Што ахоплівае UU PDP і хто трапляе пад яго

UU PDP — гэта першы ўсёабдымны статут абароны персанальных дадзеных Інданезіі. Да яго прыняцця правілы абароны дадзеных у Інданезіі былі раскіданы па сектаральных рэгуляцыях — банкінг, тэлекам, электронная камерцыя, электронныя сістэмы. UU PDP кансалідуе іх у адзіны гарызантальны рэжым, які прымяняецца да любога кантролера ці апрацоўшчыка, які апрацоўвае персанальныя дадзеныя інданезійскіх суб'ектаў дадзеных, незалежна ад таго, дзе ўсталяваны кантролер.

Гэты экстэрытарыяльны ахоп — самы важны факт для замежных выдаўцоў. Выдавец з ЗША, ЕС ці Сінгапура, які абслугоўвае кантэнт карыстальнікам, фізічна размешчаным у Інданезіі, трапляе пад UU PDP. Тэст прысутнасці функцыянальны, а не фармальны: калі кантролер таргетуе інданезійскіх карыстальнікаў — праз кантэнт на бахаса інданезія, інданезійскія опцыі аплаты ці геатаргетаваную рэкламу — UU PDP прымяняецца цалкам.

Стандарт згоды згодна з артыкулам 22

Артыкул 22 UU PDP вызначае згоду і з'яўляецца краевугольным каменем любога банера cookie, накіраванага на інданезійскі трафік. Артыкул патрабуе, каб згода была:

• Яўнай — маўчанне, загадзя адзначаныя сцяжкі і працяг выкарыстання сайта не складаюць згоды. Карыстальнік павінен прыняць станоўчае дзеянне.
• Канкрэтнай — згода павінна быць прывязана да вызначанай мэты апрацоўкі. Адзіная кнопка Прыняць усё, якая ахоплівае дзесяць розных мэт, вельмі ўразлівая.
• Інфармаванай — суб'ект дадзеных павінен атрымаць, да згоды, ідэнтычнасць кантролера, катэгорыі дадзеных, мэты, перыяд захоўвання, атрымальнікаў і свае правы.
• Дакументаванай пісьмова ці запісанай электронна — Артыкул 22(3) патрабуе, каб кантролер мог даказаць згоду. Часавы лог згоды, супастаўлены з хэшаваным ідэнтыфікатарам карыстальніка, задавальняе гэта патрабаванне; невыразнае сцвярджэнне, што карыстальнік націснуў Прыняць, не.
• Адклікальнай на эквівалентных умовах — адкліканне павінна быць гэтак жа лёгкім, як першапачатковае дараванне. Шлях адмовы, які займае тры клікі, у той час як прыняцце займае адзін, не з'яўляецца адпаведным.

Практыкі пазнаюць гэтыя патрабаванні: яны супастаўляюцца амаль адзін-да-аднаго з Артыкулам 7 GDPR. Адрозненні ў ахопе і праваахове, а не ў канцэпцыі.

Прававыя падставы па-за згодай

Як і GDPR, UU PDP прызнае прававыя падставы, акрамя згоды, для некаторай апрацоўкі. Артыкул 20 пералічвае шэсць прававых падстаў: згода, выкананне кантракта, прававы абавязак, жыццёвы інтарэс, грамадскае заданне і законны інтарэс. Аднак для большасці актыўнасці cookie і адсочвання рэалістычна даступная толькі згода, бо вузкае выключэнне строгай неабходнасці для cookie, якія істотныя для прадастаўлення паслугі, запатрабаванай карыстальнікам, не пашыраецца на рэкламу ці аналітыку.

Выключэнне строгай неабходнасці

Сеансавыя cookie, cookie ўваходу, cookie моўных пераваг і cookie кошыка пакупак трапляюць пад выкананне кантракта ці законны інтарэс з вельмі нізкай рызыкай. Яны не патрабуюць яўнай згоды, хоць іх катэгорыі ўсё яшчэ павінны быць раскрыты ў паведамленні пра прыватнасць. Усё астатняе — аналітыка, рэклама, рэтаргетынг, староннія пікселі, фінгерпрынтынг — патрабуе згоды па Артыкуле 22.

Дадзеныя дзяцей

Артыкул 25 патрабуе бацькоўскай згоды для любой апрацоўкі суб'ектаў дадзеных маладзей за 18 гадоў. Гэта строжэй, чым стандарт узросту лічбавай згоды GDPR у 16 гадоў (які краіны-члены могуць паніжаць да 13). Выдавец, які запускае арыентаваны на дзяцей кантэнт на бахаса інданезія, павінен ставіцца да парога як да 18 і наладзіць паток бацькоўскай верыфікацыі, а не сцяжок самадэкларацыі.

Трансгранічныя перадачы дадзеных

Артыкул 56 рэгулюе перадачу персанальных дадзеных за межы Інданезіі. Кантролер можа перадаваць дадзеныя ў іншую краіну толькі калі выкананы прынамсі адна з трох умоў: краіна прызначэння мае адэкватны ўзровень абароны персанальных дадзеных, параўнальны з UU PDP, ёсць адпаведныя гарантыі, ці суб'ект дадзеных даў яўную згоду на перадачу.

Інданезійскае Міністэрства камунікацый і інфарматыкі (Kominfo) яшчэ не апублікавала спіс адэкватнасці. На практыцы выдаўцы, якія перадаюць дадзеныя ў юрысдыкцыі GDPR, у ЗША, у Сінгапур ці ў Аўстралію, абапіраюцца на адпаведныя гарантыі — звычайна стандартныя дагаворныя пункты, адаптаваныя да UU PDP, з абавязковым пунктам, што ніжэйшыя суб-апрацоўшчыкі выконваюць правы UU PDP. Для пастаўшчыкоў ad-tech, якія працуюць з некалькіх рэгіёнаў, ваша пагадненне аб апрацоўцы дадзеных павінна вызначаць, якія рэгіёны апрацоўваюць дадзеныя інданезійскіх карыстальнікаў і якія гарантыі прымяняюцца на кожным кроку.

Правы суб'екта дадзеных і акно ў 72 гадзіны

UU PDP надае інданезійскім суб'ектам дадзеных правы, што блізка нагадваюць правы GDPR: доступ, выпраўленне, выдаленне, пярэчанне супраць апрацоўкі, пераноснасць дадзеных і права аспрэчваць аўтаматызаваныя рашэнні. Дзве канкрэтыкі маюць значэнне для выдаўцоў.

Па-першае, Артыкул 30 патрабуе, каб кантролер адказваў на запыт правоў на працягу разумнага часу, які ўкаранёная рэгуляцыя ўсталявала ў тры працоўныя дні для пацверджання і максімум чатырнаццаць працоўных дзён для змястоўнага адказу. Гэта хутчэй за стандарт GDPR у адзін месяц.

Па-другое, Артыкул 46 патрабуе паведамлення аб уцечцы персанальных дадзеных закранутым суб'ектам дадзеных і Органу абароны персанальных дадзеных на працягу 3 x 24 гадзін — гэта значыць, 72 гадзіны з моманту, як кантролер даведаўся пра ўцечку. Гадзіннік пачынаецца, калі кантролер пацвердзіў уцечку, а не калі ён мог яе выявіць.

Пакаранні і нядаўняя праваахова

Рэжым пакаранняў UU PDP мае больш зубоў, чым многія выдаўцы спачатку прызналі. Артыкул 57 прадугледжвае адміністрацыйныя санкцыі да 2% гадавога даходу. Артыкулы 67-73 прадугледжваюць крымінальныя санкцыі да шасці гадоў зняволення і штрафы да 6 мільярдаў рупій за самыя сур'ёзныя парушэнні, уключаючы незаконны збор персанальных дадзеных і незаконнае раскрыццё.

На працягу 2025 года праваахова была ў фазе мяккага запуску, з Kominfo, які выдаваў папераджальныя лісты і карэкцыйныя загады, а не штрафы. Гэта фаза скончылася ў пачатку 2026 года. Першае буйное адміністрацыйнае пакаранне па UU PDP — выдадзенае айчыннаму аператару электроннай камерцыі ў сакавіку 2026 года за неадэкватнае паведамленне пра ўцечку і адсутнасць бацькоўскай згоды на лінейцы прадуктаў, накіраванай на непаўналетніх — усталявала ясную метку, што праваахова цяпер актыўная.

Як выглядае адпаведны банер выдаўца

Для выдаўца, які абслугоўвае інданезійскі трафік у 2026 годзе, практычная канфігурацыя:

Лакалізуйце банер на бахаса інданезія

Патрабаванне інфармаванай згоды Артыкула 22 не задавальняецца англамоўным банерам, паказаным карыстальніку, які гаворыць на бахаса. CMP павінна выяўляць інданезійскіх карыстальнікаў — па геалакацыі, IP ці загалоўку Accept-Language — і абслугоўваць банер, паведамленне пра прыватнасць і гранулярныя элементы кіравання на бахаса інданезія.

Ставіцеся да згоды як да толькі opt-in

Ніякія скрыпты адсочвання, рэкламы ці аналітыкі не могуць спрацоўваць да таго, як карыстальнік яўна прыняў. Загадзя адзначаныя катэгорыі, маўклівая згода ад працягу прагляду і паведамленні «выкарыстоўваючы гэты сайт, вы згаджаецеся» — усё несупадальнае.

Падтрымлівайце дакументаваныя логі згоды

Артыкул 22(3) яўны: кантролер павінен мець магчымасць прадставіць доказы. Лог згоды, які супастаўляе ідэнтыфікатар карыстальніка з часавой меткай, версіяй паказанага банера і зробленымі выбарамі — гэта дакумент, які Kominfo запатрабуе ў любым аўдыце ці расследаванні скаргі.

Зрабіце адкліканне сапраўды эквівалентным

Пастаянны плаваючы значок згоды, адмова ў адзін клік на старонцы пераваг прыватнасці ці ясная адпіска ў любым email, які збірае дадзеныя — кожнае з'яўляецца разумнай рэалізацыяй. Закапаная спасылка ў палітыцы прыватнасці з 4000 слоў — не.

Збіраючы ўсё разам

UU PDP — не клон GDPR, але ён дастаткова блізкі, што выдаўцы са спелымі еўрапейскімі праграмамі адпаведнасці могуць пашырыць сваю існуючую інфраструктуру згоды на Інданезію з мэтавымі карэкціроўкамі: лакалізацыя на бахаса, 18-гадовы парог узросту для бацькоўскай згоды, 72-гадзіннае паведамленне пра ўцечку і стандартныя дагаворныя пункты, якія яўна ахопліваюць UU PDP. Выдаўцы без гэтай інфраструктуры павінны ставіцца да UU PDP як да трыгера для яе пабудовы. Інданезійская праваахова цяпер актыўная, і кошт выпраўлення пасля пачатку расследавання Kominfo раўнамерна вышэйшы за кошт правільнай наладкі банера да запуску.