Guide för efterlevnad av cookiesamtycke enligt Malaysias PDPA-ändring 2024 för utgivare 2026

Malaysias Personal Data Protection Act 2010 var, när den trädde i kraft 2013, en av de tidigare heltäckande integritetslagstiftningarna i Sydostasien. Under det första decenniet var den operativa standarden relativt lätt: Personal Data Protection Department (JPDP, nu PDP) drev ett aktivt registreringsregim för dataanvändare i sju täckta verksamhetsklasser, men tillämpningen mot allmänna onlineoperatörer var blygsam och samtyckesstandarden tolkades allmänt som tillåtande. 2024 Amendment Act, som mottog Royal Assent i October 2024 och trädde i kraft i etapper under 2025, förändrade den hållningen väsentligt. Ändringen introducerade obligatoriska dataskyddsombud för personuppgiftsansvariga över trösklar, obligatorisk anmälning av dataintrång inom 72 timmar, rätten till dataportabilitet, en omdöpt tillsynsmyndighet med skarpare tillämpningsbefogenheter och bekräftade krav på gränsöverskridande överföring som hade genomförts tvetydigt under den ursprungliga lagen. För utgivare och SaaS-operatörer som betjänar malaysisk trafik — en marknad som inkluderar ett av de mest aktiva fintech- och digitalekonomekosystemen i ASEAN — innebär den ändrade PDPA en meningsfull operativ förändring. Den här guiden går igenom vad som förändrades 2024, hur PDP har tolkat den ändrade samtyckesstandarden för onlinespårning och var det praktiska efterlevnadsarbetet behöver fokuseras.

PDPA 2026 — Översikt efter ändringen

Den ändrade PDPA fortsätter att struktureras kring sju principer i Section 5: Allmänt, Meddelande och val, Utlämnande, Säkerhet, Lagring, Dataintegritet och Åtkomst. Meddelande- och valsprincipen i Section 7 är den mest avgörande för cookiesamtycke och kräver att dataanvändare ger skriftligt meddelande på både engelska och Bahasa Malaysia och inhämtar samtycke (eller förlitar sig på en alternativ grund i Section 6) innan behandling.

Tre strukturella förändringar från 2024 års ändring är operativt viktiga för onlineutgivare. För det första har det omdöpta Personal Data Protection Department nu uttrycklig befogenhet att ålägga administrativa sanktioner kopplade till en procentandel av den årliga omsättningen, vilket ersätter det äldre regimen med fasta böter. För det andra gäller obligatorisk DPO-utnämning enligt Section 12A för personuppgiftsansvariga över definierade trösklar — de flesta annonsfinansierade utgivare och SaaS-operatörer överstiger dessa trösklar. För det tredje kräver den nya Section 12B anmälning av dataintrång till PDP inom 72 timmar från kännedom, med meddelande till berörda registrerade när betydande skada är sannolik.

Hur den ändrade PDPA behandlar cookies och onlinespårning

PDPA innehåller ingen cookiespecifik bestämmelse. Samtyckes- och informationsskyldigheterna härrör från Sections 5, 6 och 7 i lagen och från PDP:s 2025 Public Consultation Paper om onlinespårning, som artikulerade tillsynsmyndighetens förväntningar efter ändringen avseende cookiebanner och beteendebaserad annonsering. Fyra punkter har störst operativ påverkan.

Aktivt samtycke för icke-väsentlig spårning

2025 Consultation Paper avvisade underförstått samtycke, fortsatt användning och förkryssade rutor som att misslyckas med meddelande- och valsprincipen när den tolkas i onlinesammanhang. En explicit aktiv handling krävs för icke-väsentliga cookies, vilket anpassar malaysisk praxis till EDPB Cookie Banner Taskforce-ställningen.

Krav på tvåspråkigt meddelande

Section 7(3) kräver att integritetsmeddelandet och samtyckesmekanismen ska finnas tillgängliga på både engelska och Bahasa Malaysia. Detta var ett inslag i den ursprungliga lagen som ändringen bekräftade; PDP har blivit alltmer explicit med att enspråkiga engelska banners inte uppfyller kravet för målgrupper som betjänar malaysiska innevånare.

Detaljerade kategorikontroller

Consultation Paper förväntar sig att banners låter användaren acceptera och avvisa kategorier oberoende av varandra. Acceptera-allt med en knapp utan granularitet behandlas som en brist under proportionalitetstolkningen av Section 5(c) (insamling ska inte vara «överdriven»).

Gränsöverskridande överföring (Section 129)

Den ursprungliga PDPA:s Section 129 krävde att gränsöverskridande överföringar skedde till en mottagare i ett «vitlistat» land (en lista som ministern skulle upprätthålla men aldrig effektivt publicerade). 2024 års ändring ersätter detta med ett mer användbart ramverk: överföringar kan genomföras till jurisdiktioner med jämförbart skydd, eller under lämpliga avtalsgarantier, eller med uttryckligt samtycke. PDP har utfärdat standardavtalsklausuler liknande EU SCCs.

PDP:s tillämpningshållning 2026

Personal Data Protection Departments hållning efter ändringen skiljer sig från tillvägagångssättet före ändringen på tre observerbara sätt.

Aktiva sektoriella granskningar

PDP har prioriterat fintech, e-handel och digital utlåningssektor för proaktiva granskningar sedan ändringen trädde i kraft. Dessa granskningar börjar vanligtvis med en registreringsrevision och eskalerar till en bredare inspektion om registreringen inte är aktuell.

Mer uppmärksammade böter

Det nya administrativa sanktionsregimen har producerat större och mer offentligt synliga böter än den äldre modellen med fasta böter. Flera telekom- och fintechoperatörer fick åttasiffriga ringgitböter 2025, vilket PDP har använt för att kommunicera att ändringen har verkliga tänder.

ASEAN:s regulatoriska samordning

PDP deltar i ASEAN Data Management Framework-arbetsflödet och samordnar med Singapores PDPC, Thailands PDPC och Filippinernas NPC. Gränsöverskridande utredningar som involverar malaysisk och annan ASEAN-trafik hanteras i allt högre grad genom samordnade förfaranden.

En praktisk efterlevnadschecklista

Sex konkreta frågor att besvara för varje cookiebanner som betjänar malaysisk trafik.

Var Malaysia passar i en flerjurisdiktionsstack

Malaysia är ett av de fyra mest operativt betydelsefulla ASEAN-dataskyddsregimerna vid sidan av Singapore, Thailand och Filippinerna. 2024 års ändring stängde det mesta av klyftan mellan den ursprungliga PDPA och GDPR, vilket innebär att en CMP-arkitektur byggd enligt europeiska standarder nu hanterar merparten av malaysisk efterlevnad med tre specifika tillägg: tvåspråkig banner och meddelande (engelska + Bahasa Malaysia), PDP-registrering där trösklar för täckta klasser gäller och Section 12B:s anmälningsarbetsflöde för dataintrång med dess 72-timmarsklocka. För utgivare som bygger mot pan-ASEAN-verksamhet är PDPA efter ändringen en meningsfull mall — nyare regionala lagar kommer sannolikt att dra nytta av dess struktur — och de operativa tilläggen är hanterbara ovanpå en redan distribuerad europeisk samtyckesstack.

← Blogg Läs allt →