Guide för efterlevnad av cookiesamtycke enligt Malaysias PDPA-ändring 2024 för utgivare 2026
Malaysias Personal Data Protection Act 2010 var, när den trädde i kraft 2013, en av de tidigare heltäckande integritetslagstiftningarna i Sydostasien. Under det första decenniet var den operativa standarden relativt lätt: Personal Data Protection Department (JPDP, nu PDP) drev ett aktivt registreringsregim för dataanvändare i sju täckta verksamhetsklasser, men tillämpningen mot allmänna onlineoperatörer var blygsam och samtyckesstandarden tolkades allmänt som tillåtande. 2024 Amendment Act, som mottog Royal Assent i October 2024 och trädde i kraft i etapper under 2025, förändrade den hållningen väsentligt. Ändringen introducerade obligatoriska dataskyddsombud för personuppgiftsansvariga över trösklar, obligatorisk anmälning av dataintrång inom 72 timmar, rätten till dataportabilitet, en omdöpt tillsynsmyndighet med skarpare tillämpningsbefogenheter och bekräftade krav på gränsöverskridande överföring som hade genomförts tvetydigt under den ursprungliga lagen. För utgivare och SaaS-operatörer som betjänar malaysisk trafik — en marknad som inkluderar ett av de mest aktiva fintech- och digitalekonomekosystemen i ASEAN — innebär den ändrade PDPA en meningsfull operativ förändring. Den här guiden går igenom vad som förändrades 2024, hur PDP har tolkat den ändrade samtyckesstandarden för onlinespårning och var det praktiska efterlevnadsarbetet behöver fokuseras.
PDPA 2026 — Översikt efter ändringen
Den ändrade PDPA fortsätter att struktureras kring sju principer i Section 5: Allmänt, Meddelande och val, Utlämnande, Säkerhet, Lagring, Dataintegritet och Åtkomst. Meddelande- och valsprincipen i Section 7 är den mest avgörande för cookiesamtycke och kräver att dataanvändare ger skriftligt meddelande på både engelska och Bahasa Malaysia och inhämtar samtycke (eller förlitar sig på en alternativ grund i Section 6) innan behandling.
Tre strukturella förändringar från 2024 års ändring är operativt viktiga för onlineutgivare. För det första har det omdöpta Personal Data Protection Department nu uttrycklig befogenhet att ålägga administrativa sanktioner kopplade till en procentandel av den årliga omsättningen, vilket ersätter det äldre regimen med fasta böter. För det andra gäller obligatorisk DPO-utnämning enligt Section 12A för personuppgiftsansvariga över definierade trösklar — de flesta annonsfinansierade utgivare och SaaS-operatörer överstiger dessa trösklar. För det tredje kräver den nya Section 12B anmälning av dataintrång till PDP inom 72 timmar från kännedom, med meddelande till berörda registrerade när betydande skada är sannolik.
Hur den ändrade PDPA behandlar cookies och onlinespårning
PDPA innehåller ingen cookiespecifik bestämmelse. Samtyckes- och informationsskyldigheterna härrör från Sections 5, 6 och 7 i lagen och från PDP:s 2025 Public Consultation Paper om onlinespårning, som artikulerade tillsynsmyndighetens förväntningar efter ändringen avseende cookiebanner och beteendebaserad annonsering. Fyra punkter har störst operativ påverkan.
Aktivt samtycke för icke-väsentlig spårning
2025 Consultation Paper avvisade underförstått samtycke, fortsatt användning och förkryssade rutor som att misslyckas med meddelande- och valsprincipen när den tolkas i onlinesammanhang. En explicit aktiv handling krävs för icke-väsentliga cookies, vilket anpassar malaysisk praxis till EDPB Cookie Banner Taskforce-ställningen.
Krav på tvåspråkigt meddelande
Section 7(3) kräver att integritetsmeddelandet och samtyckesmekanismen ska finnas tillgängliga på både engelska och Bahasa Malaysia. Detta var ett inslag i den ursprungliga lagen som ändringen bekräftade; PDP har blivit alltmer explicit med att enspråkiga engelska banners inte uppfyller kravet för målgrupper som betjänar malaysiska innevånare.
Detaljerade kategorikontroller
Consultation Paper förväntar sig att banners låter användaren acceptera och avvisa kategorier oberoende av varandra. Acceptera-allt med en knapp utan granularitet behandlas som en brist under proportionalitetstolkningen av Section 5(c) (insamling ska inte vara «överdriven»).
Gränsöverskridande överföring (Section 129)
Den ursprungliga PDPA:s Section 129 krävde att gränsöverskridande överföringar skedde till en mottagare i ett «vitlistat» land (en lista som ministern skulle upprätthålla men aldrig effektivt publicerade). 2024 års ändring ersätter detta med ett mer användbart ramverk: överföringar kan genomföras till jurisdiktioner med jämförbart skydd, eller under lämpliga avtalsgarantier, eller med uttryckligt samtycke. PDP har utfärdat standardavtalsklausuler liknande EU SCCs.
PDP:s tillämpningshållning 2026
Personal Data Protection Departments hållning efter ändringen skiljer sig från tillvägagångssättet före ändringen på tre observerbara sätt.
Aktiva sektoriella granskningar
PDP har prioriterat fintech, e-handel och digital utlåningssektor för proaktiva granskningar sedan ändringen trädde i kraft. Dessa granskningar börjar vanligtvis med en registreringsrevision och eskalerar till en bredare inspektion om registreringen inte är aktuell.
Mer uppmärksammade böter
Det nya administrativa sanktionsregimen har producerat större och mer offentligt synliga böter än den äldre modellen med fasta böter. Flera telekom- och fintechoperatörer fick åttasiffriga ringgitböter 2025, vilket PDP har använt för att kommunicera att ändringen har verkliga tänder.
ASEAN:s regulatoriska samordning
PDP deltar i ASEAN Data Management Framework-arbetsflödet och samordnar med Singapores PDPC, Thailands PDPC och Filippinernas NPC. Gränsöverskridande utredningar som involverar malaysisk och annan ASEAN-trafik hanteras i allt högre grad genom samordnade förfaranden.
En praktisk efterlevnadschecklista
Sex konkreta frågor att besvara för varje cookiebanner som betjänar malaysisk trafik.
- Är den personuppgiftsansvarige PDP-registrerad? Om behandlingen faller inom en täckt klass, bekräfta att registreringen är aktuell. 2024 års ändring utvidgade den praktiska registreringens räckvidd.
- Är ett DPO utsett? Section 12A kräver utnämning över trösklar. Bekräfta att utnämningen är dokumenterad och att DPO:s kontaktuppgifter är publicerade i integritetsmeddelandet.
- Är meddelandet tvåspråkigt? Engelska och Bahasa Malaysia krävs båda enligt Section 7(3).
- Finns det ett explicit avvisande i första lagret? Avvisningsvägen måste finnas på samma yta som godkännandet. Scrollning som samtycke misslyckas med 2025 Consultation Paper.
- Är gränsöverskridande överföringar dokumenterade? Identifiera varje icke-malaysisk destination och Section 129-mekanismen som auktoriserar överföringen.
- Är intrångshanteringen kopplad? Bekräfta att cookierelaterade incidenter utlöser Section 12B-anmälningsarbetsflödet med ett 72-timmarsklocka från kännedom.
Var Malaysia passar i en flerjurisdiktionsstack
Malaysia är ett av de fyra mest operativt betydelsefulla ASEAN-dataskyddsregimerna vid sidan av Singapore, Thailand och Filippinerna. 2024 års ändring stängde det mesta av klyftan mellan den ursprungliga PDPA och GDPR, vilket innebär att en CMP-arkitektur byggd enligt europeiska standarder nu hanterar merparten av malaysisk efterlevnad med tre specifika tillägg: tvåspråkig banner och meddelande (engelska + Bahasa Malaysia), PDP-registrering där trösklar för täckta klasser gäller och Section 12B:s anmälningsarbetsflöde för dataintrång med dess 72-timmarsklocka. För utgivare som bygger mot pan-ASEAN-verksamhet är PDPA efter ändringen en meningsfull mall — nyare regionala lagar kommer sannolikt att dra nytta av dess struktur — och de operativa tilläggen är hanterbara ovanpå en redan distribuerad europeisk samtyckesstack.