Συμμόρφωση14 Ιουνίου 2026 | FlexyConsent

Ινδονησία UU PDP Συναίνεση Cookie: Οδηγός Συμμόρφωσης για Εκδότες

Η Ινδονησία είναι η τέταρτη μεγαλύτερη αγορά διαδικτύου στον κόσμο. Για κάθε εκδότη που παρέχει περιεχόμενο στα 215 εκατομμύρια διαδικτυακούς χρήστες της χώρας, ο νόμος για την προστασία των προσωπικών δεδομένων — Undang-Undang Pelindungan Data Pribadi ή UU PDP — είναι πλέον η πιο κρίσιμη απαίτηση συμμόρφωσης. Θεσπισμένος τον Οκτώβριο του 2022 και πλήρως εφαρμόσιμος από τον Οκτώβριο του 2024 μετά τη λήξη της διετούς μεταβατικής περιόδου, ο UU PDP είναι στενά προσαρμοσμένος στον GDPR, αλλά εισάγει τη δική του συγκεκριμένη μορφή συναίνεσης, υποχρεώσεις υπεύθυνων επεξεργασίας και σύστημα κυρώσεων. Αυτός ο οδηγός περιγράφει στους εκδότες τι απαιτεί ο UU PDP, πού αποκλίνει από τις συνήθειες του GDPR και πώς να διαμορφώσουν ένα banner συναίνεσης που ικανοποιεί τους Ινδονήσιους ρυθμιστές.

Τι καλύπτει ο UU PDP και ποιον αφορά

Ο UU PDP είναι ο πρώτος ολοκληρωμένος νόμος προστασίας προσωπικών δεδομένων της Ινδονησίας. Πριν τη θέσπισή του, οι κανόνες προστασίας δεδομένων στην Ινδονησία ήταν διασκορπισμένοι σε τομεακούς κανονισμούς — τραπεζικός, τηλεπικοινωνιακός, ηλεκτρονικού εμπορίου, ηλεκτρονικών συστημάτων. Ο UU PDP τους ενοποιεί σε ένα ενιαίο οριζόντιο καθεστώς που ισχύει για κάθε υπεύθυνο ή εκτελούντα επεξεργασία που χειρίζεται προσωπικά δεδομένα Ινδονήσιων υποκειμένων δεδομένων, ανεξάρτητα από τον τόπο εγκατάστασης του υπεύθυνου.

Αυτή η εξωεδαφική εμβέλεια είναι το πιο σημαντικό γεγονός για αλλοδαπούς εκδότες. Ένας εκδότης με έδρα στις ΗΠΑ, την ΕΕ ή τη Σιγκαπούρη που παρέχει περιεχόμενο σε χρήστες που βρίσκονται φυσικά στην Ινδονησία υπόκειται στον UU PDP. Η δοκιμή παρουσίας είναι λειτουργική, όχι τυπική: εάν ο υπεύθυνος στοχεύει Ινδονήσιους χρήστες — μέσω περιεχομένου Bahasa Indonesia, ινδονησιακών επιλογών πληρωμής ή γεωγραφικά στοχευμένης διαφήμισης — ο UU PDP εφαρμόζεται πλήρως.

Το πρότυπο συναίνεσης σύμφωνα με το Article 22

Το Article 22 του UU PDP ορίζει τη συναίνεση και αποτελεί τον ακρογωνιαίο λίθο κάθε banner cookie που απευθύνεται στην ινδονησιακή επισκεψιμότητα. Το Article απαιτεί η συναίνεση να είναι:

Ρητή — η σιωπή, τα προεπιλεγμένα πλαίσια ελέγχου και η συνέχιση χρήσης του ιστότοπου δεν αποτελούν συναίνεση. Ο χρήστης πρέπει να αναλάβει θετική δράση.
Συγκεκριμένη — η συναίνεση πρέπει να συνδέεται με έναν καθορισμένο σκοπό επεξεργασίας. Ένα μόνο κουμπί Accept-All που καλύπτει δέκα διαφορετικούς σκοπούς είναι εξαιρετικά ευάλωτο.
Ενημερωμένη — το υποκείμενο δεδομένων πρέπει να λαμβάνει, πριν τη συναίνεση, την ταυτότητα του υπεύθυνου, τις κατηγορίες δεδομένων, τους σκοπούς, την περίοδο διατήρησης, τους αποδέκτες και τα δικαιώματά του.
Τεκμηριωμένη γραπτώς ή καταγεγραμμένη ηλεκτρονικά — το Article 22(3) απαιτεί ο υπεύθυνος να μπορεί να αποδείξει τη συναίνεση. Ένα αρχείο καταγραφής συναίνεσης με χρονική σήμανση αντιστοιχισμένο σε κατακερματισμένο αναγνωριστικό χρήστη ικανοποιεί αυτή την απαίτηση· ο ισχυρισμός ότι ο χρήστης έκανε κλικ στο Accept δεν αρκεί.
Ανακλητή υπό ισοδύναμους όρους — η ανάκληση πρέπει να είναι εξίσου εύκολη με την αρχική παραχώρηση. Μια διαδρομή απόρριψης που απαιτεί τρία κλικ ενώ η αποδοχή απαιτεί ένα δεν συμμορφώνεται.

Οι ειδικοί θα αναγνωρίσουν αυτές τις απαιτήσεις: αντιστοιχίζονται σχεδόν ένα προς ένα στο Article 7 του GDPR. Οι διαφορές βρίσκονται στο πεδίο εφαρμογής και την επιβολή, όχι στην έννοια.

Νόμιμες βάσεις πέρα από τη συναίνεση

Όπως ο GDPR, ο UU PDP αναγνωρίζει νόμιμες βάσεις εκτός της συναίνεσης για ορισμένες επεξεργασίες. Το Article 20 απαριθμεί έξι νομικές βάσεις: συναίνεση, εκτέλεση σύμβασης, νομική υποχρέωση, ζωτικό συμφέρον, δημόσιο έργο και έννομο συμφέρον. Για τις περισσότερες δραστηριότητες cookie και παρακολούθησης, ωστόσο, μόνο η συναίνεση είναι ρεαλιστικά διαθέσιμη, επειδή η εξαίρεση αυστηρής αναγκαιότητας για cookies που είναι απαραίτητα για την παροχή υπηρεσίας που ζήτησε ο χρήστης είναι στενή και δεν επεκτείνεται στη διαφήμιση ή την ανάλυση.

Η εξαίρεση αυστηρής αναγκαιότητας

Τα cookies συνεδρίας, τα cookies σύνδεσης, τα cookies προτίμησης γλώσσας και τα cookies καλαθιού αγορών εμπίπτουν στην εκτέλεση σύμβασης ή το έννομο συμφέρον με πολύ χαμηλό κίνδυνο. Δεν απαιτούν ρητή συναίνεση, αν και οι κατηγορίες τους πρέπει να γνωστοποιούνται στην ανακοίνωση απορρήτου. Οτιδήποτε άλλο — αναλυτικά, διαφήμιση, επαναστόχευση, pixels τρίτων, ψηφιακά αποτυπώματα — απαιτεί συναίνεση Article 22.

Δεδομένα παιδιών

Το Article 25 απαιτεί γονική συναίνεση για οποιαδήποτε επεξεργασία δεδομένων υποκειμένων κάτω των 18 ετών. Αυτό είναι αυστηρότερο από την προεπιλογή ηλικίας ψηφιακής συναίνεσης του GDPR των 16 ετών (που τα κράτη μέλη μπορούν να μειώσουν στα 13). Ένας εκδότης που προβάλλει παιδικό περιεχόμενο στα Bahasa Indonesia πρέπει να αντιμετωπίζει το κατώφλι ως 18 και να διαμορφώνει ροή γονικής επαλήθευσης, όχι πλαίσιο αυτο-δήλωσης.

Διασυνοριακές Μεταφορές Δεδομένων

Το Article 56 διέπει τη μεταφορά προσωπικών δεδομένων εκτός Ινδονησίας. Ο υπεύθυνος μπορεί να μεταφέρει δεδομένα σε άλλη χώρα μόνο εφόσον πληρούται τουλάχιστον μία από τρεις προϋποθέσεις: η χώρα προορισμού έχει επαρκές επίπεδο προστασίας προσωπικών δεδομένων ανάλογο με τον UU PDP, υπάρχουν κατάλληλες εγγυήσεις ή το υποκείμενο δεδομένων έχει δώσει ρητή συναίνεση για τη μεταφορά.

Το Ινδονησιακό Υπουργείο Επικοινωνιών και Πληροφορικής (Kominfo) δεν έχει ακόμα δημοσιεύσει κατάλογο επάρκειας. Στην πράξη, εκδότες που μεταφέρουν δεδομένα σε δικαιοδοσίες GDPR, στις Ηνωμένες Πολιτείες, στη Σιγκαπούρη ή στην Αυστραλία βασίζονται σε κατάλληλες εγγυήσεις — συνήθως τυπικές συμβατικές ρήτρες προσαρμοσμένες στον UU PDP, με δεσμευτική ρήτρα που υποχρεώνει τους κατάντη υπεξεργαζόμενους να σέβονται τα δικαιώματα UU PDP. Για προμηθευτές τεχνολογίας διαφήμισης που λειτουργούν από πολλές περιοχές, η συμφωνία επεξεργασίας δεδομένων σας πρέπει να καθορίζει ποιες περιοχές χειρίζονται δεδομένα Ινδονήσιων χρηστών και ποιες εγγυήσεις ισχύουν σε κάθε στάδιο.

Δικαιώματα Υποκειμένων Δεδομένων και το Παράθυρο 72 Ωρών

Ο UU PDP χορηγεί στα Ινδονήσια υποκείμενα δεδομένων δικαιώματα που μοιάζουν στενά με αυτά του GDPR: πρόσβαση, διόρθωση, διαγραφή, αντίρρηση στην επεξεργασία, φορητότητα δεδομένων και δικαίωμα αμφισβήτησης αυτοματοποιημένων αποφάσεων. Δύο ειδικά στοιχεία έχουν σημασία για τους εκδότες.

Πρώτον, το Article 30 απαιτεί ο υπεύθυνος να απαντά σε αίτημα άσκησης δικαιωμάτων εντός εύλογου χρονικού διαστήματος, το οποίο ο κανονισμός εφαρμογής έχει ορίσει σε τρεις εργάσιμες ημέρες για επιβεβαίωση και μέγιστο δεκατεσσάρων εργάσιμων ημερών για ουσιαστική απάντηση. Αυτό είναι ταχύτερο από την προεπιλογή ενός μηνός του GDPR.

Δεύτερον, το Article 46 απαιτεί κοινοποίηση παραβίασης προσωπικών δεδομένων στα επηρεαζόμενα υποκείμενα δεδομένων και στην Αρχή Προστασίας Προσωπικών Δεδομένων εντός 3 x 24 hours — δηλαδή 72 ώρες από τη στιγμή που ο υπεύθυνος αντελήφθη την παραβίαση. Το ρολόι ξεκινά όταν ο υπεύθυνος επιβεβαίωσε την παραβίαση, όχι όταν θα μπορούσε να την ανακαλύψει.

Κυρώσεις και Πρόσφατη Επιβολή

Το καθεστώς κυρώσεων του UU PDP έχει περισσότερο δόντι από αυτό που πολλοί εκδότες αρχικά αναγνώριζαν. Το Article 57 προβλέπει διοικητικές κυρώσεις έως 2% των ετήσιων εσόδων. Το Article 67 to 73 προβλέπει ποινικές κυρώσεις έως έξι χρόνια φυλάκισης και πρόστιμα έως 6 δισεκατομμύρια rupiah για τις σοβαρότερες παραβιάσεις, συμπεριλαμβανομένης της παράνομης συλλογής προσωπικών δεδομένων και της παράνομης αποκάλυψης.

Κατά τη διάρκεια του 2025 η επιβολή ήταν σε φάση ήπιας εκκίνησης, με την Kominfo να εκδίδει προειδοποιητικές επιστολές και διορθωτικές εντολές αντί για πρόστιμα. Αυτή η φάση έληξε στις αρχές του 2026. Η πρώτη μεγάλη διοικητική κύρωση βάσει του UU PDP — που εκδόθηκε σε έναν εγχώριο πάροχο ηλεκτρονικού εμπορίου τον Μάρτιο του 2026 για ανεπαρκή κοινοποίηση παραβίασης και απουσία γονικής συναίνεσης σε προϊοντική σειρά που απευθύνεται σε ανήλικους — έθεσε σαφές σήμα ότι η επιβολή είναι πλέον ενεργή.

Πώς φαίνεται ένα συμβατό Banner Εκδότη

Για έναν εκδότη που εξυπηρετεί Ινδονησιακή επισκεψιμότητα το 2026, η πρακτική διαμόρφωση είναι:

Τοπικοποιήστε το banner στα Bahasa Indonesia

Η απαίτηση ενημερωμένης συναίνεσης του Article 22 δεν ικανοποιείται από ένα αγγλόφωνο banner που εμφανίζεται σε χρήστη που μιλά Bahasa. Το CMP πρέπει να εντοπίζει Ινδονήσιους χρήστες — με γεωεντοπισμό, IP ή επικεφαλίδα Accept-Language — και να εξυπηρετεί το banner, την ανακοίνωση απορρήτου και τα λεπτομερή στοιχεία ελέγχου στα Bahasa Indonesia.

Αντιμετωπίστε τη συναίνεση ως αποκλειστικά opt-in

Κανένα script παρακολούθησης, διαφήμισης ή ανάλυσης δεν μπορεί να ενεργοποιηθεί πριν ο χρήστης αποδεχτεί ρητά. Οι προεπιλεγμένες κατηγορίες, η σιωπηρή συναίνεση από τη συνέχιση περιήγησης και οι ανακοινώσεις "by using this site you agree" είναι όλες μη συμμορφούμενες.

Διατηρήστε τεκμηριωμένα αρχεία καταγραφής συναίνεσης

Το Article 22(3) είναι ρητό: ο υπεύθυνος πρέπει να μπορεί να παράγει αποδείξεις. Ένα αρχείο καταγραφής συναίνεσης που αντιστοιχίζει αναγνωριστικό χρήστη σε χρονική σήμανση, την έκδοση του banner που εμφανίστηκε και τις επιλογές που έγιναν είναι το έγγραφο που θα ζητήσει η Kominfo σε οποιοδήποτε έλεγχο ή έρευνα καταγγελίας.

Κάντε την ανάκληση πραγματικά ισοδύναμη

Ένα μόνιμο αιωρούμενο εικονίδιο συναίνεσης, μια απόρριψη με ένα κλικ στη σελίδα προτιμήσεων απορρήτου ή μια σαφής κατάργηση εγγραφής σε οποιοδήποτε email συλλογής δεδομένων — το καθένα αποτελεί εύλογη υλοποίηση. Ένας θαμμένος σύνδεσμος σε μια πολιτική απορρήτου 4.000 λέξεων δεν είναι.

Συνδυάζοντας τα Όλα

Ο UU PDP δεν είναι κλώνος του GDPR, αλλά είναι αρκετά κοντά ώστε εκδότες με ώριμα ευρωπαϊκά προγράμματα συμμόρφωσης να μπορούν να επεκτείνουν την υπάρχουσα υποδομή συναίνεσής τους στην Ινδονησία με στοχευμένες προσαρμογές: τοπικοποίηση Bahasa, ηλικιακό κατώφλι 18 ετών για γονική συναίνεση, κοινοποίηση παραβίασης 72 ωρών και τυπικές συμβατικές ρήτρες που καλύπτουν ρητά τον UU PDP. Εκδότες χωρίς αυτή την υποδομή θα πρέπει να αντιμετωπίζουν τον UU PDP ως έναυσμα για να την αναπτύξουν. Η ινδονησιακή επιβολή είναι πλέον ενεργή, και το κόστος αποκατάστασης μετά την έναρξη έρευνας της Kominfo είναι ομοιόμορφα υψηλότερο από το κόστος σωστής ρύθμισης του banner πριν από την έναρξη.