zavračanje kategorij. En gumb za sprejem vsega brez granularnosti je obravnavan kot pomanjkljivost pri branju sorazmernosti Section 5(c) (zbiranje ne sme biti prekomerno).
Čezmejni prenos (Section 129)
Section 129 prvotnega PDPA je zahteval, da morajo biti čezmejni prenosi prejemniku v državi na belem seznamu (seznam, ki ga je moral vzdrževati minister, vendar ga nikoli ni učinkovito objavil). Sprememba iz leta 2024 to nadomešča z bolj izvedljivim okvirom: prenosi lahko potekajo v jurisdikcije s primerljivo zaščito, ali pod ustreznimi pogodbenim zaščitnimi ukrepi, ali z izrecno privolitvijo. PDP je izdal vzorčne pogodbene klavzule, podobne EU SCCs.
Izvrševalna drža PDP v letu 2026
Drža Personal Data Protection Department po spremembi se razlikuje od njegovega pristopa pred spremembo na tri opazne načine.
Aktivna sektorska preverjanja
PDP je prednostno obravnaval sektorje fintech, e-trgovine in digitalnega posojanja za proaktivna preverjanja od začetka veljavnosti spremembe. Ta preverjanja se običajno začnejo z revizijo registracije in se stopnjujejo v širšo inšpekcijo, če registracija ni trenutna.
Bolj vidne kazni
Nov režim upravnih kazni je prinesel večje in javno vidnejše kazni kot starejši model fiksnih kazni. Več telekomunikacijskih in fintech operaterjev je prejelo osmestmestne kazni v ringgitih leta 2025, kar je PDP uporabil za sporočanje, da ima sprememba resnične zobe.
Koordinacija regulatorjev ASEAN
PDP sodeluje v delovni skupini ASEAN Data Management Framework in se usklajuje s singapurskim PDPC, tajskim PDPC in filipinskim NPC. Čezmejne preiskave, ki vključujejo malezijski in drugi promet ASEAN, se vse bolj obravnavajo po usklajenih postopkih.
Praktični kontrolni seznam za skladnost
Šest konkretnih vprašanj, na katera je treba odgovoriti za katero koli pasico s piškotki, ki streže malezijskemu prometu.
- Ali je upravljavec registriran pri PDP? Če obdelava spada v zajeti razred, potrdite, da je registracija trenutna. Sprememba iz leta 2024 je razširila praktični obseg registracije.
- Ali je določen pooblaščenec za varstvo podatkov? Section 12A zahteva določitev nad pragovi. Potrdite, da je določitev dokumentirana in da so kontaktni podatki pooblaščenca za varstvo podatkov objavljeni v obvestilu o zasebnosti.
- Ali je obvestilo dvojezično? Angleščina in Bahasa Malaysia sta obe potrebni po Section 7(3).
- Ali obstaja izrecno zavrnitev na prvi plasti? Pot zavrnitve mora biti na isti površini kot sprejem. Drsenje kot privolitev ne izpolnjuje 2025 Consultation Paper.
- Ali so čezmejni prenosi dokumentirani? Identificirajte vsako nemalezijsko destinacijo in mehanizem Section 129, ki dovoljuje prenos.
- Ali je odziv na kršitev povezan? Potrdite, da incidenti, povezani s piškotki, sprožijo delovni tok obveščanja Section 12B s 72-urno uro od zavedanja.
Kje se Malezija ujema v več-jurisdikcijski sklop
Malezija je eden od štirih operativno najpomembnejših režimov varstva podatkov ASEAN poleg Singapurja, Tajske in Filipinov. Sprememba iz leta 2024 je zaprla večino vrzeli med prvotnim PDPA in GDPR, kar pomeni, da arhitektura CMP, zgrajena po evropskih standardih, zdaj obvladuje večino malezijske skladnosti s tremi specifičnimi dodatki: dvojezična (angleščina + Bahasa Malaysia) pasica in obvestilo, registracija PDP, kjer veljajo pragovi zajetega razreda, in delovni tok obveščanja o kršitvah Section 12B z 72-urno uro. Za založnike, ki gradijo proti pan-ASEAN operacijam, je PDPA po spremembi pomembna predloga — novejši regionalni zakoni bodo verjetno črpali iz njegove strukture — in operativni dodatki so izvedljivi na vrhu že razpostavljenega evropskega razreda skladnosti privolitve.