Udhëzues i Pajtueshmërisë së Pëlqimit të Cookie-ve për Amendamentin PDPA 2024 të Malaysisë për Botuesit në 2026
Akti i Mbrojtjes së të Dhënave Personale të Malaysisë 2010 ishte, kur hyri në fuqi në 2013, një nga statuset më të hershme gjithëpërfshirëse të privatësisë në Azinë Juglindore. Për dekadën e parë standardi operacional ishte relativisht i lehtë: Personal Data Protection Department (JPDP, tani PDP) drejtonte një regjim aktiv regjistrimi për përdoruesit e të dhënave në shtatë klasa të mbuluara aktivitetesh, por zbatimi ndaj operatorëve të përgjithshëm online ishte modest dhe standardi i pëlqimit interpretohej gjerësisht si lejues. Akti i Amendamentit 2024, i cili mori Royal Assent në October 2024 dhe hyri në fuqi gradualisht gjatë 2025, ndryshoi ndjeshëm atë qëndrim. Amendamenti prezantoi Oficerët e Detyrueshëm të Mbrojtjes së të Dhënave për kontrolluesit mbi pragje, njoftimin e detyrueshëm të shkeljeve brenda 72 orëve, të drejtën e portabilitetit të të dhënave, një rregullator të riemërtuar me autoritet zbatues më të mprehtë dhe kërkesat e riafirmuara të transferimit ndërkufitar të cilat ishin zbatuar në mënyrë të paqartë nën Aktin origjinal. Për botuesit dhe operatorët SaaS që shërbejnë trafikun malajzian — një treg që përfshin një nga ekosistemet më aktive të fintech dhe ekonomisë digjitale në ASEAN — PDPA i amenduar përfaqëson një ndryshim operacional të rëndësishëm. Ky udhëzues kalon nëpër atë që ndryshoi në 2024, si e ka interpretuar PDP standardin e amenduar të pëlqimit për gjurmimin online dhe ku duhet të fokusohet puna praktike e pajtueshmërisë.
PDPA në 2026 — Skica pas Amendamentit
PDPA i amenduar vazhdon të strukturohet rreth shtatë parimeve në Section 5: të Përgjithshme, Njoftimi dhe Zgjedhja, Zbulimi, Siguria, Mbajtja, Integriteti i të Dhënave dhe Aksesi. Parimi i Njoftimit dhe Zgjedhjes në Section 7 është më pasojëmadhi për pëlqimin e cookie-ve, duke kërkuar nga përdoruesit e të dhënave të japin njoftim me shkrim në të dyja gjuhët angleze dhe Bahasa Malaysia dhe të marrin pëlqim (ose të mbështeten në një bazë alternative në Section 6) para përpunimit.
Tre ndryshime strukturore nga amendamenti 2024 kanë rëndësi operacionale për botuesit online. Së pari, Personal Data Protection Department i riemërtuar tani ka autoritet të qartë për të vendosur gjoba administrative të lidhura me një përqindje të të ardhurave vjetore, duke zëvendësuar regjimin e vjetër me gjobë fikse. Së dyti, caktimi i detyrueshëm i DPO sipas Section 12A zbatohet për kontrolluesit mbi pragjet e përcaktuara — shumica e botuesve të mbështetur nga reklamat dhe operatorëve SaaS i kalojnë ato pragje. Së treti, Section 12B e re kërkon njoftim shkeljeje ndaj PDP brenda 72 orëve nga ndërgjegjësimi, me njoftim ndaj subjekteve të prekura të të dhënave të kërkuar kur dëmi i rëndësishëm është i mundshëm.
Si e Trajton PDPA i Amenduar Cookie-t dhe Gjurmimin Online
PDPA nuk përmban një dispozitë specifike për cookie-t. Detyrimet e pëlqimit dhe informacionit rrjedhin nga Sections 5, 6 dhe 7 të Aktit dhe nga 2025 Public Consultation Paper i PDP mbi Gjurmimin Online, i cili artikuloi pritshmëritë e rregullatorit pas amendamentit për banerat e cookie-ve dhe reklamimin e sjelljes. Katër pika kanë ndikimin më operacional.
Pëlqimi afirmativ për gjurmimin jo-esencial
2025 Consultation Paper hodhi poshtë pëlqimin e nënkuptuar, vazhdimin e përdorimit dhe kutitë e parakontrolluara si dështime të Parimit të Njoftimit dhe Zgjedhjes kur interpretohen në kontekstin online. Një veprim i qartë afirmativ kërkohet për cookie-t jo-esenciale, duke harmonizuar praktikën malajziane me pozicionin e EDPB Cookie Banner Taskforce.
Kërkesa e njoftimit dygjuhësh
Section 7(3) kërkon që njoftimi i privatësisë dhe mekanizmi i pëlqimit të jetë i disponueshëm në të dyja gjuhët angleze dhe Bahasa Malaysia. Kjo ishte një veçori e Aktit origjinal që amendamenti riafirmoi; PDP ka qenë gjithnjë e më explicit se banerat vetëm në anglisht nuk plotësojnë kërkesën për audienca që shërbejnë banorët malajzianë.
Kontrolle kategorish të detajuara
Consultation Paper pret që banerat të lejojnë përdoruesin të pranojë dhe refuzojë kategoritë në mënyrë të pavarur. Pranimi me buton të vetëm pa granularitet trajtohet si defekt sipas leximit të proporcionalitetit të Section 5(c) (mbledhja nuk duhet të jetë «e tepërt»).
Transferimi ndërkufitar (Section 129)
Section 129 e PDPA origjinal kërkonte që transferimet ndërkufitare të ishin tek një marrës në një vend të «listës së bardhë» (një listë që Ministri duhej ta mirëmbante por kurrë nuk e publikoi efektivisht). Amendamenti 2024 e zëvendëson këtë me një kuadër më të zbatueshëm: transferimet mund të vazhdojnë drejt juridiksioneve me mbrojtje të krahasueshme, ose nën garanci kontraktuale të përshtatshme, ose me pëlqim të qartë. PDP ka lëshuar klauzola kontraktuale model të ngjashme me EU SCCs.
Qëndrimi Zbatues i PDP në 2026
Qëndrimi post-amendament i Personal Data Protection Department ndryshon nga qasja para amendamentit në tre mënyra të vëzhgueshme.
Inspektime aktive sektoriale
PDP ka prioritizuar sektorët fintech, e-commerce dhe kreditimin digjital për inspektime proaktive që kur amendamenti hyri në fuqi. Këto inspektime zakonisht fillojnë me një auditim regjistrimi dhe eskalojnë në një inspektim më të gjerë nëse regjistrimi nuk është i azhurnuar.
Gjoba me profil më të lartë
Regjimi i ri i gjobave administrative ka prodhuar gjoba më të mëdha dhe më të dukshme publikisht se modeli i vjetër me gjobë fikse. Disa operatorë telekomunikacioni dhe fintech morën gjoba me tetë shifra ringgit në 2025, të cilat PDP i ka përdorur për të komunikuar se amendamenti ka dhëmbë të vërtetë.
Koordinimi rregullator i ASEAN
PDP merr pjesë në rrjedhën e punës së ASEAN Data Management Framework dhe koordinon me PDPC të Singaporit, PDPC të Tajlandës dhe NPC të Filipineve. Hetimet ndërkufitare që përfshijnë trafikun malajzian dhe trafikun tjetër të ASEAN trajtohen gjithnjë e më shumë nëpërmjet procedurave të koordinuara.
Listë Kontrolli Praktike e Pajtueshmërisë
Gjashtë pyetje konkrete për t'u përgjigjur për çdo baner cookie-sh që shërben trafikun malajzian.
- A është kontrollori i regjistruar tek PDP? Nëse përpunimi bie brenda një klase të mbuluar, konfirmoni që regjistrimi është i azhurnuar. Amendamenti 2024 zgjeroi shtrirjen praktike të regjistrimit.
- A është caktuar një DPO? Section 12A kërkon caktim mbi pragjet. Konfirmoni që caktimi është i dokumentuar dhe detajet e kontaktit të DPO-s janë publikuar në njoftimin e privatësisë.
- A është njoftimi dygjuhësh? Anglishtja dhe Bahasa Malaysia janë të dyja të kërkuara sipas Section 7(3).
- A ka një refuzim të qartë në shtresën e parë? Rruga e refuzimit duhet të jetë në të njëjtën sipërfaqe si pranimi. Lëvizja si pëlqim dështon 2025 Consultation Paper.
- A janë dokumentuar transferimet ndërkufitare? Identifikoni çdo destinacion jo-malajzian dhe mekanizmin e Section 129 që autorizon transferimin.
- A është lidhur përgjigja ndaj shkeljeve? Konfirmoni që incidentet e lidhura me cookie-t aktivizojnë rrjedhën e punës së njoftimit të Section 12B me një orë 72-orëshe nga ndërgjegjësimi.
Ku Përshtatet Malaysia në një Stack Shumë-Juridiksional
Malaysia është një nga katër regjimetmet e mbrojtjes së të dhënave të ASEAN me pasoja më operacionale krahas Singaporit, Tajlandës dhe Filipineve. Amendamenti 2024 mbyll shumicën e hendekut midis PDPA origjinal dhe GDPR, që do të thotë se një arkitekturë CMP e ndërtuar sipas standardeve evropiane tani trajton pjesën më të madhe të pajtueshmërisë malajziane me tre shtesa specifike: baner dhe njoftim dygjuhësh (anglisht + Bahasa Malaysia), regjistrim PDP ku zbatohen pragjet e klasave të mbuluara dhe rrjedha e punës e njoftimit të shkeljeve të Section 12B me orën e saj 72-orëshe. Për botuesit që ndërtojnë drejt operacioneve pan-ASEAN, PDPA pas amendamentit është një model i rëndësishëm — ligjet e reja rajonale ka të ngjarë të mbështeten në strukturën e tij — dhe shtesat operacionale janë të trajtueshme mbi një stack të pëlqimit të klasës evropiane tashmë të vendosur.