Undang-Undang Privasi Data Malaysia: Panduan Pematuhan PDPA 2010 (2026)

Malaysia mengawal selia data peribadi melalui Akta Perlindungan Data Peribadi 2010 (Akta 709), yang mentadbir cara organisasi sektor swasta memproses data peribadi dalam transaksi komersial. Akta Perlindungan Data Peribadi (Pindaan) 2024, yang dilaksanakan secara berperingkat dari Januari hingga Jun 2025, menambah keperluan pemberitahuan pelanggaran data yang mandatori, keperluan Pegawai Perlindungan Data, dan hukuman sehingga RM1 juta.
Akta Perlindungan Data Peribadi 2010 (Akta 709) Malaysia merupakan statut privasi data komprehensif pertama di Asia Tenggara. Digubal pada tahun 2010 dan berkuat kuasa sejak November 2013, PDPA mengawal selia cara perniagaan mengumpul, memproses, menyimpan, dan berkongsi data peribadi dalam transaksi komersial. Akta Perlindungan Data Peribadi (Pindaan) 2024 memperkenalkan reformasi paling signifikan sejak penggubalannya, dilaksanakan secara berperingkat dari Januari hingga Jun 2025.
Panduan ini merangkumi rangka kerja privasi data Malaysia yang lengkap seperti pada tahun 2026, termasuk keperluan asal PDPA, pindaan 2024, mekanisme penguatkuasaan, dan kewajipan pematuhan praktikal bagi organisasi yang beroperasi di atau dengan Malaysia.
Kepada Siapa PDPA Terpakai
PDPA terpakai kepada mana-mana orang atau organisasi yang memproses data peribadi berkaitan dengan transaksi komersial. Undang-undang ini merangkumi perniagaan pelbagai saiz yang beroperasi di Malaysia, daripada syarikat multinasional hingga perusahaan kecil, merentasi kebanyakan industri sektor swasta.
Undang-undang ini terpakai kepada organisasi yang berlokasi di Malaysia dan yang berada di luar Malaysia tetapi menggunakan peralatan atau kemudahan di Malaysia untuk memproses data peribadi. Jangkauan ekstrateritorial ini bermakna syarikat asing yang memproses data melalui pelayan, pusat data, atau infrastruktur Malaysia termasuk dalam skop PDPA tanpa mengira di mana syarikat itu diperbadankan.
Pengecualian Utama
PDPA tidak terpakai kepada Kerajaan Persekutuan Malaysia atau Kerajaan Negeri. Perkongsian data sektor awam pula dikawal oleh Akta Perkongsian Data 2025 (Akta 864), yang berkuat kuasa pada 28 April 2025. Akta tersebut menubuhkan Jawatankuasa Perkongsian Data Kebangsaan dan mengenakan kewajipan ke atas agensi awam untuk mengekalkan langkah keselamatan, menyimpan rekod data yang dikongsi, dan melaporkan pendedahan tanpa kebenaran kepada Ketua Pengarah Jabatan Digital Negara. Pendedahan tanpa kebenaran data yang dikongsi di bawah Akta 864 membawa hukuman sehingga RM1 juta dan/atau penjara lima tahun.
Pengecualian PDPA yang lain termasuk: data peribadi yang diproses di luar Malaysia (kecuali dimaksudkan untuk pemprosesan lanjut di dalam negara), data yang diproses untuk tujuan peribadi atau isi rumah, dan data yang dikawal oleh perundangan khusus sektor seperti Akta Agensi Pelaporan Kredit 2010.
Rejim Pendaftaran
Malaysia mengamalkan rejim pendaftaran mandatori bagi pengawal data dalam sektor terkawal. Sebelum memproses data peribadi, pengawal data yang beroperasi dalam mana-mana daripada 14 sektor yang ditetapkan mesti mendaftar dengan Pesuruhjaya dan memperoleh sijil pendaftaran.
14 sektor terkawal tersebut ialah:
- Komunikasi (pemegang lesen di bawah Akta Komunikasi dan Multimedia 1998 dan Akta Perkhidmatan Pos 2012)
- Perbankan dan kewangan (bank berlesen, bank pelaburan, bank Islam, dan institusi kewangan pembangunan)
- Insurans dan takaful (penanggung insurans berlesen dan pengendali takaful)
- Penjagaan kesihatan (kemudahan penjagaan kesihatan swasta, klinik perubatan dan pergigian, farmasi berdaftar)
- Pelancongan (pengendali pelancongan berlesen, ejen pelancongan, pemandu pelancong, dan premis penginapan)
- Pengangkutan (penyedia perkhidmatan pengangkutan yang ditetapkan)
- Pendidikan (institusi pendidikan tinggi swasta dan sekolah swasta)
- Jualan langsung (pemegang lesen di bawah Akta Jualan Langsung dan Skim Anti Piramid 1993)
- Perkhidmatan profesional (firma guaman, audit, perakaunan, kejuruteraan, dan seni bina)
- Runcit dan borong
- Pekerjaan (pengendali agensi pekerjaan swasta)
- Hartanah (pemaju perumahan berlesen)
- Utiliti
- Pemegang gadai janji dan pemberi pinjam wang
Sijil pendaftaran sah sekurang-kurangnya satu tahun dan mesti diperbaharui agar pengawal data dapat terus memproses data peribadi secara sah. Pengawal data mesti memamerkan sijil mereka di tempat yang jelas kelihatan di tempat perniagaan utama mereka dan salinan yang disahkan di lokasi cawangan.
Pesuruhjaya turut mengeluarkan Kod Amalan khusus sektor bagi perkhidmatan perbankan dan kewangan, penerbangan, utiliti, komunikasi, penjagaan kesihatan, dan insurans serta takaful, yang menambah baik keperluan am PDPA dengan piawaian yang disesuaikan mengikut sektor.
Pindaan 2024 tidak mengubah keperluan pendaftaran. Kewajipan pendaftaran beroperasi seiring dengan kewajipan pelantikan DPO, pemberitahuan pelanggaran, dan pemindahan rentas sempadan yang baharu yang diperkenalkan oleh Akta Pindaan.
Jabatan Perlindungan Data Peribadi (JPDP)
Jabatan Perlindungan Data Peribadi, dikenali sebagai JPDP, ialah badan pengawal selia yang bertanggungjawab mentadbir dan menguatkuasakan PDPA. Ia beroperasi di bawah Kementerian Komunikasi dan Digital.
Pesuruhjaya Perlindungan Data Peribadi mengetuai JPDP dan memegang kuasa penguatkuasaan yang luas di bawah Akta tersebut. Ini termasuk kuasa untuk memantau pematuhan, menyiasat aduan daripada subjek data, menjalankan pemeriksaan dan audit organisasi, mengeluarkan notis penguatkuasaan yang memerlukan tindakan tertentu, dan mengenakan hukuman bagi pelanggaran.
Sejak pindaan 2024 berkuat kuasa, JPDP telah menerbitkan lapan set garis panduan: Garis Panduan Pemberitahuan Pelanggaran Data (25 Februari 2025), Garis Panduan Pelantikan DPO (25 Februari 2025), Garis Panduan Pemindahan Data Peribadi Rentas Sempadan (29 April 2025), Garis Panduan Mudah Alih Data, Garis Panduan Penilaian Impak Perlindungan Data (perundingan selesai Mei 2025), Garis Panduan Privasi Mengikut Reka Bentuk, Garis Panduan Pembuatan Keputusan Automatik dan Pemprofilan (perundingan selesai Mei 2025), dan Garis Panduan Latihan dan Kompetensi DPO (21 Julai 2025).
Rekod Penguatkuasaan
Dari 2017 hingga 2025, JPDP mewajibkan 33 pengawal data membayar fi kompaun bagi pelanggaran PDPA. Lapan kes diteruskan ke pendakwaan mahkamah. Kompaun tertinggi yang dilaporkan secara terbuka ialah RM108,000, dikenakan atas pelanggaran serentak Prinsip Am, Pendedahan, dan Penyimpanan. JPDP menjalankan empat lawatan pemeriksaan dan dua tindakan penguatkuasaan terhadap pengawal data yang tidak berdaftar dalam kitaran penguatkuasaan terkini.
Hukuman maksimum yang dipertingkatkan sebanyak RM1,000,000 berkuat kuasa mulai 1 April 2025. Tindakan penguatkuasaan yang mengenakan had maksimum baharu dijangka muncul pada akhir 2025 dan 2026 apabila JPDP melaksanakan sepenuhnya kuasanya yang diperluas.
Aduan boleh difailkan terus melalui portal dalam talian JPDP atau secara bertulis. Pesuruhjaya juga boleh memulakan siasatan secara proaktif tanpa aduan formal apabila isu pematuhan yang sistemik dikenal pasti.
7 Prinsip Perlindungan Data
Seksyen 5(1) PDPA menetapkan tujuh prinsip yang membentuk asas rangka kerja perlindungan data Malaysia. Setiap pengawal data mesti mematuhi prinsip-prinsip ini apabila memproses data peribadi.
1. Prinsip Am
Seorang pengawal data tidak boleh memproses data peribadi mengenai subjek data melainkan subjek data telah memberikan persetujuan. Bagi data peribadi sensitif, persetujuan eksplisit diperlukan.
Persetujuan tidak diperlukan dalam keadaan tertentu yang terhad, termasuk apabila pemprosesan diperlukan bagi mematuhi kewajipan perundangan, bagi pelaksanaan kontrak yang menjadi pihak kepada subjek data, untuk melindungi kepentingan penting subjek data, bagi pentadbiran keadilan, atau bagi pelaksanaan sebarang fungsi yang diberikan oleh undang-undang.
Pindaan 2024 menjelaskan bahawa persetujuan mesti diberikan secara bebas, khusus, termaklum, dan tidak samar-samar. Diam dan kotak yang telah ditanda terlebih dahulu tidak membentuk persetujuan yang sah.
2. Prinsip Notis dan Pilihan
Sebelum memproses sebarang data peribadi, pengawal data mesti memberikan subjek data notis bertulis yang mengandungi maklumat tertentu. Notis ini mesti disediakan dalam Bahasa Malaysia dan Bahasa Inggeris.
Notis tersebut mesti menerangkan data peribadi yang diproses, tujuan pemprosesan, sumber data (jika tidak dikumpul secara langsung daripada subjek data), hak subjek data untuk mengakses dan membetulkan data mereka, kelas pihak ketiga yang mungkin didedahkan data tersebut, dan sama ada penyediaan data itu wajib atau secara sukarela.
Subjek data mesti diberikan pilihan yang sebenar mengenai sama ada mereka membenarkan data mereka diproses. Organisasi tidak boleh menjadikan penyediaan sesuatu perkhidmatan bersyarat kepada persetujuan pemprosesan data yang tidak berkaitan dengan perkhidmatan tersebut.
3. Prinsip Pendedahan
Data peribadi tidak boleh didedahkan bagi sebarang tujuan selain daripada tujuan ia dikumpul, atau tujuan yang berkaitan secara langsung dengan tujuan asal. Pengawal data mesti mengenal pasti dengan jelas tujuan data peribadi akan didedahkan pada masa pengumpulan.
Pendedahan kepada pihak ketiga hanya dibenarkan apabila subjek data telah bersetuju atau apabila pendedahan itu termasuk dalam pengecualian yang diiktiraf, seperti pematuhan perintah mahkamah atau kewajipan perundangan.
4. Prinsip Keselamatan
Pengawal data mesti mengambil langkah praktikal untuk melindungi data peribadi daripada kehilangan, penyalahgunaan, pengubahsuaian, akses atau pendedahan tanpa kebenaran atau tidak sengaja, pengubahan, atau kemusnahan. Keperluan ini merangkumi langkah keselamatan teknikal dan organisasi.
Pindaan 2024 melanjutkan Prinsip Keselamatan secara langsung kepada pemproses data. Pemproses data kini menghadapi liabiliti hukuman bebas bagi pelanggaran keselamatan, bukan hanya pengawal data. Ini merupakan satu-satunya prinsip PDPA yang mengenakan kewajipan langsung ke atas pemproses.
Organisasi mesti mematuhi Piawaian Perlindungan Data Peribadi 2015, yang menetapkan keperluan keselamatan teknikal dan organisasi tertentu termasuk kawalan akses, penyulitan data sensitif, penilaian keselamatan berkala, dan latihan pekerja mengenai perlindungan data.
5. Prinsip Penyimpanan
Data peribadi tidak boleh disimpan lebih lama daripada yang perlu bagi memenuhi tujuan ia dikumpul. Setelah tujuan pemprosesan asal dipenuhi, pengawal data mesti mengambil semua langkah munasabah untuk memusnahkan data peribadi secara kekal.
Organisasi harus menetapkan jadual penyimpanan data yang jelas mentakrifkan berapa lama pelbagai kategori data peribadi akan disimpan. Tempoh penyimpanan harus didokumenkan dan dimaklumkan kepada subjek data sebagai sebahagian daripada Prinsip Notis dan Pilihan.
6. Prinsip Integriti Data
Pengawal data mesti mengambil langkah munasabah untuk memastikan data peribadi tepat, lengkap, tidak mengelirukan, dan dikemas kini sepanjang kitaran hayat data itu, dari pengumpulan hingga pemusnahan.
Apabila subjek data memberitahu pengawal bahawa data mereka tidak tepat, pengawal mesti membetulkannya dengan segera.
7. Prinsip Akses
Subjek data mempunyai hak untuk mengakses data peribadi mereka yang disimpan oleh pengawal data dan untuk meminta pembetulan bagi mana-mana data yang tidak tepat, tidak lengkap, mengelirukan, atau tidak dikemas kini.
Pengawal data mesti membalas permintaan akses dalam tempoh 21 hari selepas menerima permintaan tersebut. Pengawal boleh mengenakan fi yang munasabah bagi memproses permintaan akses, tetapi fi tersebut tidak boleh terlalu tinggi sehingga menghalang subjek data daripada menggunakan hak mereka.
Hak Subjek Data Di Bawah PDPA
PDPA asal menyediakan subjek data hak akses, pembetulan, dan penarikan balik persetujuan. Pindaan 2024 memperluas dengan ketara hak yang tersedia kepada individu. Hak-hak ini mula berkuat kuasa dalam Fasa 3 pada 1 Jun 2025.
Hak Akses
Subjek data boleh meminta akses kepada semua data peribadi yang dipegang oleh pengawal data mengenai mereka. Pengawal mesti mengakui penerimaan dan membalas dalam tempoh 21 hari. Balasan tersebut mesti merangkumi penerangan data yang dipegang, tujuan pemprosesannya, dan sumber data itu diperoleh.
Hak Pembetulan
Apabila data peribadi tidak tepat, tidak lengkap, mengelirukan, atau lapuk, subjek data mempunyai hak untuk meminta pembetulan. Pengawal mesti memproses permintaan pembetulan dengan segera dan memaklumkan mana-mana pihak ketiga yang telah didedahkan data yang tidak tepat itu sebelum ini.
Hak Menarik Balik Persetujuan
Subjek data boleh menarik balik persetujuan mereka bagi pemprosesan data peribadi mereka pada bila-bila masa dengan memberikan notis bertulis kepada pengawal data. Setelah menerima notis penarikan balik, pengawal mesti berhenti memproses data peribadi tersebut melainkan terdapat asas sah yang lain untuk pemprosesan.
Hak Mudah Alih Data
Berkuat kuasa mulai 1 Jun 2025, subjek data mempunyai hak untuk meminta pengawal data memindahkan data peribadi mereka secara langsung kepada pengawal data lain. Permintaan ini mesti dibuat secara bertulis melalui cara elektronik.
Hak mudah alih ini terpakai apabila pemindahan itu boleh dilaksanakan secara teknikal dan format data serasi antara kedua-dua pengawal. Pengawal data mesti menyediakan data peribadi dalam format yang berstruktur, biasa digunakan, dan boleh dibaca mesin apabila permintaan mudah alih diterima.
Hak Pemadaman
Pindaan 2024 memperkenalkan hak pemadaman. Subjek data boleh meminta pemadaman data peribadi mereka apabila ia tidak lagi diperlukan bagi tujuan ia dikumpul, apabila persetujuan telah ditarik balik, atau apabila data itu diproses secara tidak sah.
Hak Menghalang Pemprosesan Untuk Pemasaran Langsung
Subjek data mempunyai hak untuk mengarahkan pengawal data berhenti atau tidak memulakan pemprosesan data peribadi mereka bagi tujuan pemasaran langsung. Hak ini terpakai tanpa mengira sama ada persetujuan asalnya diberikan. Hukuman bagi ketidakpatuhan terhadap arahan untuk berhenti pemprosesan pemasaran langsung ialah denda tidak melebihi RM200,000 dan/atau penjara sehingga 2 tahun.
Cadangan Hak Berkaitan Pembuatan Keputusan Automatik
JPDP membuka perundingan awam pada Mac 2025 mengenai Garis Panduan Pembuatan Keputusan Automatik dan Pemprofilan. Garis panduan yang dicadangkan akan memperkenalkan tiga hak bagi subjek data: hak menolak keputusan yang dibuat semata-mata berdasarkan pemprosesan automatik yang memberi kesan peribadi yang signifikan; hak dimaklumkan apabila pembuatan keputusan automatik terpakai kepada mereka; dan hak meminta semakan manusia bagi keputusan automatik. Garis panduan akhir masih belum diterbitkan secara rasmi sehingga pertengahan 2026.
Data Peribadi Sensitif
PDPA mentakrifkan data peribadi sensitif sebagai data yang berkaitan dengan kesihatan fizikal atau mental subjek data, pandangan politik, kepercayaan agama atau kepercayaan lain yang seumpamanya, pelakuan sebarang kesalahan, atau sebarang data peribadi lain yang ditentukan oleh Menteri.

Pindaan 2024 secara eksplisit menambah data biometrik ke dalam takrifan data peribadi sensitif, berkuat kuasa 1 April 2025. Ini termasuk cap jari, data pengecaman wajah, corak suara, imbasan retina, dan pengecam biometrik lain. Organisasi yang memproses data biometrik mesti mendapatkan persetujuan eksplisit dan menggunakan piawaian keselamatan yang lebih tinggi yang diperlukan bagi data peribadi sensitif.
Pemprosesan data peribadi sensitif memerlukan persetujuan eksplisit daripada subjek data. Ambang bagi persetujuan eksplisit adalah lebih tinggi daripada persetujuan biasa, memerlukan tindakan yang jelas dan afirmatif yang secara khusus menangani pemprosesan kategori data sensitif.
Pemberitahuan Pelanggaran Data Mandatori
Keperluan pemberitahuan pelanggaran data mandatori, yang diperkenalkan oleh Pindaan 2024, berkuat kuasa pada 1 Jun 2025. JPDP menerbitkan Garis Panduan Pemberitahuan Pelanggaran Data pada 25 Februari 2025 untuk memberikan panduan pelaksanaan.
Apakah Yang Dimaksudkan Dengan Pelanggaran Data Peribadi
PDPA kini secara rasmi mentakrifkan pelanggaran data peribadi sebagai sebarang pelanggaran, kehilangan, penyalahgunaan, atau akses tanpa kebenaran terhadap data peribadi. Takrifan ini merangkumi pelanggaran akibat serangan siber luaran, kesilapan pekerja, salah konfigurasi sistem, peranti yang tersalah letak, atau sebarang punca lain.
Bila Pemberitahuan Diperlukan
Pemberitahuan kepada Pesuruhjaya diperlukan apabila pelanggaran data peribadi menyebabkan atau berkemungkinan menyebabkan kemudaratan yang signifikan kepada subjek data. Penilaian kemudaratan yang signifikan mengambil kira lima kriteria: risiko kemudaratan fizikal, kerugian kewangan, kerosakan kredit, atau kerugian harta kepada subjek data; potensi data yang dilanggar disalahgunakan bagi tujuan haram; sama ada data peribadi sensitif terlibat; sama ada gabungan data yang dilanggar boleh membolehkan penipuan identiti; dan sama ada pelanggaran itu menjejaskan lebih 1,000 subjek data (diklasifikasikan sebagai skala signifikan).
Pelanggaran yang menjejaskan lebih 1,000 subjek data mencetuskan kewajipan memberitahu Pesuruhjaya walaupun ia tidak menyebabkan kemudaratan yang signifikan kepada individu.
Garis Masa Pemberitahuan
Pengawal data mesti memberitahu Pesuruhjaya dalam tempoh 72 jam selepas menyedari pelanggaran tersebut. Walaupun PDPA yang dipinda menggunakan frasa "daripada kejadian", Garis Panduan Pemberitahuan Pelanggaran Data JPDP menjelaskan bahawa tempoh 72 jam bermula daripada titik penemuan, sama ada melalui pengesanan dalaman atau pemberitahuan luaran kepada pengawal data. Apabila tarikh akhir 72 jam tidak dapat dipenuhi, pengawal mesti menyerahkan pemberitahuan secepat mungkin bersama penjelasan bertulis dan bukti sokongan bagi kelewatan tersebut.
Jika pelanggaran itu berkemungkinan mengakibatkan kemudaratan yang signifikan kepada subjek data individu, pengawal juga mesti memberitahu individu yang terjejas tanpa kelewatan yang tidak wajar dan tidak lewat daripada 7 hari selepas memberitahu Pesuruhjaya.
Cara Memberitahu Pesuruhjaya
Pemberitahuan mesti diserahkan melalui salah satu daripada tiga kaedah: melalui borang pemberitahuan dalam talian di laman web JPDP; dengan menyerahkan borang pemberitahuan yang dinyatakan dalam Lampiran B Garis Panduan ke pdp@pdp.gov.my; atau dengan menyerahkan salinan bercetak kepada Pesuruhjaya.
Keperluan Daftar Pelanggaran
Semua pengawal data mesti mengekalkan daftar pelanggaran selama sekurang-kurangnya dua tahun. Daftar tersebut mesti mendokumenkan punca setiap pelanggaran, kesannya, bilangan subjek data yang terjejas, jenis data yang terlibat, dan tindakan pemulihan yang diambil. Pesuruhjaya boleh meminta akses kepada daftar ini semasa siasatan atau audit.
Hukuman Bagi Kegagalan Memberitahu
Kegagalan memberitahu Pesuruhjaya mengenai pelanggaran yang layak adalah suatu kesalahan. Hukumannya ialah denda sehingga RM250,000 dan/atau penjara sehingga 2 tahun.
Keperluan Pegawai Perlindungan Data
Pindaan 2024 memperkenalkan pelantikan DPO yang mandatori bagi organisasi tertentu, berkuat kuasa 1 Jun 2025. Kedua-dua pengawal data dan pemproses data mesti melantik DPO jika mereka memenuhi mana-mana satu daripada tiga ambang.
Ambang tersebut ialah: memproses data peribadi 20,000 atau lebih individu; memproses data peribadi sensitif 10,000 atau lebih individu; atau menjalankan pemantauan sistematik individu pada skala besar, seperti penjejakan tingkah laku dalam talian atau operasi CCTV yang meluas.
DPO boleh terdiri daripada kakitangan dalaman atau perunding luaran. DPO yang dilantik mesti didaftarkan dengan Pesuruhjaya dalam tempoh 21 hari selepas pelantikan melalui Sistem Perlindungan Data Peribadi di daftar.pdp.gov.my.
Tanggungjawab DPO termasuk menasihati organisasi mengenai pematuhan PDPA, memantau aktiviti pemprosesan data, bertindak sebagai titik hubungan bagi Pesuruhjaya dan bagi subjek data, menjalankan atau menyelia penilaian impak perlindungan data, dan memastikan kakitangan menerima latihan yang sewajarnya.
JPDP menerbitkan Garis Panduan Latihan dan Kompetensi DPO pada 21 Julai 2025, menetapkan piawaian profesional dan keperluan kompetensi minimum bagi DPO yang berdaftar. Organisasi yang gagal melantik DPO apabila diperlukan menghadapi hukuman di bawah Akta yang dipinda.
Pemindahan Data Rentas Sempadan
PDPA asal melarang pemindahan data peribadi ke luar Malaysia melainkan negara destinasi berada dalam senarai putih yang diluluskan kerajaan. Senarai putih tersebut tidak pernah diisi, menyebabkan ketidakpastian undang-undang bagi aliran data antarabangsa selama lebih sedekad.
Pindaan 2024 menggantikan sepenuhnya sistem senarai putih dengan rangka kerja berasaskan kecukupan di bawah Seksyen 129 PDPA yang dipinda, berkuat kuasa 1 April 2025.
Rangka Kerja Baharu
Pemindahan rentas sempadan dibenarkan ke destinasi yang mempunyai undang-undang perlindungan data yang secara substansialnya serupa dengan PDPA atau yang menyediakan tahap perlindungan yang mencukupi setara dengan apa yang diberikan oleh PDPA. Garis Panduan Perlindungan Data Peribadi mengenai Pemindahan Rentas Sempadan Data Peribadi (Garis Panduan No. 3/2025), diterbitkan pada 29 April 2025, menyediakan panduan terperinci mengenai cara pengawal mesti menilai kecukupan.
Tiada penentuan kecukupan formal yang menetapkan negara tertentu sebagai mencukupi telah dikeluarkan oleh Pesuruhjaya sehingga pertengahan 2026. Oleh itu, pengawal data mesti menjalankan Penilaian Impak Pemindahan mereka sendiri.
Penilaian Impak Pemindahan
Sebelum memindahkan data peribadi ke luar Malaysia, pengawal data mesti menjalankan Penilaian Impak Pemindahan (TIA). TIA menilai sama ada rangka kerja perundangan bidang kuasa destinasi menyediakan perlindungan yang secara substansialnya serupa dengan PDPA. Faktor yang perlu dipertimbangkan termasuk: kewujudan hak subjek data (akses, pembetulan); kehadiran prinsip perlindungan data yang setanding dengan tujuh prinsip PDPA; sama ada destinasi mempunyai keperluan DPO dan pemberitahuan pelanggaran; kebolehkuatkuasaan kewajipan pemproses data; kewujudan dan kuasa pihak berkuasa pengawal selia khusus; dan kedaulatan undang-undang di bidang kuasa destinasi.
Pengawal data mesti mendokumenkan penilaian mereka dan asas bagi setiap pemindahan rentas sempadan. Pesuruhjaya boleh meminta bukti pematuhan pada bila-bila masa.
Mekanisme Pemindahan Yang Dibenarkan
Apabila negara destinasi tidak memenuhi ambang kecukupan, pemindahan masih boleh berlaku melalui mekanisme alternatif. Ini termasuk: klausa kontraktual piawai yang menggabungkan perlindungan setara PDPA, dimasukkan ke dalam kontrak antara pengawal data dan penerima luar negara; peraturan korporat mengikat yang diluluskan oleh Pesuruhjaya; persetujuan eksplisit daripada subjek data selepas dimaklumkan mengenai perlindungan negara destinasi dan risiko yang berkaitan; atau apabila pemindahan itu diperlukan bagi pelaksanaan kontrak yang menjadi pihak kepada subjek data.
Hukuman Bagi Pemindahan Tanpa Kebenaran
Memindahkan data peribadi ke luar Malaysia yang melanggar Seksyen 129 membawa denda sehingga RM300,000 dan/atau penjara sehingga 2 tahun.
Hukuman dan Penguatkuasaan
Pindaan 2024 meningkatkan dengan ketara rangka kerja hukuman PDPA, dengan hukuman yang lebih tinggi berkuat kuasa mulai 1 April 2025.
Hukuman Am
Pelanggaran mana-mana daripada tujuh prinsip perlindungan data kini membawa denda maksimum RM1,000,000 (kira-kira USD 210,000 hingga 225,000 pada kadar pertukaran 2026) dan/atau penjara sehingga 3 tahun. Sebelum Pindaan, had maksimum ialah RM300,000 dengan penjara sehingga 2 tahun.
Hukuman am ini terpakai kepada pengawal data. Bagi pelanggaran Prinsip Keselamatan, pemproses data juga menghadapi liabiliti hukuman langsung.
Hukuman Kesalahan Khusus
Peruntukan PDPA yang berbeza membawa tahap hukuman masing-masing:
- Kegagalan memberitahu Pesuruhjaya mengenai pelanggaran yang layak: sehingga RM250,000 dan/atau penjara 2 tahun
- Ketidakpatuhan terhadap arahan untuk berhenti pemprosesan pemasaran langsung: sehingga RM200,000 dan/atau penjara 2 tahun
- Pemindahan data rentas sempadan tanpa kebenaran: sehingga RM300,000 dan/atau penjara 2 tahun
- Halangan terhadap siasatan atau pemeriksaan Pesuruhjaya: hukuman berasingan di bawah Akta
Liabiliti Jenayah dan Sejarah Penguatkuasaan
Pelanggaran PDPA dianggap sebagai kesalahan kuasi-jenayah. Pendakwaan berjalan melalui sistem keadilan jenayah, dengan beban pembuktian pada pihak pendakwaan untuk membuktikan kesalahan tanpa keraguan munasabah. Subjek data yang mengalami kerugian akibat pelanggaran PDPA juga boleh mengejar tuntutan pampasan sivil, walaupun PDPA tidak menetapkan hak berkanun kepada pampasan.
Dari 2017 hingga 2025, JPDP mewajibkan 33 pengawal data membayar fi kompaun bagi pelanggaran PDPA, dengan 8 kes diteruskan ke pendakwaan mahkamah. Kompaun tertinggi yang dikenakan ialah RM108,000 bagi pelanggaran Prinsip Am, Pendedahan, dan Penyimpanan oleh satu pengawal data. Tindakan penguatkuasaan yang mengenakan had maksimum RM1,000,000 yang diperkenalkan oleh Pindaan 2024 dijangka muncul mulai akhir 2025.
Penilaian Impak Perlindungan Data
JPDP membuka perundingan awam pada Mac 2025 mengenai cadangan Garis Panduan Penilaian Impak Perlindungan Data (DPIA), dengan maklum balas perlu diserahkan sebelum 19 Mei 2025. DPIA ditakrifkan sebagai penilaian impak operasi pemprosesan yang dirancang terhadap perlindungan data peribadi, yang melibatkan pengenalpastian, penilaian, dan pengurusan risiko perlindungan data dengan mengambil kira fungsi dan proses organisasi.
Di bawah cadangan garis panduan, menjalankan DPIA akan menjadi mandatori apabila pemprosesan melibatkan: data peribadi sensitif 10,000 atau lebih individu; data peribadi 20,000 atau lebih individu apabila pemprosesan bertujuan pembuatan keputusan automatik; atau data peribadi am 20,000 atau lebih individu.
Garis Panduan Pelantikan DPO (Februari 2025) telah pun memperkenalkan jangkaan bahawa DPO akan menjalankan atau menyelia DPIA sebagai sebahagian daripada tanggungjawab mereka. Garis Panduan DPIA akhir masih belum diterbitkan secara rasmi sehingga pertengahan 2026. Organisasi yang tertakluk kepada keperluan DPO dinasihatkan untuk mula membangunkan prosedur DPIA menjangka garis panduan akhir tersebut.
Keperluan Pematuhan Bagi Organisasi
Organisasi yang beroperasi di Malaysia harus mengambil langkah praktikal berikut untuk memastikan pematuhan PDPA.
Pemetaan dan Inventori Data
Jalankan audit menyeluruh terhadap semua aktiviti pemprosesan data peribadi. Dokumenkan data peribadi apa yang dikumpul, tujuan pemprosesan, cara data mengalir dalam organisasi, di mana ia disimpan, siapa yang mempunyai akses, dan bila ia dipadam.
Notis Privasi
Sediakan notis privasi yang jelas dalam Bahasa Malaysia dan Bahasa Inggeris. Notis ini mesti diberikan kepada subjek data sebelum atau pada masa pengumpulan data dan mesti merangkumi semua maklumat yang diperlukan oleh Prinsip Notis dan Pilihan.
Pengurusan Persetujuan
Laksanakan proses pengurusan persetujuan yang memenuhi piawaian Pindaan 2024: diberikan secara bebas, khusus, termaklum, dan tidak samar-samar. Kekalkan rekod bila dan bagaimana persetujuan diperoleh, dan pastikan mekanisme wujud bagi subjek data untuk menarik balik persetujuan.
Langkah Keselamatan
Laksanakan langkah keselamatan teknikal dan organisasi yang mematuhi Piawaian Perlindungan Data Peribadi 2015. Ini termasuk kawalan akses, penyulitan, penilaian kelemahan berkala, pelan tindak balas insiden, dan latihan keselamatan pekerja.
Pelan Tindak Balas Pelanggaran
Bangunkan dan uji pelan tindak balas pelanggaran data yang mampu memenuhi keperluan pemberitahuan 72 jam dari titik penemuan. Pelan tersebut harus merangkumi prosedur eskalasi, ahli pasukan tindak balas yang ditetapkan, templat pemberitahuan bagi Pesuruhjaya dan individu yang terjejas, serta latihan simulasi berkala.
Pelantikan DPO
Nilai sama ada organisasi anda memenuhi mana-mana daripada tiga ambang pelantikan DPO: memproses data peribadi 20,000 atau lebih individu; memproses data peribadi sensitif 10,000 atau lebih individu; atau menjalankan pemantauan sistematik pada skala besar. Jika ya, lantik DPO yang layak dan daftarkan mereka dengan Pesuruhjaya dalam tempoh 21 hari selepas pelantikan di daftar.pdp.gov.my.
Dokumentasi Pemindahan Rentas Sempadan
Bagi sebarang pemindahan data antarabangsa, jalankan dan dokumenkan Penilaian Impak Pemindahan. Pastikan mekanisme pemindahan yang sesuai diwujudkan, sama ada berdasarkan penilaian kecukupan, klausa kontraktual piawai, peraturan korporat mengikat, atau persetujuan termaklum.
Pendaftaran Sektor
Jika organisasi anda beroperasi dalam salah satu daripada 14 sektor terkawal, pastikan pendaftaran anda dengan Pesuruhjaya adalah terkini dan sijil dipamerkan sebagaimana diperlukan. Pembaharuan mesti berlaku sebelum tamat tempoh untuk mengelakkan beroperasi tanpa sijil yang sah.
Perbezaan Utama Antara PDPA Malaysia dan GDPR EU
Walaupun pindaan 2024 membawa PDPA lebih hampir kepada piawaian GDPR, beberapa perbezaan penting masih kekal.
PDPA hanya terpakai kepada transaksi komersial dalam sektor swasta. GDPR terpakai kepada semua pemprosesan data tanpa mengira sifat komersial atau sektor. Kerajaan Persekutuan dan Negeri Malaysia dikecualikan daripada PDPA; badan awam EU mesti mematuhi GDPR.
Malaysia mengamalkan rejim pendaftaran mandatori bagi 14 sektor yang ditetapkan. GDPR tiada keperluan pendaftaran yang setara.
Garis masa 72 jam pemberitahuan pelanggaran PDPA, seperti yang dijelaskan oleh Garis Panduan JPDP Februari 2025, bermula daripada penemuan pelanggaran. Tempoh 72 jam GDPR juga bermula apabila pengawal menyedari pelanggaran itu. Kedua-dua rangka kerja selari mengenai perkara ini.
PDPA tidak mengiktiraf kepentingan yang sah sebagai asas sah bagi pemprosesan. Persetujuan kekal sebagai asas perundangan utama di bawah undang-undang Malaysia. GDPR menyediakan enam asas sah termasuk kepentingan yang sah.
Denda maksimum di bawah PDPA mencecah RM1 juta (kira-kira USD 210,000 hingga 225,000), jauh lebih rendah daripada maksimum GDPR sebanyak 20 juta euro atau 4% daripada perolehan tahunan global.
PDPA belum mempunyai rangka kerja hak pembuatan keputusan automatik yang muktamad. Hak GDPR di bawah Artikel 22 untuk tidak tertakluk kepada keputusan yang semata-mata automatik telah berkuat kuasa sejak 2018. Hak setara Malaysia dicadangkan dalam perundingan Garis Panduan ADM JPDP tetapi belum digubal.
Perkembangan Terkini (2025 hingga 2026)
Landskap perlindungan data Malaysia mengalami perubahan pesat berikutan pelaksanaan berperingkat Akta Pindaan 2024.
Januari 2025: Fasa 1 Pindaan berkuat kuasa, merangkumi peruntukan sampingan dan pentadbiran.
Februari 2025: JPDP menerbitkan Garis Panduan Pemberitahuan Pelanggaran Data dan Garis Panduan Pelantikan DPO, menyediakan panduan pelaksanaan praktikal bagi kewajipan Jun 2025.
Mac 2025: JPDP melancarkan perundingan awam mengenai draf garis panduan bagi Penilaian Impak Perlindungan Data, Privasi Mengikut Reka Bentuk, dan Pembuatan Keputusan Automatik dan Pemprofilan. Perundingan ditutup pada 19 Mei 2025.
April 2025: Fasa 2 berkuat kuasa. Peralihan istilah daripada "pengguna data" kepada "pengawal data" mula berkuat kuasa. Data biometrik menjadi data peribadi sensitif. Rangka kerja pemindahan rentas sempadan berasaskan kecukupan yang baharu berkuat kuasa. Hukuman yang dipertingkatkan sehingga RM1,000,000 bagi pelanggaran prinsip berkuat kuasa.
April 2025: Akta Perkongsian Data 2025 (Akta 864) berkuat kuasa pada 28 April 2025, menubuhkan rejim tadbir urus data sektor awam yang baharu.
April 2025: JPDP menerbitkan Garis Panduan Pemindahan Data Peribadi Rentas Sempadan (Garis Panduan No. 3/2025) pada 29 April 2025.
Jun 2025: Fasa 3 berkuat kuasa. Pelantikan DPO mandatori menjadi keperluan bagi organisasi yang layak. Pemberitahuan pelanggaran data mandatori mula berkuat kuasa. Hak mudah alih data menjadi boleh dikuatkuasakan.
Julai 2025: JPDP menerbitkan Garis Panduan Latihan dan Kompetensi DPO (21 Julai 2025), menetapkan piawaian profesional bagi DPO berdaftar.
Berterusan pada 2026: JPDP sedang memuktamadkan garis panduan DPIA, Privasi Mengikut Reka Bentuk, dan Pembuatan Keputusan Automatik berikutan perundingan 2025. Tindakan penguatkuasaan yang mengenakan hukuman maksimum RM1,000,000 yang dipertingkatkan dijangka apabila JPDP meneruskan aktiviti pemeriksaan dan audit di bawah kuasanya yang diperluas.
Untuk panduan berkaitan undang-undang rakaman di Malaysia, lihat undang-undang rakaman Malaysia.
Artikel ini menyediakan maklumat undang-undang am mengenai rangka kerja perlindungan data Malaysia sehingga Mei 2026. Ia tidak membentuk nasihat undang-undang. Undang-undang dan garis panduan mungkin berubah; rujuk peguam yang berlesen di Malaysia untuk nasihat mengenai situasi khusus anda.
Frequently Asked Questions
Adakah PDPA Malaysia terpakai kepada syarikat asing?
Ya. PDPA terpakai kepada mana-mana organisasi yang memproses data peribadi berkaitan dengan transaksi komersial menggunakan peralatan atau kemudahan yang berlokasi di Malaysia. Syarikat asing yang menggunakan pelayan, pusat data, atau infrastruktur Malaysia lain untuk memproses data peribadi termasuk dalam skop PDPA, tanpa mengira di mana syarikat itu diperbadankan. Pindaan 2024 mengukuhkan jangkauan ekstrateritorial ini.
Apakah hukuman bagi pelanggaran PDPA Malaysia?
Sejak Pindaan 2024 berkuat kuasa pada 1 April 2025, pelanggaran mana-mana daripada tujuh prinsip perlindungan data membawa denda maksimum RM1,000,000 (kira-kira USD 210,000 hingga 225,000) dan/atau penjara sehingga 3 tahun. Kesalahan khusus membawa tahap masing-masing: kegagalan memberitahu Pesuruhjaya mengenai pelanggaran data membawa denda sehingga RM250,000 dan/atau penjara 2 tahun; pemindahan rentas sempadan tanpa kebenaran membawa denda sehingga RM300,000 dan/atau penjara 2 tahun. Ini adalah kesalahan kuasi-jenayah yang didakwa melalui sistem keadilan jenayah Malaysia.
Bila pelanggaran data mesti dilaporkan di bawah PDPA?
Pengawal data mesti memberitahu Pesuruhjaya Perlindungan Data Peribadi dalam tempoh 72 jam selepas menyedari pelanggaran itu, jika ia menyebabkan atau berkemungkinan menyebabkan kemudaratan yang signifikan, atau jika ia menjejaskan lebih 1,000 subjek data. Garis Panduan JPDP Februari 2025 menjelaskan bahawa tempoh masa bermula daripada penemuan, bukan daripada saat pelanggaran itu berlaku. Individu yang terjejas mesti dimaklumkan tanpa kelewatan yang tidak wajar dan tidak lewat daripada 7 hari selepas memberitahu Pesuruhjaya. Organisasi mesti mengekalkan daftar pelanggaran selama sekurang-kurangnya dua tahun.
Adakah Pegawai Perlindungan Data diperlukan di bawah undang-undang Malaysia?
Tidak semua organisasi memerlukan DPO. Sejak 1 Jun 2025, organisasi mesti melantik DPO jika mereka memproses data peribadi 20,000 atau lebih individu, data peribadi sensitif 10,000 atau lebih individu, atau menjalankan pemantauan sistematik individu pada skala besar. DPO mesti didaftarkan dengan Pesuruhjaya dalam tempoh 21 hari selepas pelantikan di daftar.pdp.gov.my. DPO boleh terdiri daripada kakitangan dalaman atau perunding luaran.
Bolehkah data peribadi dipindahkan ke luar Malaysia di bawah PDPA?
Ya, tetapi dengan syarat. Pindaan 2024 menggantikan sistem senarai putih lama (yang tidak pernah diisi) dengan rangka kerja berasaskan kecukupan berkuat kuasa 1 April 2025. Pengawal data mesti menjalankan Penilaian Impak Pemindahan sebelum menghantar data peribadi ke luar negara. Pemindahan dibenarkan ke negara dengan undang-undang perlindungan data yang secara substansialnya serupa dengan PDPA. Apabila kecukupan tidak dapat ditentukan, organisasi boleh menggunakan klausa kontraktual piawai, peraturan korporat mengikat, persetujuan termaklum eksplisit, atau keperluan kontraktual. Tiada penentuan kecukupan formal telah dikeluarkan oleh Pesuruhjaya sehingga pertengahan 2026.
Industri manakah yang mesti berdaftar dengan JPDP di bawah PDPA Malaysia?
Pengawal data dalam 14 sektor terkawal mesti mendaftar dengan Pesuruhjaya sebelum memproses data peribadi. Sektor tersebut ialah: komunikasi, perbankan dan kewangan, insurans, penjagaan kesihatan, pelancongan, pengangkutan, pendidikan, jualan langsung, perkhidmatan profesional (guaman, audit, perakaunan, kejuruteraan, seni bina), runcit dan borong, pekerjaan, hartanah, utiliti, serta pemegang gadai janji dan pemberi pinjam wang. Sijil pendaftaran mesti diperbaharui sekurang-kurangnya setiap tahun dan dipamerkan di tempat perniagaan utama.
Adakah DPIA diperlukan di bawah PDPA Malaysia?
Keperluan DPIA mandatori yang formal masih belum berkuat kuasa sehingga pertengahan 2026. JPDP menerbitkan draf Garis Panduan DPIA untuk perundingan awam pada Mac 2025. Cadangan garis panduan itu akan menjadikan DPIA mandatori apabila pemprosesan melibatkan data peribadi sensitif 10,000 atau lebih individu, data peribadi 20,000 atau lebih individu untuk tujuan pembuatan keputusan automatik, atau data peribadi am 20,000 atau lebih individu. Garis Panduan Pelantikan DPO telah pun menjangkakan DPO menjalankan DPIA sebagai sebahagian daripada tanggungjawab mereka. Organisasi yang tertakluk kepada keperluan DPO harus mula membina prosedur DPIA menjangka garis panduan akhir.
Sources and References
- Akta Perlindungan Data Peribadi 2010 (Akta 709) - Teks Penuh(pdp.gov.my).gov
- Akta Perlindungan Data Peribadi (Pindaan) 2024 - JPDP(pdp.gov.my).gov
- Prinsip Perlindungan Data Peribadi - JPDP(pdp.gov.my).gov
- Garis Panduan Perlindungan Data Peribadi mengenai Pelantikan DPO - JPDP(pdp.gov.my).gov
- Garis Panduan Perlindungan Data Peribadi mengenai Pemindahan Rentas Sempadan - JPDP(pdp.gov.my).gov
- Garis Panduan Pemindahan Data Peribadi Rentas Sempadan No. 3/2025 - JPDP(pdp.gov.my).gov
- Kertas Perundingan Awam No. 1/2025 Garis Panduan DPIA - JPDP(pdp.gov.my).gov
- Akta Perlindungan Data Peribadi Malaysia - Portal Kerajaan Malaysia(malaysia.gov.my).gov
- Akta Perkongsian Data 2025 (Akta 864) Teks Penuh - Jabatan Digital Negara(jdn.gov.my).gov
- Akta Perlindungan Data Peribadi 2010 Teks Penuh - Invest Malaysia(investmalaysia.gov.my).gov
- Daripada Reformasi Perundangan kepada Panduan Praktikal: Pindaan PDPA - Mayer Brown(mayerbrown.com)
- Pindaan PDPA Malaysia: Tadbir Urus Data yang Dipertingkatkan - IAPP(iapp.org)
- Hala Tuju Baharu dalam Perlindungan Data: Pindaan PDPA Malaysia 2024 - Data Protection Report(dataprotectionreport.com)
- Garis Panduan Malaysia mengenai Pemberitahuan Pelanggaran Data dan DPO - DLA Piper Privacy Matters(privacymatters.dlapiper.com)
- Akta Pindaan PDPA Malaysia 2024 - Baker McKenzie(insightplus.bakermckenzie.com)
- Mengharungi Kewajipan Pemberitahuan Pelanggaran Data Mandatori Malaysia di Bawah PDPA - HHQ Law(hhq.com.my)
- Keperluan Perlindungan Data Baharu Malaysia Jun 2025 - One Asia Lawyers(oneasia.legal)
- Perlindungan Data dan Privasi 2026 Malaysia - Chambers and Partners(practiceguides.chambers.com)
- Perundingan Awam PDPA mengenai DPIA dan ADM - Rahmat Lim and Partners(rahmatlim.com)
- Garis Panduan Pemindahan Data Rentas Sempadan Malaysia 2025 - CMS Law-Now(cms-lawnow.com)
- Hala Tuju Digital Malaysia: Perlindungan Data dan Etika AI - Future of Privacy Forum(fpf.org)
- Akta Perkongsian Data Malaysia 2025 - DFDL(dfdl.com)