Indonesien UU PDP Cookie-samtykke: Overholdelsesvejledning for udgivere
Indonesien er verdens fjerde største internetmarked. For enhver udgiver, der leverer indhold til landets 215 millioner onlinebrugere, er landets lov om beskyttelse af personoplysninger — Undang-Undang Pelindungan Data Pribadi eller UU PDP — nu det vigtigste overholdelseskrav at håndtere korrekt. Vedtaget i oktober 2022 og fuldt håndhævelig siden oktober 2024 efter at den toårige overgangsperiode sluttede, er UU PDP tæt modelleret efter GDPR, men indfører sit eget specifikke samtykkeformat, dataansvarligesforpligtelser og sanktionsregime. Denne vejledning leder udgivere igennem, hvad UU PDP kræver, hvor den afviger fra GDPR-praksis, og hvordan man konfigurerer et samtykkebanner, der tilfredsstiller indonesiske regulatorer.
Hvad UU PDP dækker, og hvem der er omfattet
UU PDP er Indonesiens første omfattende lov om beskyttelse af personoplysninger. Inden dens vedtagelse var reglerne om databeskyttelse i Indonesien spredt over sektorspecifikke regler — bank, telekommunikation, e-handel, elektroniske systemer. UU PDP konsoliderer disse til ét enkelt horisontalt regime, der gælder for enhver dataansvarlig eller databehandler, der behandler personoplysninger om indonesiske registrerede, uanset hvor den dataansvarlige er etableret.
Denne eksterritoriale rækkevidde er det vigtigste faktum for udenlandske udgivere. En udgiver med base i USA, EU eller Singapore, der leverer indhold til brugere, der befinder sig fysisk i Indonesien, er omfattet af UU PDP. Nærværenstest er funktionel, ikke formel: Hvis den dataansvarlige retter sig mod indonesiske brugere — via Bahasa Indonesia-indhold, indonesiske betalingsmuligheder eller geografisk målrettet annoncering — gælder UU PDP fuldt ud.
Samtykkestandardet i henhold til Article 22
Article 22 i UU PDP definerer samtykke og er hjørnestenen i ethvert cookie-banner rettet mod indonesisk trafik. Artikel kræver, at samtykke er:
- Eksplicit — tavshed, forudafkrydsede bokse og fortsat brug af webstedet udgør ikke samtykke. Brugeren skal foretage en positiv handling.
- Specifikt — samtykke skal være knyttet til et defineret behandlingsformål. En enkelt Accept-All-knap, der dækker ti forskellige formål, er meget sårbar.
- Informeret — den registrerede skal modtage, inden der gives samtykke, den dataansvarliges identitet, datakategorier, formål, opbevaringsperiode, modtagere og sine rettigheder.
- Dokumenteret skriftligt eller registreret elektronisk — Article 22(3) kræver, at den dataansvarlige kan bevise samtykke. En tidsstemplet samtykkelogfil knyttet til et hashket bruger-id opfylder dette krav; et vagt udsagn om, at brugeren klikkede på Acceptér, gør ikke.
- Tilbagekaldelig på tilsvarende vilkår — tilbagetrækning skal være lige så let som den originale meddelelse af samtykke. En afvisningssti, der kræver tre klik, mens accept kræver ét, er ikke i overensstemmelse.
Fagfolk vil genkende disse krav: de svarer næsten en til en til GDPR's Article 7. Forskellene ligger i omfang og håndhævelse, ikke i konceptet.
Retsgrundlag ud over samtykke
Ligesom GDPR anerkender UU PDP andre retsgrundlag end samtykke for visse behandlinger. Article 20 opstiller seks retsgrundlag: samtykke, kontraktopfyldelse, retlig forpligtelse, vitale interesser, offentlig opgave og legitim interesse. For de fleste cookie- og sporingsaktiviteter er det imidlertid kun samtykke, der realistisk er tilgængeligt, fordi undtagelsen for absolut nødvendige cookies — som er nødvendige for at levere en tjeneste, brugeren har anmodet om — er snæver og ikke gælder reklame eller analyse.
Undtagelsen for absolut nødvendighed
Sessions-cookies, login-cookies, sprogpræferencecookies og indkøbskurvscookies falder ind under kontraktopfyldelse eller legitim interesse med meget lav risiko. De kræver ikke eksplicit samtykke, selvom deres kategorier stadig skal oplyses i privatlivspolitikken. Alt andet — analyser, annoncering, retargeting, tredjepartspixels, fingerprinting — kræver samtykke efter Article 22.
Børns data
Article 25 kræver forældrenes samtykke til enhver behandling af personoplysninger om registrerede under 18 år. Dette er strengere end GDPR's standardalder for digitalt samtykke på 16 år (som medlemsstater kan sænke til 13). En udgiver, der driver børnerettet indhold på Bahasa Indonesia, bør behandle grænsen som 18 og konfigurere et forældregodkendelsesflow, ikke en egenerklæringsafkrydsningsboks.
Grænseoverskridende dataoverførsler
Article 56 regulerer overførslen af personoplysninger uden for Indonesien. En dataansvarlig må kun overføre data til et andet land, hvis mindst én af tre betingelser er opfyldt: destinationslandet har et tilstrækkeligt beskyttelsesniveau for personoplysninger sammenligneligt med UU PDP, der er passende sikkerhedsforanstaltninger på plads, eller den registrerede har givet eksplicit samtykke til overførslen.
Det indonesiske Ministerium for Kommunikation og Informatik (Kominfo) har endnu ikke offentliggjort en liste over tilstrækkelighed. I praksis er udgivere, der overfører data til GDPR-jurisdiktioner, USA, Singapore eller Australien, afhænger af passende sikkerhedsforanstaltninger — typisk standardkontraktklausuler tilpasset UU PDP med en bindende klausul om, at efterfølgende underdatabehandlere respekterer UU PDP-rettigheder. For annonceteknologileverandører, der opererer fra flere regioner, skal din databehandleraftale specificere, hvilke regioner der håndterer indonesiske brugerdata, og hvilke sikkerhedsforanstaltninger der gælder ved hvert skridt.
Registreredes rettigheder og 72-timers-vinduet
UU PDP giver indonesiske registrerede rettigheder, der ligner GDPR's tæt: adgang, berigtigelse, sletning, indsigelse mod behandling, dataportabilitet og retten til at anfægte automatiserede afgørelser. To specifikke aspekter er vigtige for udgivere.
For det første kræver Article 30, at den dataansvarlige besvarer en anmodning om rettigheder inden for en rimelig tid, som gennemførelsesbekendtgørelsen har fastsat til tre arbejdsdage for kvittering og maksimalt fjorten arbejdsdage for substansbesvaret. Dette er hurtigere end GDPR's standard på én måned.
For det andet kræver Article 46 underretning om et brud på persondatasikkerhed til de berørte registrerede og til Myndighed for Beskyttelse af Personoplysninger inden for 3 x 24 hours — det vil sige 72 timer fra det tidspunkt, den dataansvarlige blev opmærksom på bruddet. Uret starter, når den dataansvarlige har bekræftet bruddet, ikke hvornår det kunne have been opdaget.
Sanktioner og nylig håndhævelse
UU PDP's sanktionsregime har mere bid, end mange udgivere indledningsvis erkendte. Article 57 giver mulighed for administrative sanktioner på op til 2% af den årlige omsætning. Article 67 to 73 giver mulighed for strafferetlige sanktioner på op til seks års fængsel og bøder på op til 6 milliarder rupiah for de alvorligste overtrædelser, herunder ulovlig indsamling af personoplysninger og ulovlig videregivelse.
I løbet af 2025 befandt håndhævelsen sig i en blød lanceringsfase, hvor Kominfo udstedte advarselsskrivelser og korrigerende påbud frem for bøder. Denne fase sluttede i begyndelsen af 2026. Den første større administrative sanktion i henhold til UU PDP — udstedt til en hjemlig e-handelsoperatør i marts 2026 for utilstrækkelig underretning om brud og manglende forældrenes samtykke i en produktlinje rettet mod mindreårige — satte et klart signal om, at håndhævelse nu er aktiv.
Hvad et kompatibelt udgiverbanner ser ud
For en udgiver, der betjener indonesisk trafik i 2026, er den praktiske konfiguration:
Lokaliser banneret til Bahasa Indonesia
Kravet om informeret samtykke i Article 22 er ikke opfyldt af et engelsksprogede banner vist til en Bahasa-talende bruger. CMP'et skal registrere indonesiske brugere — via geolokation, IP eller Accept-Language-headeren — og betjene banneret, privatlivspolitikken og de detaljerede kontroller på Bahasa Indonesia.
Behandl samtykke som kun opt-in
Ingen sporings-, annoncerings- eller analysescripts må afvikles, før brugeren eksplicit har accepteret. Forudafkrydsede kategorier, underforstået samtykke fra fortsat browsing og meddelelser om "by using this site you agree" er alle ikke-konforme.
Oprethold dokumenterede samtykkelogfiler
Article 22(3) er eksplicit: den dataansvarlige skal kunne fremvise dokumentation. En samtykkelogfil, der knytter et bruger-id til et tidsstempel, versionen af det viste banner og de trufne valg, er det dokument, Kominfo vil anmode om ved enhver revision eller klageundersøgelse.
Gør tilbagetrækning genuint tilsvarende
Et vedvarende flydende samtykkeikon, et enkelt-klik-afvisning på siden for privatlivspræferencer eller en tydelig afmelding i enhver dataindsamlende e-mail — enhver er en rimelig implementering. Et begravet link i en privatlivspolitik på 4000 ord er ikke.
Samler det hele
UU PDP er ikke en GDPR-klon, men den er tæt nok til, at udgivere med modne europæiske overholdelsesprogrammer kan udvide deres eksisterende samtykkeinfrastruktur til Indonesien med målrettede justeringer: Bahasa-lokalisering, en 18-årsgrænse for forældrenes samtykke, 72-timers underretning om brud og standardkontraktklausuler, der eksplicit dækker UU PDP. Udgivere uden denne infrastruktur bør behandle UU PDP som katalysatoren for at bygge den. Indonesisk håndhævelse er nu aktiv, og omkostningerne ved afhjælpning, efter en Kominfo-undersøgelse er begyndt, er konsekvent højere end omkostningerne ved at få banneret rigtigt inden lancering.