2026 Yılı için Yayıncılara Yönelik Malaysia PDPA 2024 Değişikliği Çerez Onayı Uyumluluk Kılavuzu
Malaysia'nın 2010 tarihli Kişisel Verileri Koruma Yasası, 2013'te yürürlüğe girdiğinde Güneydoğu Asya'daki ilk kapsamlı gizlilik mevzuatlarından biriydi. İlk on yılında operasyonel standart nispeten hafifti: Personal Data Protection Department (JPDP, şimdi PDP), yedi kapsanan faaliyet sınıfında veri kullanıcıları için aktif bir kayıt rejimi yürütüyordu; ancak genel çevrimiçi operatörlere yönelik uygulama mütevazı kalıyor ve rıza standardı yaygın olarak izin verici biçimde yorumlanıyordu. Royal Assent'i October 2024'te alan ve 2025 boyunca aşamalı olarak yürürlüğe giren 2024 Değişiklik Yasası bu tutumu önemli ölçüde değiştirdi. Değişiklik; eşiklerin üzerindeki denetçiler için zorunlu Veri Koruma Görevlileri, 72 saat içinde zorunlu ihlal bildirimi, veri taşınabilirliği hakkı, daha güçlü uygulama yetkisine sahip yeniden adlandırılmış bir düzenleyici ve orijinal Yasa kapsamında belirsiz biçimde uygulanan sınır ötesi aktarım gerekliliklerini yeniden onayladı. Malezya trafiğine hizmet eden yayıncılar ve SaaS operatörleri için — ASEAN'daki en aktif fintech ve dijital ekonomi ekosistemlerinden birini içeren bir pazar — değiştirilmiş PDPA, anlamlı bir operasyonel dönüşümü temsil etmektedir. Bu kılavuz 2024'te nelerin değiştiğini, PDP'nin çevrimiçi takip için değiştirilmiş rıza standardını nasıl yorumladığını ve pratik uyumluluk çalışmasının nereye odaklanması gerektiğini ele almaktadır.
2026'da PDPA — Değişiklik Sonrası Genel Bakış
Değiştirilmiş PDPA, Section 5'teki yedi ilke etrafında yapılandırılmaya devam etmektedir: Genel, Bildirim ve Seçim, Açıklama, Güvenlik, Saklama, Veri Bütünlüğü ve Erişim. Section 7'deki Bildirim ve Seçim İlkesi, çerez onayı için en belirleyici ilkedir; veri kullanıcılarının hem İngilizce hem Bahasa Malaysia dilinde yazılı bildirim vermesini ve işlemeden önce rıza almasını (veya Section 6'daki alternatif bir dayanağa güvenmesini) gerektirmektedir.
2024 değişikliğindeki üç yapısal değişiklik, çevrimiçi yayıncılar için operasyonel açıdan önem taşımaktadır. Birinci olarak, yeniden adlandırılan Personal Data Protection Department artık daha eski sabit ceza rejiminin yerini alarak yıllık gelirin bir yüzdesiyle bağlantılı idari para cezaları uygulama konusunda açık yetkiye sahiptir. İkinci olarak, Section 12A kapsamında zorunlu DPO atanması, tanımlanan eşiklerin üzerindeki denetçiler için geçerlidir; reklam destekli yayıncıların ve SaaS operatörlerinin büyük çoğunluğu bu eşikleri aşmaktadır. Üçüncü olarak, yeni Section 12B, farkındalık anından itibaren 72 saat içinde PDP'ye ihlal bildirimi yapılmasını zorunlu kılmakta; önemli zarar olasılığı varsa etkilenen veri sahiplerine de bildirim gerekmektedir.
Değiştirilmiş PDPA Çerezleri ve Çevrimiçi Takibi Nasıl Ele Alıyor
PDPA, çerez'e özgü bir hüküm içermemektedir. Rıza ve bilgi yükümlülükleri, Yasanın Sections 5, 6 ve 7'sinden ve PDP'nin çevrimiçi takibe ilişkin 2025 Public Consultation Paper'ından kaynaklanmaktadır; bu belge, düzenleyicinin değişiklik sonrası çerez bantları ve davranışsal reklamcılık konusundaki beklentilerini ortaya koymuştur. Dört nokta en fazla operasyonel etkiye sahiptir.
Temel olmayan takip için olumlu rıza
2025 Consultation Paper, çevrimiçi bağlamda yorumlandığında Bildirim ve Seçim İlkesini karşılamayan unsurlar olarak zımni rızayı, kullanımın devamını ve önceden işaretlenmiş kutuları reddetmiştir. Temel olmayan çerezler için açık bir olumlu eylem gerekmekte olup bu durum Malezya uygulamasını EDPB Cookie Banner Taskforce tutumuna yaklaştırmaktadır.
İki dilli bildirim zorunluluğu
Section 7(3), gizlilik bildiriminin ve rıza mekanizmasının hem İngilizce hem Bahasa Malaysia dilinde sunulmasını gerektirmektedir. Bu, değişikliğin yeniden onayladığı orijinal Yasanın bir özelliğiydi; PDP, yalnızca İngilizce bantların Malezya sakinlerine hizmet eden kitleler için gerekliliği karşılamadığını giderek daha açık biçimde belirtmektedir.
Ayrıntılı kategori kontrolleri
Consultation Paper, bantların kullanıcının kategorileri bağımsız olarak kabul etmesine ve reddetmesine izin vermesini beklemektedir. Ayrıntısız tek düğmeyle tümünü kabul etme, Section 5(c)'nin orantılılık okuması kapsamında bir eksiklik olarak değerlendirilmektedir (toplama «aşırı» olmamalıdır).
Sınır ötesi aktarım (Section 129)
Orijinal PDPA'nın Section 129'u, sınır ötesi aktarımların «beyaz listedeki» bir ülkedeki alıcıya yapılmasını zorunlu kılıyordu (Bakanın sürdürmesi gereken ancak hiçbir zaman etkili biçimde yayımlamadığı bir liste). 2024 değişikliği, bunu daha işlevsel bir çerçeveyle değiştirmektedir: aktarımlar, karşılaştırılabilir korumaya sahip yargı bölgelerine veya uygun sözleşmesel güvenceler kapsamında ya da açık rızayla gerçekleştirilebilir. PDP, EU SCCs'e benzer model sözleşme maddeleri yayımlamıştır.
2026'da PDP'nin Uygulama Tutumu
Personal Data Protection Department'ın değişiklik sonrası tutumu, değişiklik öncesi yaklaşımdan üç gözlemlenebilir açıdan farklılık göstermektedir.
Aktif sektörel denetimler
PDP, değişikliğin yürürlüğe girmesinden bu yana fintech, e-ticaret ve dijital kredi sektörlerine proaktif denetimler için öncelik vermiştir. Bu denetimler genellikle bir kayıt denetimiyle başlamakta ve kayıt güncel değilse daha kapsamlı bir incelemeye dönüşmektedir.
Daha dikkat çekici para cezaları
Yeni idari para cezası rejimi, eski sabit ceza modelinden daha büyük ve kamuoyunda daha görünür para cezaları üretmiştir. Birçok telekom ve fintech operatörü 2025'te sekiz haneli ringgit cezaları aldı; PDP bu cezaları değişikliğin gerçek anlamda yaptırım gücüne sahip olduğunu iletmek için kullandı.
ASEAN düzenleyici koordinasyonu
PDP, ASEAN Data Management Framework çalışma akışına katılmakta ve Singapur'un PDPC'si, Tayland'ın PDPC'si ve Filipinler'in NPC'siyle koordinasyon sağlamaktadır. Malezya ve diğer ASEAN trafiğini kapsayan sınır ötesi soruşturmalar giderek artan ölçüde koordineli prosedürler aracılığıyla yürütülmektedir.
Pratik Uyumluluk Kontrol Listesi
Malezya trafiğine hizmet eden herhangi bir çerez bantı için yanıtlanması gereken altı somut soru.
- Denetçi PDP'ye kayıtlı mı? İşleme kapsanan bir sınıfa giriyorsa kaydın güncel olduğunu doğrulayın. 2024 değişikliği kaydın pratik kapsamını genişletti.
- Bir DPO atanmış mı? Section 12A, eşiklerin üzerinde atama yapılmasını zorunlu kılmaktadır. Atamanın belgelendiğini ve DPO'nun iletişim bilgilerinin gizlilik bildiriminde yayımlandığını doğrulayın.
- Bildirim iki dilli mi? İngilizce ve Bahasa Malaysia, Section 7(3) kapsamında her ikisi de zorunludur.
- İlk katmanda açık bir reddetme seçeneği var mı? Reddetme yolu, kabul etme seçeneğiyle aynı yüzeyde yer almalıdır. Onay olarak kaydırma, 2025 Consultation Paper'ı karşılamamaktadır.
- Sınır ötesi aktarımlar belgelenmiş mi? Malezya dışındaki her bir hedefi ve aktarımı yetkilendiren Section 129 mekanizmasını belirleyin.
- İhlal yanıtı kurulmuş mu? Çerezle ilgili olayların farkındalıktan itibaren 72 saatlik saatle Section 12B bildirim iş akışını tetiklediğini doğrulayın.
Malaysia, Çoklu Yargı Yetki Alanı Yığınına Nerede Uyuyor
Malaysia, Singapur, Tayland ve Filipinler'in yanı sıra ASEAN'ın operasyonel açıdan en belirleyici dört veri koruma rejiminden biridir. 2024 değişikliği, orijinal PDPA ile GDPR arasındaki boşluğun büyük kısmını kapattı; bu da Avrupa standartlarına göre oluşturulmuş bir CMP mimarisinin üç özel eklemeyle Malezya uyumluluğunun büyük bölümünü karşıladığı anlamına gelmektedir: iki dilli (İngilizce + Bahasa Malaysia) bant ve bildirim, kapsanan sınıf eşiklerinin uygulandığı yerlerde PDP kaydı ve 72 saatlik saatle Section 12B ihlal bildirimi iş akışı. Pan-ASEAN operasyonlarına doğru ilerleyen yayıncılar için değişiklik sonrası PDPA anlamlı bir şablon niteliğindedir — daha yeni bölgesel yasaların büyük olasılıkla bu yapıdan yararlanacağı — ve operasyonel eklemeler, halihazırda dağıtılmış Avrupa sınıfı bir onay yığınının üzerine uygulanabilir durumdadır.