ناشرین کے لیے 2026 میں Malaysia PDPA 2024 ترمیم کوکی رضامندی تعمیل گائیڈ
Malaysia کا ذاتی ڈیٹا تحفظ ایکٹ 2010، جب 2013 میں نافذ ہوا، جنوب مشرقی ایشیا میں ابتدائی جامع رازداری قوانین میں سے ایک تھا۔ پہلے عشرے میں آپریشنل معیار نسبتاً ہلکا تھا: Personal Data Protection Department (JPDP، اب PDP) سات احاطہ شدہ سرگرمی طبقوں میں ڈیٹا صارفین کے لیے ایک فعال رجسٹریشن نظام چلاتا تھا، لیکن عام آن لائن آپریٹرز کے خلاف نفاذ معمولی تھا اور رضامندی کے معیار کو وسیع پیمانے پر اجازت دینے والے کے طور پر تشریح کیا جاتا تھا۔ ترمیمی ایکٹ 2024، جس نے October 2024 میں Royal Assent حاصل کی اور 2025 کے دوران مراحل میں نافذ ہوا، اس رویے کو کافی حد تک بدل دیا۔ ترمیم نے حدود سے اوپر کنٹرولرز کے لیے لازمی ڈیٹا پروٹیکشن افسران، 72 گھنٹوں کے اندر لازمی خلاف ورزی کی اطلاع، ڈیٹا پورٹیبلٹی کا حق، زیادہ سخت نفاذ اختیار کے ساتھ نام تبدیل شدہ ریگولیٹر، اور بین الملکی منتقلی کی ضروریات کی دوبارہ تصدیق متعارف کرائی جو اصل ایکٹ کے تحت مبہم طریقے سے نافذ کی گئی تھیں۔ ملائیشین ٹریفک کی خدمت کرنے والے ناشرین اور SaaS آپریٹرز کے لیے — ایک ایسا بازار جس میں ASEAN کے سب سے زیادہ فعال fintech اور ڈیجیٹل معیشت کے ماحولیاتی نظاموں میں سے ایک شامل ہے — ترمیم شدہ PDPA ایک بامعنی آپریشنل تبدیلی کی نمائندگی کرتا ہے۔ یہ گائیڈ 2024 میں کیا تبدیل ہوا، PDP نے آن لائن ٹریکنگ کے لیے ترمیم شدہ رضامندی کے معیار کی کس طرح تشریح کی، اور عملی تعمیل کا کام کہاں مرکوز ہونا چاہیے، اس پر روشنی ڈالتی ہے۔
2026 میں PDPA — ترمیم کے بعد کا خاکہ
ترمیم شدہ PDPA Section 5 میں سات اصولوں کے گرد منظم ہونا جاری رکھتا ہے: عمومی، نوٹس اور انتخاب، انکشاف، سیکورٹی، برقراری، ڈیٹا کی سالمیت، اور رسائی۔ Section 7 میں نوٹس اور انتخاب کا اصول کوکی رضامندی کے لیے سب سے زیادہ اہم ہے، جس میں ڈیٹا صارفین سے انگریزی اور Bahasa Malaysia دونوں میں تحریری نوٹس فراہم کرنے اور پروسیسنگ سے پہلے رضامندی حاصل کرنے (یا Section 6 میں متبادل بنیاد پر انحصار کرنے) کی ضرورت ہے۔
2024 کی ترمیم سے تین ساختی تبدیلیاں آن لائن ناشرین کے لیے آپریشنل طور پر اہم ہیں۔ پہلی، نام تبدیل شدہ Personal Data Protection Department کے پاس اب سالانہ آمدنی کے فیصد سے منسلک انتظامی جرمانے عائد کرنے کا واضح اختیار ہے، جس نے پرانے فلیٹ فائن نظام کی جگہ لے لی ہے۔ دوسری، Section 12A کے تحت لازمی DPO تعیناتی طے شدہ حدود سے اوپر کنٹرولرز پر لاگو ہوتی ہے — زیادہ تر اشتہار سے سپورٹ شدہ ناشرین اور SaaS آپریٹرز وہ حدود عبور کرتے ہیں۔ تیسری، نیا Section 12B آگاہی کے 72 گھنٹوں کے اندر PDP کو خلاف ورزی کی اطلاع کی ضرورت ہے، جب اہم نقصان کا امکان ہو تو متاثرہ ڈیٹا موضوعات کو اطلاع درکار ہے۔
ترمیم شدہ PDPA کوکیز اور آن لائن ٹریکنگ کو کس طرح سنبھالتا ہے
PDPA میں کوکی سے متعلق کوئی خاص دفعہ نہیں ہے۔ رضامندی اور معلومات کی ذمہ داریاں ایکٹ کے Sections 5، 6 اور 7 سے اور آن لائن ٹریکنگ پر PDP کے 2025 Public Consultation Paper سے آتی ہیں، جس نے کوکی بینرز اور طرز عمل کی تشہیر کے لیے ترمیم کے بعد ریگولیٹر کی توقعات کو بیان کیا۔ چار نکات سب سے زیادہ آپریشنل اثر رکھتے ہیں۔
غیر ضروری ٹریکنگ کے لیے اثباتی رضامندی
2025 Consultation Paper نے ضمنی رضامندی، مسلسل استعمال، اور پہلے سے ٹک شدہ خانوں کو آن لائن سیاق و سباق میں تشریح کیے جانے پر نوٹس اور انتخاب کے اصول پر پورا نہ اترنے کے طور پر مسترد کیا۔ غیر ضروری کوکیز کے لیے ایک واضح اثباتی عمل درکار ہے، جو ملائیشین عمل کو EDPB Cookie Banner Taskforce کی پوزیشن کے ساتھ ہم آہنگ کرتا ہے۔
دو لسانی نوٹس کی ضرورت
Section 7(3) کی ضرورت ہے کہ رازداری کا نوٹس اور رضامندی کا طریقہ کار انگریزی اور Bahasa Malaysia دونوں میں دستیاب ہو۔ یہ اصل ایکٹ کی ایک خصوصیت تھی جسے ترمیم نے دوبارہ تصدیق کی؛ PDP تیزی سے واضح کر رہا ہے کہ صرف انگریزی بینرز ملائیشین رہائشیوں کی خدمت کرنے والے سامعین کے لیے ضرورت کو پورا نہیں کرتے۔
تفصیلی زمرہ کنٹرولز
Consultation Paper سے توقع ہے کہ بینرز صارف کو آزادانہ طور پر زمرے قبول اور مسترد کرنے کی اجازت دیں۔ بغیر تفصیل کے سنگل بٹن سے تمام قبول کرنا Section 5(c) کے تناسب پڑھنے کے تحت ایک خامی کے طور پر دیکھا جاتا ہے (جمع آوری «ضرورت سے زیادہ» نہیں ہونی چاہیے)۔
بین الملکی منتقلی (Section 129)
اصل PDPA کے Section 129 نے بین الملکی منتقلی کے لیے ضرورت تھی کہ «وائٹ لسٹڈ» ملک میں ایک وصول کنندہ کو ہو (ایک فہرست جو وزیر کو برقرار رکھنی تھی لیکن کبھی مؤثر طریقے سے شائع نہیں کی)۔ 2024 کی ترمیم اسے زیادہ قابل عمل فریم ورک سے بدلتی ہے: منتقلی موازنہ تحفظ والے دائرہ اختیار میں، یا مناسب معاہداتی ضمانتوں کے تحت، یا واضح رضامندی کے ساتھ آگے بڑھ سکتی ہے۔ PDP نے EU SCCs سے ملتی جلتی نمونہ معاہداتی شقیں جاری کی ہیں۔
2026 میں PDP کا نفاذ رویہ
Personal Data Protection Department کا ترمیم کے بعد کا رویہ تین قابل مشاہدہ طریقوں سے ترمیم سے پہلے کے نقطہ نظر سے مختلف ہے۔
فعال شعبہ جاتی جائزے
PDP نے ترمیم کے نافذ ہونے کے بعد سے fintech، ای کامرس اور ڈیجیٹل قرض کے شعبوں کو فعال جائزوں کے لیے ترجیح دی ہے۔ یہ جائزے عام طور پر رجسٹریشن آڈٹ سے شروع ہوتے ہیں اور اگر رجسٹریشن موجودہ نہ ہو تو وسیع معائنے میں بڑھ جاتے ہیں۔
زیادہ نمایاں جرمانے
نئے انتظامی جرمانے کے نظام نے پرانے فلیٹ فائن ماڈل سے بڑے اور زیادہ عوامی طور پر نظر آنے والے جرمانے پیدا کیے ہیں۔ کئی ٹیلی کام اور fintech آپریٹرز کو 2025 میں آٹھ ہندسوں کے ringgit جرمانے ملے، جنہیں PDP نے یہ بتانے کے لیے استعمال کیا کہ ترمیم کے اصل اثرات ہیں۔
ASEAN ریگولیٹری تال میل
PDP ASEAN Data Management Framework ورک اسٹریم میں حصہ لیتا ہے اور سنگاپور کے PDPC، تھائی لینڈ کے PDPC، اور فلپائن کے NPC کے ساتھ تال میل کرتا ہے۔ ملائیشین اور دیگر ASEAN ٹریفک پر مشتمل بین الملکی تحقیقات تیزی سے مربوط طریقہ کار کے ذریعے سنبھالی جا رہی ہیں۔
ایک عملی تعمیل چیک لسٹ
ملائیشین ٹریفک کی خدمت کرنے والے کسی بھی کوکی بینر کے لیے جواب دینے کے لیے چھ ٹھوس سوالات۔
- کیا کنٹرولر PDP رجسٹرڈ ہے؟ اگر پروسیسنگ ایک احاطہ شدہ طبقے میں آتی ہے، تو تصدیق کریں کہ رجسٹریشن موجودہ ہے۔ 2024 کی ترمیم نے رجسٹریشن کا عملی دائرہ وسیع کیا۔
- کیا DPO مقرر ہے؟ Section 12A حدود سے اوپر تعیناتی کی ضرورت ہے۔ تصدیق کریں کہ تعیناتی دستاویزی ہے اور DPO کی رابطہ تفصیلات رازداری نوٹس میں شائع ہیں۔
- کیا نوٹس دو لسانی ہے؟ انگریزی اور Bahasa Malaysia دونوں Section 7(3) کے تحت ضروری ہیں۔
- کیا پہلی پرت میں واضح رد ہے؟ رد کرنے کا راستہ قبولیت جیسی ہی سطح پر ہونا چاہیے۔ رضامندی کے طور پر اسکرول کرنا 2025 Consultation Paper کو پورا نہیں کرتا۔
- کیا بین الملکی منتقلی دستاویزی ہے؟ ہر غیر ملائیشین منزل اور منتقلی کو مجاز بنانے والے Section 129 طریقہ کار کی شناخت کریں۔
- کیا خلاف ورزی کا جواب جڑا ہوا ہے؟ تصدیق کریں کہ کوکی سے متعلق واقعات آگاہی سے 72 گھنٹے کی گھڑی کے ساتھ Section 12B اطلاع ورک فلو کو متحرک کرتے ہیں۔
ملٹی جیورسڈکشن اسٹیک میں Malaysia کہاں فٹ ہوتا ہے
Malaysia سنگاپور، تھائی لینڈ اور فلپائن کے ساتھ ASEAN کے چار سب سے زیادہ آپریشنل طور پر نتیجہ خیز ڈیٹا تحفظ نظاموں میں سے ایک ہے۔ 2024 کی ترمیم نے اصل PDPA اور GDPR کے درمیان زیادہ تر خلا کو بند کیا، جس کا مطلب ہے کہ یورپی معیارات کے مطابق بنایا گیا CMP فن تعمیر تین مخصوص اضافوں کے ساتھ ملائیشین تعمیل کا بڑا حصہ سنبھالتا ہے: دو لسانی (انگریزی + Bahasa Malaysia) بینر اور نوٹس، PDP رجسٹریشن جہاں احاطہ شدہ طبقہ کی حدیں لاگو ہوتی ہیں، اور Section 12B خلاف ورزی اطلاع ورک فلو 72 گھنٹے کی گھڑی کے ساتھ۔ pan-ASEAN آپریشنز کی طرف تعمیر کرنے والے ناشرین کے لیے، ترمیم کے بعد PDPA ایک بامعنی ٹیمپلیٹ ہے — نئے علاقائی قوانین اس کے ڈھانچے سے استفادہ کرنے کا امکان ہے — اور آپریشنل اضافے پہلے سے تعینات یورپی درجے کے رضامندی اسٹیک کے اوپر قابل عمل ہیں۔