Посібник з відповідності вимогам до згоди на використання файлів cookie згідно з поправкою Malaysia PDPA 2024 для видавців у 2026 році
Малайзійський Закон про захист персональних даних 2010 року, коли набрав чинності у 2013 році, був одним із перших комплексних законів про конфіденційність у Південно-Східній Азії. Протягом першого десятиліття операційний стандарт був відносно м'яким: Personal Data Protection Department (JPDP, тепер PDP) вів активний режим реєстрації для користувачів даних у семи охоплених класах діяльності, але правозастосування щодо загальних онлайн-операторів було скромним, а стандарт згоди широко тлумачився як дозвільний. Закон про поправки 2024 року, який отримав Royal Assent у October 2024 і поступово набирав чинності протягом 2025 року, суттєво змінив цю позицію. Поправка запровадила обов'язкових уповноважених із захисту даних для контролерів вище порогових значень, обов'язкове повідомлення про порушення протягом 72 годин, право на портативність даних, перейменованого регулятора з більш чіткими повноваженнями щодо правозастосування та підтверджені вимоги до транскордонної передачі, які неоднозначно виконувалися відповідно до початкового Закону. Для видавців і операторів SaaS, які обслуговують малайзійський трафік — ринок, що включає одну з найактивніших екосистем фінтех та цифрової економіки в ASEAN — змінений PDPA являє собою суттєвий операційний зсув. Цей посібник розглядає, що змінилося у 2024 році, як PDP інтерпретував змінений стандарт згоди для онлайн-відстеження і де практична робота з відповідності потребує зосередження.
PDPA у 2026 році — Огляд після поправки
Змінений PDPA продовжує структуруватися навколо семи принципів у Section 5: Загальні, Повідомлення та вибір, Розкриття, Безпека, Зберігання, Цілісність даних та Доступ. Принцип повідомлення та вибору в Section 7 є найбільш значущим для згоди на файли cookie, вимагаючи від користувачів даних надавати письмове повідомлення як англійською, так і Bahasa Malaysia та отримувати згоду (або покладатися на альтернативну підставу в Section 6) перед обробкою.
Три структурні зміни поправки 2024 року мають оперативне значення для онлайн-видавців. По-перше, перейменований Personal Data Protection Department тепер має чітке повноваження накладати адміністративні штрафи, пов'язані з відсотком річного доходу, замінюючи старіший режим фіксованих штрафів. По-друге, обов'язкове призначення DPO відповідно до Section 12A застосовується до контролерів вище визначених порогових значень — більшість видавців, що фінансуються рекламою, і операторів SaaS перевищують ці порогові значення. По-третє, новий Section 12B вимагає повідомлення PDP про порушення протягом 72 годин з моменту усвідомлення, а також повідомлення постраждалих суб'єктів даних, коли ймовірна значна шкода.
Як змінений PDPA трактує файли cookie та онлайн-відстеження
PDPA не містить спеціального положення про файли cookie. Зобов'язання щодо згоди та інформування випливають зі Sections 5, 6 та 7 Закону і з 2025 Public Consultation Paper PDP щодо онлайн-відстеження, який сформулював очікування регулятора після поправки щодо банерів файлів cookie та поведінкової реклами. Чотири пункти мають найбільший операційний вплив.
Афірмативна згода для несуттєвого відстеження
2025 Consultation Paper відхилив мовчазну згоду, продовження використання та попередньо відмічені прапорці як такі, що не відповідають Принципу повідомлення та вибору при тлумаченні в онлайн-контексті. Для несуттєвих файлів cookie потрібна явна афірмативна дія, що узгоджує малайзійську практику з позицією EDPB Cookie Banner Taskforce.
Вимога двомовного повідомлення
Section 7(3) вимагає, щоб повідомлення про конфіденційність та механізм згоди були доступні як англійською, так і Bahasa Malaysia. Це була особливість початкового Закону, яку поправка підтвердила; PDP дедалі чіткіше вказує, що одномовні англійські банери не задовольняють вимоги для аудиторій, які обслуговують малайзійських резидентів.
Деталізовані елементи керування категоріями
Consultation Paper очікує, що банери дозволять користувачеві незалежно приймати та відхиляти категорії. Прийняти все однією кнопкою без деталізації розглядається як недолік відповідно до тлумачення пропорційності Section 5(c) (збирання не повинно бути «надмірним»).
Транскордонна передача (Section 129)
Section 129 початкового PDPA вимагав, щоб транскордонні передачі здійснювалися одержувачу в «внесеній до білого списку» країні (список, який міністр мав підтримувати, але так і не опублікував ефективно). Поправка 2024 року замінює це більш практичним механізмом: передачі можуть здійснюватися до юрисдикцій із порівнянним захистом, або за відповідних договірних гарантій, або за явною згодою. PDP видав типові договірні положення, аналогічні EU SCCs.
Правозастосовна позиція PDP у 2026 році
Позиція Personal Data Protection Department після поправки відрізняється від підходу до поправки трьома спостережуваними способами.
Активні галузеві перевірки
PDP пріоритизував сектори фінтех, електронної комерції та цифрового кредитування для проактивних перевірок з моменту набрання чинності поправкою. Ці перевірки зазвичай починаються з аудиту реєстрації і переходять до ширшої інспекції, якщо реєстрація є не актуальною.
Більш резонансні штрафи
Новий режим адміністративних штрафів призвів до більших і більш публічно помітних штрафів, ніж стара модель фіксованих штрафів. Кілька телекомунікаційних та фінтех-операторів отримали штрафи у вісім цифр рингіт у 2025 році, які PDP використав для демонстрації того, що поправка має реальні наслідки.
Регуляторна координація ASEAN
PDP бере участь у робочому потоці ASEAN Data Management Framework і координує дії з PDPC Сингапуру, PDPC Таїланду та NPC Філіппін. Транскордонні розслідування за участю малайзійського та іншого трафіку ASEAN дедалі частіше ведуться через скоординовані процедури.
Практичний контрольний список відповідності
Шість конкретних питань, на які потрібно відповісти для будь-якого банера файлів cookie, що обслуговує малайзійський трафік.
- Чи зареєстрований контролер у PDP? Якщо обробка підпадає під охоплений клас, підтвердіть актуальність реєстрації. Поправка 2024 року розширила практичну сферу реєстрації.
- Чи призначено DPO? Section 12A вимагає призначення вище порогових значень. Підтвердіть, що призначення задокументоване, а контактні дані DPO опубліковані в повідомленні про конфіденційність.
- Чи є повідомлення двомовним? Англійська і Bahasa Malaysia обидві потрібні відповідно до Section 7(3).
- Чи є явна відмова на першому рівні? Шлях відмови має бути на тій самій поверхні, що й прийняття. Прокручування як згода не відповідає 2025 Consultation Paper.
- Чи задокументовані транскордонні передачі? Визначте кожний немалайзійський пункт призначення та механізм Section 129, що авторизує передачу.
- Чи налаштовано реагування на порушення? Підтвердіть, що інциденти, пов'язані з файлами cookie, запускають робочий процес повідомлення Section 12B з 72-годинним відліком часу від усвідомлення.
Де Malaysia вписується в стек з кількох юрисдикцій
Malaysia є однією з чотирьох найбільш оперативно значущих режимів захисту даних ASEAN поряд із Сингапуром, Таїландом та Філіппінами. Поправка 2024 року закрила більшість розриву між початковим PDPA і GDPR, що означає: архітектура CMP, побудована за європейськими стандартами, тепер покриває основну частину малайзійської відповідності з трьома специфічними доповненнями: двомовний (англійська + Bahasa Malaysia) банер і повідомлення, реєстрація PDP там, де застосовуються порогові значення охопленого класу, та робочий процес повідомлення про порушення Section 12B із 72-годинним відліком. Для видавців, що будують пан-ASEAN-операції, PDPA після поправки є значущим шаблоном — новіші регіональні закони, вірогідно, спиратимуться на його структуру — а операційні доповнення можна реалізувати поверх уже розгорнутого стеку згоди європейського рівня.