Mida UU PDP hõlmab ja keda see puudutab

UU PDP on Indoneesia esimene põhjalik isikuandmete kaitse seadus. Enne selle vastuvõtmist olid Indoneesia andmekaitse reeglid hajutatud erinevate sektoraalsete regulatsioonide vahel — pangandus, telekommunikatsioon, e-kaubandus, elektroonilised süsteemid. UU PDP koondab need ühtseks horisontaalseks režiimiks, mis kohaldub igale vastutavale töötlejale või volitatud töötlejale, kes käitleb Indoneesia andmesubjektide isikuandmeid, olenemata sellest, kus vastutav töötleja asub.

See territoriaalsuse ulatus on kõige tähtsam fakt välismaistele kirjastajatele. USA-, EL- või Singapuri-põhine kirjastaja, kes jagab sisu Indoneesias füüsiliselt asuvatele kasutajatele, on UU PDP kohaldamisalas. Olemasolu test on funktsionaalne, mitte formaalne: kui vastutav töötleja sihib Indoneesia kasutajaid — Bahasa Indonesia sisu, Indoneesia maksevõimaluste või geograafiliselt suunatud reklaami kaudu — kohaldub UU PDP täies ulatuses.

Nõusoleku standard Article 22 kohaselt

UU PDP Article 22 määratleb nõusoleku ja on iga Indoneesia liikluse jaoks mõeldud küpsisebänneri nurgakivi. Article nõuab, et nõusolek oleks:

• Selgesõnaline — vaikimine, eelnevalt märgitud kastid ja saidi kasutamise jätkamine ei kujuta endast nõusolekut. Kasutaja peab tegema positiivse toimingu.
• Spetsiifiline — nõusolek peab olema seotud määratletud töötlemise eesmärgiga. Üks Aktsepteeri-kõike nupp, mis katab kümmet erinevat eesmärki, on väga haavatav.
• Teadlik — andmesubjekt peab enne nõusoleku andmist saama teavet vastutava töötleja identiteedi, andmekategooriate, eesmärkide, säilitusperioodi, saajate ja oma õiguste kohta.
• Kirjalikult dokumenteeritud või elektrooniliselt salvestatud — Article 22(3) nõuab, et vastutav töötleja suudaks nõusolekut tõendada. Ajatempliga nõusoleku logi, mis on kaardistatud räsitud kasutajatunnusega, rahuldab seda nõuet; ähmane väide, et kasutaja klõpsas Nõustu, ei rahulda.
• Tagasivõetav samaväärsetes tingimustes — loobumine peab olema sama lihtne kui esialgne nõusolek. Tagasilükkamise tee, mis nõuab kolme klikki, samas kui nõustumine nõuab üht, ei ole nõuetekohane.

Praktikud tunnevad need nõuded ära: need vastavad peaaegu üks ühele GDPR-i Article 7-le. Erinevused on ulatuses ja jõustamises, mitte kontseptsioonis.

Seaduslikud alused peale nõusoleku

Nagu GDPR, tunnustab UU PDP mõne töötlemise puhul ka muid seaduslikke aluseid peale nõusoleku. Article 20 loetleb kuus õiguslikku alust: nõusolek, lepingu täitmine, seaduslik kohustus, elulised huvid, avalik ülesanne ja õigustatud huvi. Enamiku küpsiste ja jälgimistegevuse puhul on praktikas saadaval ainult nõusolek, kuna küpsiste range vajalikkuse erand, mis kehtib kasutaja taotletud teenuse osutamiseks hädavajalike küpsiste puhul, on kitsas ega laiene reklaami ega analüütikale.

Range vajalikkuse erand

Seansiküpsised, sisselogimisküpsised, keeleeelistuste küpsised ja ostukorvi küpsised kuuluvad lepingu täitmise või õigustatud huvi alla väga väikese riskiga. Need ei nõua selgesõnalist nõusolekut, kuigi nende kategooriad tuleb siiski privaatsusteates avaldada. Kõik muu — analüütika, reklaam, uuesti sihtimine, kolmandate osapoolte pikslid, sõrmejälg — nõuab Article 22 nõusolekut.

Laste andmed

Article 25 nõuab vanema nõusolekut alla 18-aastaste andmesubjektide andmete töötlemiseks. See on rangem kui GDPR-i digitaalse nõusoleku ea vaikeväärtus 16 (mida liikmesriigid võivad alandada 13-ni). Kirjastaja, kes esitab lastele suunatud sisu Bahasa Indonesia keeles, peaks pidama lävendiks 18 eluaastat ja konfigureerima vanema kinnituse voo, mitte isekinnituslahenduse.

Piiriülesed andmeedastused

Article 56 reguleerib isikuandmete edastamist väljaspool Indoneesiat. Vastutav töötleja võib andmeid teise riiki edastada ainult siis, kui on täidetud vähemalt üks kolmest tingimusest: sihtriigil on piisav isikuandmete kaitse tase, mis on võrreldav UU PDP-ga, on olemas asjakohased kaitsemeetmed, või andmesubjekt on andnud edastamiseks selgesõnalise nõusoleku.

Indoneesia Kommunikatsiooni- ja Informaatikaministeerium (Kominfo) ei ole veel avaldanud piisavuse nimekirja. Praktikas toetuvad kirjastajad, kes edastavad andmeid GDPR-i jurisdiktsioonidesse, Ameerika Ühendriikidesse, Singapuri või Austraaliasse, asjakohastele kaitsemeetmetele — tavaliselt standardsetele lepinguklauslitele, mis on kohandatud UU PDP-ga, koos siduva klauslaga, et järgnevad alamtöötlejad austavad UU PDP õigusi. Reklaamitehnoloogia müüjate jaoks, kes tegutsevad mitmest piirkonnast, peab teie andmetöötlemisel lepingus täpsustama, millised piirkonnad käitlevad Indoneesia kasutajate andmeid ja millised kaitsemeetmed kehtivad igas etapis.

Andmesubjektide õigused ja 72-tunnine aken

UU PDP annab Indoneesia andmesubjektidele õigused, mis sarnanevad lähedalt GDPR-iga: juurdepääs, parandamine, kustutamine, vastuväide töötlemisele, andmete ülekantavus ja õigus vaidlustada automatiseeritud otsuseid. Kirjastajatele on olulised kaks spetsiifikat.

Esiteks nõuab Article 30, et vastutav töötleja vastaks õiguste taotlusele mõistliku aja jooksul, mille rakendamismäärus on sätestanud kolme tööpäevana kinnituse saamiseks ja maksimaalselt neljakümne nelja tööpäevana sisuliseks vastuseks. See on kiirem kui GDPR-i ühe kuu vaikimisi tähtaeg.

Teiseks nõuab Article 46 isikuandmetega seotud rikkumisest teatamist mõjutatud andmesubjektidele ja isikuandmete kaitse ametile 3 x 24 tunni jooksul — see tähendab 72 tunni jooksul alates hetkest, mil vastutav töötleja sai rikkumisest teadlikuks. Kell hakkab tööle siis, kui vastutav töötleja on rikkumise kinnitanud, mitte siis, kui ta oleks võinud selle tuvastada.

Sanktsioonid ja hiljutine jõustamine

UU PDP sanktsioonisüsteem on paljude kirjastajate esialgsest arvamusest hambulisem. Article 57 näeb ette haldusmeetmed kuni 2% aastasest tulust. Article 67 to 73 näevad ette kriminaalkaristused kuni kuueaastase vangistuse ja trahvid kuni 6 miljardit rupiah kõige tõsisemate rikkumiste eest, sealhulgas isikuandmete ebaseaduslik kogumine ja ebaseaduslik avaldamine.

2025. aastani oli jõustamine pehmes käivitusfaasis, kus Kominfo väljastas hoiatuskirju ja paranduskorraldusi, mitte trahve. See faas lõppes 2026. aasta alguses. Esimene suur haldustrahv UU PDP alusel — väljastatud märtsis 2026 kodumaistele e-kaubanduse ettevõtjale ebapiisava rikkumisteavituse ja puuduva vanema nõusoleku eest alaealiste suunatud tooteliinil — andis selge signaali, et jõustamine on nüüd aktiivne.

Milline näeb välja nõuetekohane kirjastaja bänner

Indoneesia liiklust teenindava kirjastaja jaoks 2026. aastal on praktiline konfiguratsioon järgmine:

Lokaliseeri bänner Bahasa Indonesia keelde

Article 22 teadliku nõusoleku nõue ei ole täidetud ingliskeelse bänneriga, mis kuvatakse Bahasa keelt kõnelevale kasutajale. CMP peab tuvastama Indoneesia kasutajad — geolokatsiooni, IP-aadressi või Accept-Language päise järgi — ja serveerima bännerit, privaatsusteadet ning detailseid juhtelemente Bahasa Indonesia keeles.

Käsitle nõusolekut ainult opt-in põhiselt

Ükski jälgimis-, reklaami- või analüütikaskript ei tohi käivituda enne, kui kasutaja on selgesõnaliselt nõustunud. Eelnevalt märgitud kategooriad, kaudne nõusolek sirvimise jätkamisest ja märkused „by using this site you agree" on kõik nõuetele mittevastavad.

Halda dokumenteeritud nõusoleku logisid

Article 22(3) on selge: vastutav töötleja peab suutma tõendeid esitada. Nõusoleku logi, mis seob kasutajatunnuse ajatempliga, kuvatud bänneri versiooniga ja tehtud valikutega, on dokument, mida Kominfo nõuab mis tahes auditi või kaebuse uurimise käigus.

Muuda loobumine tõeliselt samaväärseks

Püsiv ujuv nõusolekuikoon, ühe klõpsuga tagasilükkamine privaatsuseelistuste lehel või selge loobumisviide andmeid koguvas meilis — igaüks neist on mõistlik lahendus. Maetud link 4000-sõnalises privaatsuspoliitikas seda ei ole.

Kokkuvõte

UU PDP ei ole GDPR-i kloon, kuid on piisavalt lähedane, et arenenud Euroopa vastavusprogrammidega kirjastajad saavad laiendada oma olemasolevat nõusoleku infrastruktuuri Indoneesiasse sihipäraste kohandamistega: Bahasa lokalisatsioon, 18-aastane vanuse lävi vanemate nõusoleku jaoks, 72-tunnine rikkumisteatis ja standardsed lepinguklauslid, mis katavad selgesõnaliselt UU PDP. Kirjastajad, kellel see infrastruktuur puudub, peaksid käsitama UU PDP-d kui tõuget selle loomiseks. Indoneesia jõustamine on nüüd aktiivne ning Kominfo uurimise alguse järgse parandustegevuse kulud on ühtselt kõrgemad kui bänneri õige seadistamise kulud enne käivitamist.