Съответствие14 юни 2026 | FlexyConsent

Индонезия UU PDP Съгласие за бисквитки: Ръководство за съответствие за издатели

Индонезия е четвъртият по големина интернет пазар в света. За всеки издател, предоставящ съдържание на 215 милиона онлайн потребители, Законът за защита на личните данни на страната — Undang-Undang Pelindungan Data Pribadi или UU PDP — вече е най-важното изискване за съответствие. Приет през октомври 2022 г. и напълно приложим от октомври 2024 г. след приключване на двугодишния преходен период, UU PDP е моделиран тясно по GDPR, но въвежда собствен специфичен формат на съгласие, задължения на администраторите и режим на санкции. Това ръководство запознава издателите с изискванията на UU PDP, разликите от практиките по GDPR и как да конфигурират банер за съгласие, удовлетворяващ индонезийските регулатори.

Какво обхваща UU PDP и кого засяга

UU PDP е първият всеобхватен закон за защита на личните данни в Индонезия. Преди приемането му правилата за защита на данните в страната бяха разпръснати из секторни наредби — банкиране, телекомуникации, електронна търговия, електронни системи. UU PDP ги обединява в единен хоризонтален режим, прилагащ се за всеки администратор или обработващ лични данни на индонезийски субекти на данни, независимо от местонахождението на администратора.

Тази екстериториална обхватност е най-важният факт за чуждестранните издатели. Базиран в САЩ, ЕС или Сингапур издател, предоставящ съдържание на потребители, физически намиращи се в Индонезия, подпада под UU PDP. Тестът за присъствие е функционален, а не формален: ако администраторът насочва своята дейност към индонезийски потребители — чрез съдържание на Bahasa Indonesia, индонезийски опции за плащане или географски насочена реклама — UU PDP се прилага изцяло.

Стандартът за съгласие по Article 22

Article 22 от UU PDP определя съгласието и е крайъгълен камък на всеки банер за бисквитки, насочен към индонезийски трафик. Статията изисква съгласието да бъде:

Изрично — мълчанието, предварително отметнатите полета и продължаването на ползването на сайта не представляват съгласие. Потребителят трябва да предприеме положително действие.
Конкретно — съгласието трябва да е обвързано с определена цел на обработване. Единичен бутон Accept-All, обхващащ десет различни цели, е силно уязвим.
Информирано — субектът на данни трябва да получи преди даване на съгласие самоличността на администратора, категориите данни, целите, периода на съхранение, получателите и правата си.
Документирано в писмена форма или записано електронно — Article 22(3) изисква администраторът да може да докаже съгласието. Журнал за съгласие с времеви печат, съпоставен с хеширан потребителски идентификатор, удовлетворява това изискване; неясното твърдение, че потребителят е кликнал Accept, не е достатъчно.
Отменимо при равностойни условия — оттеглянето трябва да бъде толкова лесно, колкото и първоначалното предоставяне. Маршрут за отказ, изискващ три клика, докато приемането изисква само един, не е съответстващ.

Практиците ще разпознаят тези изисквания: те се съпоставят почти едно към едно с Article 7 от GDPR. Разликите са в обхвата и прилагането, не в концепцията.

Законови основания извън съгласието

Подобно на GDPR, UU PDP признава законови основания, различни от съгласието, за някои видове обработване. Article 20 изброява шест правни основания: съгласие, изпълнение на договор, правно задължение, жизненоважен интерес, публична задача и законен интерес. За повечето дейности с бисквитки и проследяване обаче само съгласието е реалистично налично, тъй като изключението за строга необходимост за бисквитки, съществени за предоставяне на заявена от потребителя услуга, е тясно и не обхваща реклама или анализ.

Изключението за строга необходимост

Сесийните бисквитки, бисквитките за вход, бисквитките за езикови предпочитания и бисквитките за пазарска кошница попадат в изпълнение на договор или законен интерес с много нисък риск. Те не изискват изрично съгласие, въпреки че категориите им трябва да бъдат оповестени в известието за поверителност. Всичко останало — анализи, реклама, ремаркетинг, пиксели на трети страни, пръстови отпечатъци — изисква съгласие по Article 22.

Данни на деца

Article 25 изисква родителско съгласие за всяко обработване на данни на субекти под 18 години. Това е по-строго от стандарта на GDPR за цифровата възраст на съгласие от 16 години (която държавите членки могат да намалят до 13). Издател, предлагащ съдържание, насочено към деца на Bahasa Indonesia, трябва да третира прага като 18 и да конфигурира поток за родителска проверка, а не квадратче за самодеклариране.

Трансгранично прехвърляне на данни

Article 56 урежда прехвърлянето на лични данни извън Индонезия. Администраторът може да прехвърля данни в друга страна само ако е изпълнено поне едно от три условия: страната получател има адекватно ниво на защита на личните данни, сравнимо с UU PDP, налице са подходящи гаранции или субектът на данни е дал изрично съгласие за прехвърлянето.

Индонезийското Министерство на комуникациите и информатиката (Kominfo) все още не е публикувало списък с адекватни страни. На практика издателите, прехвърлящи данни в юрисдикции по GDPR, в Съединените щати, Сингапур или Австралия, разчитат на подходящи гаранции — обикновено стандартни договорни клаузи, адаптирани към UU PDP, с обвързваща клауза, задължаваща последващите подизпълнители да зачитат правата по UU PDP. За доставчиците на рекламни технологии, работещи от множество региони, споразумението за обработване на данни трябва да уточнява кои региони обработват индонезийски потребителски данни и какви гаранции се прилагат на всяка стъпка.

Права на субектите на данни и прозорецът от 72 часа

UU PDP предоставя на индонезийските субекти на данни права, много близки до тези по GDPR: достъп, коригиране, изтриване, възражение срещу обработването, преносимост на данните и право на оспорване на автоматизирани решения. Две специфики са важни за издателите.

Първо, Article 30 изисква администраторът да отговори на искане за упражняване на права в разумен срок, определен от изпълнителния регламент като три работни дни за потвърждение и максимум четиринадесет работни дни за съществен отговор. Това е по-бързо от едномесечния стандарт на GDPR.

Второ, Article 46 изисква уведомяване на засегнатите субекти на данни и на Органа за защита на личните данни за нарушение на лични данни в рамките на 3 x 24 hours — тоест 72 часа от момента, в който администраторът е узнал за нарушението. Часовникът започва да тече, когато администраторът е потвърдил нарушението, а не когато е можел да го открие.

Санкции и последно прилагане

Режимът на санкции по UU PDP има по-голяма „тежест“ от това, което много издатели първоначално са осъзнавали. Article 57 предвижда административни санкции до 2% от годишните приходи. Article 67 to 73 предвиждат наказателни санкции до шест години лишаване от свобода и глоби до 6 милиарда rupiah за най-сериозните нарушения, включително незаконно събиране и незаконно разкриване на лични данни.

През 2025 г. прилагането беше в „мека“ начална фаза: Kominfo издаваше предупредителни писма и коригиращи заповеди вместо глоби. Тази фаза приключи в началото на 2026 г. Първата голяма административна санкция по UU PDP — наложена на местен оператор за електронна търговия през март 2026 г. заради неадекватно уведомяване за нарушение и липсващо родителско съгласие за продуктова линия, насочена към непълнолетни — показа ясно, че прилагането вече е активно.

Как изглежда банерът на съответстващ издател

За издател, обслужващ индонезийски трафик през 2026 г., практическата конфигурация е:

Локализирайте банера на Bahasa Indonesia

Изискването за информирано съгласие по Article 22 не се удовлетворява от банер на английски език, показан на потребител, говорещ Bahasa. CMP трябва да открива индонезийски потребители — чрез геолокация, IP или заглавие Accept-Language — и да предоставя банера, известието за поверителност и детайлните контроли на Bahasa Indonesia.

Третирайте съгласието само като opt-in

Никакви скриптове за проследяване, реклама или анализ не могат да бъдат активирани, преди потребителят изрично да е приел. Предварително отметнатите категории, подразбиращото се съгласие от продължаващото сърфиране и известията „by using this site you agree“ всички са несъответстващи.

Поддържайте документирани журнали за съгласие

Article 22(3) е изричен: администраторът трябва да може да представи доказателства. Журнал за съгласие, свързващ потребителски идентификатор с времеви печат, версията на показания банер и направените избори, е документът, който Kominfo ще поиска при всеки одит или разследване на жалба.

Направете оттеглянето наистина равностойно

Постоянна плаваща икона за съгласие, отказ с едно кликване на страницата с предпочитания за поверителност или ясен бутон за отписване в имейл, събиращ данни — всяко от тях е разумно изпълнение. Погребан линк в политика за поверителност от 4000 думи не е.

Обединяване на всичко

UU PDP не е клонинг на GDPR, но е достатъчно близък, за да могат издатели с утвърдени европейски програми за съответствие да разширят съществуващата си инфраструктура за съгласие към Индонезия с целенасочени корекции: локализация на Bahasa, 18-годишна възрастова граница за родителско съгласие, 72-часово уведомяване за нарушения и стандартни договорни клаузи, изрично обхващащи UU PDP. Издателите без такава инфраструктура трябва да третират UU PDP като тласък да я изградят. Индонезийското прилагане вече е активно и разходите за отстраняване на проблеми след началото на разследване от Kominfo са неизменно по-високи от разходите за правилна настройка на банера преди пускането.