2026 Yılı için Yayıncılara Yönelik Malaysia PDPA 2024 Değişikliği Çerez Onayı Uyumluluk Kılavuzu

Malaysia'nın 2010 tarihli Kişisel Verileri Koruma Yasası, 2013'te yürürlüğe girdiğinde Güneydoğu Asya'daki ilk kapsamlı gizlilik mevzuatlarından biriydi. İlk on yılında operasyonel standart nispeten hafifti: Personal Data Protection Department (JPDP, şimdi PDP), yedi kapsanan faaliyet sınıfında veri kullanıcıları için aktif bir kayıt rejimi yürütüyordu; ancak genel çevrimiçi operatörlere yönelik uygulama mütevazı kalıyor ve rıza standardı yaygın olarak izin verici biçimde yorumlanıyordu. Royal Assent'i October 2024'te alan ve 2025 boyunca aşamalı olarak yürürlüğe giren 2024 Değişiklik Yasası bu tutumu önemli ölçüde değiştirdi. Değişiklik; eşiklerin üzerindeki denetçiler için zorunlu Veri Koruma Görevlileri, 72 saat içinde zorunlu ihlal bildirimi, veri taşınabilirliği hakkı, daha güçlü uygulama yetkisine sahip yeniden adlandırılmış bir düzenleyici ve orijinal Yasa kapsamında belirsiz biçimde uygulanan sınır ötesi aktarım gerekliliklerini yeniden onayladı. Malezya trafiğine hizmet eden yayıncılar ve SaaS operatörleri için — ASEAN'daki en aktif fintech ve dijital ekonomi ekosistemlerinden birini içeren bir pazar — değiştirilmiş PDPA, anlamlı bir operasyonel dönüşümü temsil etmektedir. Bu kılavuz 2024'te nelerin değiştiğini, PDP'nin çevrimiçi takip için değiştirilmiş rıza standardını nasıl yorumladığını ve pratik uyumluluk çalışmasının nereye odaklanması gerektiğini ele almaktadır.

2026'da PDPA — Değişiklik Sonrası Genel Bakış

Değiştirilmiş PDPA, Section 5'teki yedi ilke etrafında yapılandırılmaya devam etmektedir: Genel, Bildirim ve Seçim, Açıklama, Güvenlik, Saklama, Veri Bütünlüğü ve Erişim. Section 7'deki Bildirim ve Seçim İlkesi, çerez onayı için en belirleyici ilkedir; veri kullanıcılarının hem İngilizce hem Bahasa Malaysia dilinde yazılı bildirim vermesini ve işlemeden önce rıza almasını (veya Section 6'daki alternatif bir dayanağa güvenmesini) gerektirmektedir.

2024 değişikliğindeki üç yapısal değişiklik, çevrimiçi yayıncılar için operasyonel açıdan önem taşımaktadır. Birinci olarak, yeniden adlandırılan Personal Data Protection Department artık daha eski sabit ceza rejiminin yerini alarak yıllık gelirin bir yüzdesiyle bağlantılı idari para cezaları uygulama konusunda açık yetkiye sahiptir. İkinci olarak, Section 12A kapsamında zorunlu DPO atanması, tanımlanan eşiklerin üzerindeki denetçiler için geçerlidir; reklam destekli yayıncıların ve SaaS operatörlerinin büyük çoğunluğu bu eşikleri aşmaktadır. Üçüncü olarak, yeni Section 12B, farkındalık anından itibaren 72 saat içinde PDP'ye ihlal bildirimi yapılmasını zorunlu kılmakta; önemli zarar olasılığı varsa etkilenen veri sahiplerine de bildirim gerekmektedir.

Değiştirilmiş PDPA Çerezleri ve Çevrimiçi Takibi Nasıl Ele Alıyor

PDPA, çerez'e özgü bir hüküm içermemektedir. Rıza ve bilgi yükümlülükleri, Yasanın Sections 5, 6 ve 7'sinden ve PDP'nin çevrimiçi takibe ilişkin 2025 Public Consultation Paper'ından kaynaklanmaktadır; bu belge, düzenleyicinin değişiklik sonrası çerez bantları ve davranışsal reklamcılık konusundaki beklentilerini ortaya koymuştur. Dört nokta en fazla operasyonel etkiye sahiptir.

Temel olmayan takip için olumlu rıza

2025 Consultation Paper, çevrimiçi bağlamda yorumlandığında Bildirim ve Seçim İlkesini karşılamayan unsurlar olarak zımni rızayı, kullanımın devamını ve önceden işaretlenmiş kutuları reddetmiştir. Temel olmayan çerezler için açık bir olumlu eylem gerekmekte olup bu durum Malezya uygulamasını EDPB Cookie Banner Taskforce tutumuna yaklaştırmaktadır.

İki dilli bildirim zorunluluğu

Section 7(3), gizlilik bildiriminin ve rıza mekanizmasının hem İngilizce hem Bahasa Malaysia dilinde sunulmasını gerektirmektedir. Bu, değişikliğin yeniden onayladığı orijinal Yasanın bir özelliğiydi; PDP, yalnızca İngilizce bantların Malezya sakinlerine hizmet eden kitleler için gerekliliği karşılamadığını giderek daha açık biçimde belirtmektedir.

Ayrıntılı kategori kontrolleri

Consultation Paper, bantların kullanıcının kategorileri bağımsız olarak kabul etmesine ve reddetmesine izin vermesini beklemektedir. Ayrıntısız tek düğmeyle tümünü kabul etme, Section 5(c)'nin orantılılık okuması kapsamında bir eksiklik olarak değerlendirilmektedir (toplama «aşırı» olmamalıdır).

Sınır ötesi aktarım (Section 129)

Orijinal PDPA'nın Section 129'u, sınır ötesi aktarımların «beyaz listedeki» bir ülkedeki alıcıya yapılmasını zorunlu kılıyordu (Bakanın sürdürmesi gereken ancak hiçbir zaman etkili biçimde yayımlamadığı bir liste). 2024 değişikliği, bunu daha işlevsel bir çerçeveyle değiştirmektedir: aktarımlar, karşılaştırılabilir korumaya sahip yargı bölgelerine veya uygun sözleşmesel güvenceler kapsamında ya da açık rızayla gerçekleştirilebilir. PDP, EU SCCs'e benzer model sözleşme maddeleri yayımlamıştır.

2026'da PDP'nin Uygulama Tutumu

Personal Data Protection Department'ın değişiklik sonrası tutumu, değişiklik öncesi yaklaşımdan üç gözlemlenebilir açıdan farklılık göstermektedir.

Aktif sektörel denetimler

PDP, değişikliğin yürürlüğe girmesinden bu yana fintech, e-ticaret ve dijital kredi sektörlerine proaktif denetimler için öncelik vermiştir. Bu denetimler genellikle bir kayıt denetimiyle başlamakta ve kayıt güncel değilse daha kapsamlı bir incelemeye dönüşmektedir.

Daha dikkat çekici para cezaları

Yeni idari para cezası rejimi, eski sabit ceza modelinden daha büyük ve kamuoyunda daha görünür para cezaları üretmiştir. Birçok telekom ve fintech operatörü 2025'te sekiz haneli ringgit cezaları aldı; PDP bu cezaları değişikliğin gerçek anlamda yaptırım gücüne sahip olduğunu iletmek için kullandı.

ASEAN düzenleyici koordinasyonu

PDP, ASEAN Data Management Framework çalışma akışına katılmakta ve Singapur'un PDPC'si, Tayland'ın PDPC'si ve Filipinler'in NPC'siyle koordinasyon sağlamaktadır. Malezya ve diğer ASEAN trafiğini kapsayan sınır ötesi soruşturmalar giderek artan ölçüde koordineli prosedürler aracılığıyla yürütülmektedir.

Pratik Uyumluluk Kontrol Listesi

Malezya trafiğine hizmet eden herhangi bir çerez bantı için yanıtlanması gereken altı somut soru.

Malaysia, Çoklu Yargı Yetki Alanı Yığınına Nerede Uyuyor

Malaysia, Singapur, Tayland ve Filipinler'in yanı sıra ASEAN'ın operasyonel açıdan en belirleyici dört veri koruma rejiminden biridir. 2024 değişikliği, orijinal PDPA ile GDPR arasındaki boşluğun büyük kısmını kapattı; bu da Avrupa standartlarına göre oluşturulmuş bir CMP mimarisinin üç özel eklemeyle Malezya uyumluluğunun büyük bölümünü karşıladığı anlamına gelmektedir: iki dilli (İngilizce + Bahasa Malaysia) bant ve bildirim, kapsanan sınıf eşiklerinin uygulandığı yerlerde PDP kaydı ve 72 saatlik saatle Section 12B ihlal bildirimi iş akışı. Pan-ASEAN operasyonlarına doğru ilerleyen yayıncılar için değişiklik sonrası PDPA anlamlı bir şablon niteliğindedir — daha yeni bölgesel yasaların büyük olasılıkla bu yapıdan yararlanacağı — ve operasyonel eklemeler, halihazırda dağıtılmış Avrupa sınıfı bir onay yığınının üzerine uygulanabilir durumdadır.

← Blog Tümünü Oku →