Indonesia UU PDP موافقة ملفات تعريف الارتباط: دليل الامتثال للناشرين
إندونيسيا هي رابع أكبر سوق للإنترنت في العالم. لأي ناشر يقدم محتوى لـ215 مليون مستخدم إنترنت فيها، يُعدّ قانون حماية البيانات الشخصية — Undang-Undang Pelindungan Data Pribadi أو UU PDP — الآن أهم متطلب امتثال يجب الالتزام به. صدر القانون في أكتوبر 2022 وأصبح قابلاً للتطبيق الكامل منذ أكتوبر 2024 بعد انتهاء فترة انتقالية مدتها عامان، وقد صيغ UU PDP على غرار GDPR لكنه يُدخل صيغة موافقة خاصة به والتزامات المتحكمين ونظام عقوبات مستقلاً. يرشد هذا الدليل الناشرين إلى ما يتطلبه UU PDP وأين يختلف عن ممارسات GDPR وكيفية تهيئة بانر موافقة يُرضي الجهات التنظيمية الإندونيسية.
ما يغطيه UU PDP ومن تسري عليه أحكامه
UU PDP هو أول قانون شامل لحماية البيانات الشخصية في إندونيسيا. قبل سنّه، كانت قواعد حماية البيانات في إندونيسيا موزعة على أنظمة قطاعية — البنوك والاتصالات والتجارة الإلكترونية والأنظمة الإلكترونية. يوحّد UU PDP هذه الأنظمة في إطار أفقي واحد يسري على أي متحكم أو معالج يتعامل مع البيانات الشخصية لمواطني البيانات الإندونيسيين، بغض النظر عن مكان تأسيس المتحكم.
هذا النطاق خارج الإقليم هو أهم حقيقة للناشرين الأجانب. الناشر المقيم في الولايات المتحدة أو الاتحاد الأوروبي أو سنغافورة الذي يقدم محتوى لمستخدمين متواجدين فعلياً في إندونيسيا يخضع لـUU PDP. اختبار الحضور وظيفي لا شكلي: إذا استهدف المتحكم مستخدمين إندونيسيين — من خلال محتوى Bahasa Indonesia أو خيارات الدفع الإندونيسية أو الإعلانات الموجهة جغرافياً — يسري UU PDP بالكامل.
معيار الموافقة بموجب Article 22
يُعرّف Article 22 من UU PDP الموافقة وهو حجر الزاوية في أي بانر ملفات تعريف ارتباط مستهدف للمرور الإندونيسي. يشترط Article أن تكون الموافقة:
- صريحة — الصمت والمربعات المحددة مسبقاً واستمرار استخدام الموقع لا تُشكّل موافقة. يجب أن يتخذ المستخدم إجراءً إيجابياً.
- محددة — يجب ربط الموافقة بغرض معالجة محدد. زر Accept-All الواحد الذي يغطي عشرة أغراض مختلفة شديد الهشاشة.
- مستنيرة — يجب أن يتلقى موضوع البيانات، قبل الموافقة، هوية المتحكم وفئات البيانات والأغراض وفترة الاحتفاظ والمستلمين وحقوقه.
- موثقة كتابياً أو مسجلة إلكترونياً — يتطلب Article 22(3) من المتحكم إمكانية إثبات الموافقة. سجل موافقة مؤرخ مرتبط بمعرف مستخدم مُجزأ يُرضي هذا الشرط؛ الادعاء المبهم بأن المستخدم نقر Accept لا يكفي.
- قابلة للسحب بشروط مكافئة — يجب أن يكون سحب الموافقة بنفس سهولة منحها. مسار الرفض الذي يستغرق ثلاث نقرات بينما القبول يستغرق نقرة واحدة لا يتوافق مع المتطلبات.
سيتعرف المختصون على هذه الشروط: فهي تتطابق تقريباً واحداً لواحد مع Article 7 من GDPR. الاختلافات في النطاق والتطبيق لا في المفهوم.
الأسس القانونية ما وراء الموافقة
كما في GDPR، يعترف UU PDP بأسس قانونية أخرى غير الموافقة لبعض عمليات المعالجة. يُدرج Article 20 ستة أسس قانونية: الموافقة وتنفيذ العقد والالتزام القانوني والمصلحة الحيوية والمهمة العامة والمصلحة المشروعة. غير أن معظم نشاط ملفات تعريف الارتباط والتتبع لا تتوفر فيه سوى الموافقة بشكل واقعي، لأن استثناء الضرورة الصارمة لملفات تعريف الارتباط الأساسية لتقديم خدمة طلبها المستخدم ضيق ولا يمتد إلى الإعلانات أو التحليلات.
استثناء الضرورة الصارمة
تندرج ملفات تعريف ارتباط الجلسة وملفات تسجيل الدخول وتفضيلات اللغة وعربة التسوق ضمن تنفيذ العقد أو المصلحة المشروعة بمخاطر منخفضة جداً. لا تستلزم موافقة صريحة، وإن كان لا بد من الإفصاح عن فئاتها في إشعار الخصوصية. كل شيء آخر — التحليلات والإعلانات وإعادة الاستهداف وبكسلات الطرف الثالث والبصمة الرقمية — يستلزم موافقة Article 22.
بيانات الأطفال
يستلزم Article 25 موافقة الوالدين على أي معالجة لبيانات موضوعات بيانات دون 18 عاماً. هذا أصرم من الافتراضي لـGDPR بشأن سن الموافقة الرقمية البالغ 16 عاماً (الذي يمكن للدول الأعضاء خفضه إلى 13). يجب أن يعتبر الناشر الذي يقدم محتوى موجهاً للأطفال بلغة Bahasa Indonesia العتبة 18 عاماً ويُهيئ تدفق تحقق الوالدين لا مربع الإقرار الذاتي.
نقل البيانات عبر الحدود
يُنظّم Article 56 نقل البيانات الشخصية خارج إندونيسيا. يجوز للمتحكم نقل البيانات إلى دولة أخرى فقط إذا تحقق شرط واحد على الأقل من ثلاثة شروط: أن تمتلك الدولة المقصد مستوى كافياً من حماية البيانات الشخصية مماثلاً لـUU PDP، أو توفر ضمانات ملائمة، أو أن يكون موضوع البيانات قد أعطى موافقة صريحة على النقل.
لم تنشر وزارة الاتصالات والمعلوماتية الإندونيسية (Kominfo) قائمة كفاية بعد. في الممارسة، يعتمد الناشرون الذين ينقلون بيانات إلى ولايات قضائية GDPR أو الولايات المتحدة أو سنغافورة أو أستراليا على ضمانات ملائمة — عادةً بنود تعاقدية قياسية مُكيّفة مع UU PDP، مع بند ملزم يُلزم المعالجين الفرعيين من المصب باحترام حقوق UU PDP. بالنسبة لبائعي تقنيات الإعلان الذين يعملون من مناطق متعددة، يجب أن تحدد اتفاقية معالجة البيانات المناطق التي تتعامل مع بيانات المستخدمين الإندونيسيين والضمانات المطبقة في كل مرحلة.
حقوق موضوعات البيانات ونافذة 72 ساعة
يمنح UU PDP موضوعات البيانات الإندونيسية حقوقاً تشبه حقوق GDPR إلى حد بعيد: الوصول والتصحيح والحذف والاعتراض على المعالجة وقابلية نقل البيانات والحق في الطعن في القرارات الآلية. تهم الناشرين تفصيلتان.
أولاً، يستلزم Article 30 أن يرد المتحكم على طلب الحقوق في وقت معقول، وقد حدده النظام التنفيذي بثلاثة أيام عمل للإقرار وحد أقصى أربعة عشر يوم عمل للرد الجوهري. هذا أسرع من الافتراضي الشهري لـGDPR.
ثانياً، يستلزم Article 46 إخطار موضوعات البيانات المتضررة وسلطة حماية البيانات الشخصية بأي خرق للبيانات الشخصية في غضون 3 x 24 hours — أي 72 ساعة من اكتشاف المتحكم للخرق. يبدأ العدّ عندما يتأكد المتحكم من الخرق لا عندما كان بإمكانه اكتشافه.
العقوبات والتطبيق الأخير
نظام عقوبات UU PDP له أثر أكبر مما أدركه كثير من الناشرين في البداية. يُقرر Article 57 عقوبات إدارية تصل إلى 2% من الإيرادات السنوية. تُقرر Article 67 to 73 عقوبات جنائية بالسجن حتى ست سنوات وغرامات تصل إلى 6 مليارات rupiah لأشد الانتهاكات خطورة، بما في ذلك الجمع غير المشروع للبيانات الشخصية والإفصاح غير المشروع.
حتى عام 2025 كان التطبيق في مرحلة إطلاق ناعم، مع إصدار Kominfo رسائل تحذير وأوامر تصحيحية بدلاً من الغرامات. انتهت تلك المرحلة في مطلع 2026. أول عقوبة إدارية رئيسية بموجب UU PDP — صادرة ضد مشغل تجارة إلكترونية محلي في مارس 2026 بسبب قصور في الإخطار بالخروقات وغياب موافقة الوالدين على خط منتجات مستهدف للقاصرين — وضعت علامة واضحة على أن التطبيق بات نشطاً.
كيف يبدو بانر الناشر المتوافق
للناشر الذي يخدم المرور الإندونيسي في 2026، الإعداد العملي هو:
ترجمة البانر إلى Bahasa Indonesia
شرط الموافقة المستنيرة في Article 22 لا يتحقق ببانر باللغة الإنجليزية يُعرض على مستخدم يتحدث Bahasa. يجب أن يكتشف CMP المستخدمين الإندونيسيين — عبر تحديد الموقع الجغرافي أو IP أو رأس Accept-Language — ويُقدم البانر وإشعار الخصوصية والضوابط التفصيلية بلغة Bahasa Indonesia.
معاملة الموافقة كاشتراك فقط
لا يجوز تشغيل أي نصوص برمجية للتتبع أو الإعلانات أو التحليلات قبل قبول المستخدم الصريح. الفئات المحددة مسبقاً والموافقة الضمنية من الاستمرار في التصفح وإشعارات "by using this site you agree" كلها غير متوافقة.
الاحتفاظ بسجلات موافقة موثقة
Article 22(3) صريح: يجب أن يكون المتحكم قادراً على تقديم الدليل. سجل الموافقة الذي يربط معرف المستخدم بالطابع الزمني ونسخة البانر المعروض والاختيارات المتخذة هو الوثيقة التي ستطلبها Kominfo في أي تدقيق أو تحقيق في شكوى.
جعل السحب مكافئاً فعلياً
أيقونة موافقة عائمة دائمة، أو رفض بنقرة واحدة في صفحة تفضيلات الخصوصية، أو إلغاء اشتراك واضح في أي بريد إلكتروني لجمع البيانات — كل منها تطبيق معقول. الرابط المدفون في سياسة خصوصية من 4000 كلمة ليس كذلك.
الجمع بين كل شيء
UU PDP ليس نسخة طبق الأصل من GDPR، لكنه قريب بما يكفي لتمكين الناشرين ذوي البرامج الأوروبية الناضجة من توسيع بنيتهم التحتية القائمة للموافقة إلى إندونيسيا بتعديلات مستهدفة: ترجمة Bahasa وعتبة عمرية 18 عاماً لموافقة الوالدين وإخطار الخرق خلال 72 ساعة وبنود تعاقدية قياسية تغطي UU PDP صراحةً. يجب على الناشرين الذين لا تتوفر لديهم تلك البنية التحتية أن يعتبروا UU PDP المُحرّك لبنائها. التطبيق الإندونيسي نشط الآن، وتكلفة التصحيح بعد بدء تحقيق Kominfo أعلى بشكل موحد من تكلفة ضبط البانر صحيحاً قبل الإطلاق.