Co UU PDP pokrývá a koho se týká

UU PDP je prvním komplexním zákonem o ochraně osobních údajů v Indonésii. Před jeho přijetím byla pravidla ochrany dat v Indonésii roztroušena do sektorálních předpisů — bankovnictví, telekomunikace, elektronický obchod, elektronické systémy. UU PDP je konsoliduje do jediného horizontálního režimu, který se vztahuje na každého správce nebo zpracovatele nakládajícího s osobními údaji indonéských subjektů údajů, bez ohledu na to, kde je správce usazen.

Tento extrateritoriální dosah je pro zahraniční vydavatele nejdůležitějším faktem. Vydavatel se sídlem v USA, EU nebo Singapuru, který poskytuje obsah uživatelům fyzicky nacházejícím se v Indonésii, podléhá UU PDP. Test přítomnosti je funkční, nikoli formální: pokud správce cílí na indonéské uživatele — prostřednictvím obsahu v Bahasa Indonesia, indonéských platebních možností nebo geograficky cílenou reklamou — UU PDP se plně použije.

Standard souhlasu podle Article 22

Article 22 UU PDP definuje souhlas a je základním kamenem každého cookie banneru zaměřeného na indonéský provoz. Article vyžaduje, aby souhlas byl:

• Výslovný — mlčení, předem zaškrtnutá políčka a pokračování v používání webu nepředstavují souhlas. Uživatel musí podniknout pozitivní kroky.
• Specifický — souhlas musí být vázán na definovaný účel zpracování. Jediné tlačítko Accept-All pokrývající deset různých účelů je vysoce zranitelné.
• Informovaný — subjekt údajů musí před udělením souhlasu obdržet totožnost správce, kategorie dat, účely, dobu uchovávání, příjemce a svá práva.
• Zdokumentovaný písemně nebo elektronicky zaznamenaný — Article 22(3) vyžaduje, aby správce byl schopen prokázat souhlas. Protokol souhlasu s časovým razítkem namapovaný na hašovaný identifikátor uživatele tento požadavek splňuje; vágní tvrzení, že uživatel klikl na Přijmout, nikoli.
• Odvolatelný za rovnocenných podmínek — odvolání musí být stejně snadné jako původní udělení. Cesta odmítnutí, která vyžaduje tři kliknutí, zatímco přijetí vyžaduje jedno, není v souladu s předpisy.

Odborníci tyto požadavky poznají: téměř jeden ku jednomu odpovídají Article 7 GDPR. Rozdíly jsou v rozsahu a vymáhání, nikoli v konceptu.

Právní základy nad rámec souhlasu

Stejně jako GDPR uznává UU PDP pro některé zpracování jiné právní základy než souhlas. Article 20 uvádí šest právních základů: souhlas, plnění smlouvy, právní povinnost, životní zájem, veřejný úkol a oprávněný zájem. Pro většinu aktivit s cookies a sledováním je však realisticky dostupný pouze souhlas, protože výjimka z přísné nezbytnosti pro cookies nezbytné k poskytování služby požadované uživatelem je úzká a nevztahuje se na reklamu ani analýzu.

Výjimka z přísné nezbytnosti

Relační cookies, přihlašovací cookies, cookies jazykových preferencí a cookies nákupního košíku spadají pod plnění smlouvy nebo oprávněný zájem s velmi nízkým rizikem. Nevyžadují výslovný souhlas, přestože jejich kategorie musí být stále zveřejněny v oznámení o ochraně soukromí. Vše ostatní — analytika, reklama, retargeting, pixely třetích stran, fingerprinting — vyžaduje souhlas podle Article 22.

Data dětí

Article 25 vyžaduje rodičovský souhlas pro jakékoli zpracování dat subjektů mladších 18 let. To je přísnější než výchozí věk digitálního souhlasu GDPR 16 let (který mohou členské státy snížit na 13). Vydavatel provozující obsah zaměřený na děti v Bahasa Indonesia by měl práh považovat za 18 a nakonfigurovat ověřovací tok pro rodiče, nikoli zaškrtávací políčko pro vlastní prohlášení.

Přeshraniční přenosy dat

Article 56 upravuje přenos osobních údajů mimo Indonésii. Správce může přenést data do jiné země pouze tehdy, je-li splněna alespoň jedna ze tří podmínek: cílová země má odpovídající úroveň ochrany osobních údajů srovnatelnou s UU PDP, existují vhodné záruky nebo subjekt údajů udělil výslovný souhlas s přenosem.

Indonéské ministerstvo komunikací a informatiky (Kominfo) dosud nezveřejnilo seznam přiměřenosti. V praxi vydavatelé přenášející data do jurisdikcí GDPR, do Spojených států, Singapuru nebo Austrálie spoléhají na vhodné záruky — typicky standardní smluvní doložky přizpůsobené UU PDP se závaznou doložkou, že podřízení zpracovatelé respektují práva UU PDP. U prodejců technologií pro reklamu působících z více regionů musí vaše smlouva o zpracování dat specifikovat, které regiony nakládají s indonéskými uživatelskými daty a jaké záruky se uplatňují v každém kroku.

Práva subjektů údajů a okno 72 hodin

UU PDP uděluje indonéským subjektům údajů práva úzce připomínající práva GDPR: přístup, oprava, výmaz, námitka proti zpracování, přenositelnost dat a právo napadnout automatizovaná rozhodnutí. Pro vydavatele jsou důležité dva specifické aspekty.

Za prvé, Article 30 vyžaduje, aby správce odpověděl na žádost o výkon práv v přiměřené lhůtě, kterou prováděcí nařízení stanovilo na tři pracovní dny pro potvrzení a maximálně čtrnáct pracovních dní pro věcnou odpověď. To je rychlejší než výchozí jednoměsíční lhůta GDPR.

Za druhé, Article 46 vyžaduje oznámení o porušení zabezpečení osobních údajů dotčeným subjektům údajů a orgánu ochrany osobních údajů do 3 x 24 hours — tedy 72 hodin od okamžiku, kdy se správce o porušení dozvěděl. Hodiny začínají běžet, když správce porušení potvrdil, nikoli kdy je mohl zjistit.

Sankce a nedávné vymáhání

Sankční režim UU PDP má více zubů, než mnoho vydavatelů zpočátku uznalo. Article 57 stanoví správní sankce až do výše 2 % ročních příjmů. Article 67 to 73 stanoví trestní sankce až šest let odnětí svobody a pokuty až 6 miliard rupiah za nejzávažnější porušení, včetně nezákonného shromažďování osobních údajů a nezákonného zveřejnění.

Do roku 2025 bylo vymáhání v soft-launch fázi, přičemž Kominfo vydával varovné dopisy a nápravná opatření místo pokut. Tato fáze skončila počátkem roku 2026. První velká správní sankce podle UU PDP — uložená domácímu provozovateli elektronického obchodu v březnu 2026 za nedostatečné oznámení o porušení a chybějící rodičovský souhlas v produktové řadě zaměřené na nezletilé — stanovila jasný ukazatel toho, že vymáhání je nyní aktivní.

Jak vypadá banner vydavatele v souladu s předpisy

Pro vydavatele obsluhujícího indonéský provoz v roce 2026 je praktická konfigurace:

Lokalizujte banner do Bahasa Indonesia

Požadavek na informovaný souhlas podle Article 22 není splněn anglickým bannerem zobrazeným uživateli mluvícímu Bahasa. CMP musí detekovat indonéské uživatele — podle geolokace, IP nebo hlavičky Accept-Language — a zobrazit banner, oznámení o ochraně soukromí a podrobné ovládací prvky v Bahasa Indonesia.

Považujte souhlas pouze za opt-in

Žádné skskripty sledování, reklamy ani analýzy nesmějí být spuštěny dříve, než uživatel výslovně přijal. Předem zaškrtnuté kategorie, implicitní souhlas z pokračujícího prohlížení a oznámení „by using this site you agree“ jsou všechny v rozporu s předpisy.

Udržujte zdokumentované protokoly souhlasu

Article 22(3) je explicitní: správce musí být schopen předložit důkazy. Protokol souhlasu, který mapuje identifikátor uživatele na časové razítko, verzi zobrazeného banneru a provedené volby, je dokument, který Kominfo vyžádá při jakémkoli auditu nebo šetření stížnosti.

Zajistěte skutečnou rovnocennost odvolání

Trvalá plovoucí ikona souhlasu, odmítnutí jedním kliknutím na stránce předvoleb ochrany soukromí nebo jasné odhlášení v jakémkoli e-mailu shromažďujícím data — každá z těchto možností je rozumnou implementací. Pohřbený odkaz v zásadách ochrany soukromí o 4000 slovech nikoli.

Spojení všeho dohromady

UU PDP není klonem GDPR, ale je dostatečně blízký tomu, aby vydavatelé s vyspělými evropskými programy dodržování předpisů mohli rozšířit svou stávající infrastrukturu souhlasu do Indonésie s cílenými úpravami: lokalizace Bahasa, věkový práh 18 let pro rodičovský souhlas, 72hodinové oznámení o porušení a standardní smluvní doložky, které výslovně pokrývají UU PDP. Vydavatelé bez takové infrastruktury by měli UU PDP považovat za spouštěč k jejímu vybudování. Indonéské vymáhání je nyní aktivní a náklady na nápravu po zahájení šetření Kominfo jsou vždy vyšší než náklady na správné nastavení banneru před spuštěním.