انطباق۱۴ ژوئن ۲۰۲۶ | FlexyConsent

رضایت کوکی UU PDP اندونزی: راهنمای انطباق برای ناشران

اندونزی چهارمین بازار بزرگ اینترنت در جهان است. برای هر ناشری که محتوا را به ۲۱۵ میلیون کاربر آنلاین آن کشور ارائه می‌دهد، قانون حمایت از داده‌های شخصی — Undang-Undang Pelindungan Data Pribadi، یا UU PDP — اکنون مهم‌ترین قطعه انطباق است که باید به درستی انجام شود. این قانون در اکتبر ۲۰۲۲ تصویب شد و پس از پایان دوره گذار دو ساله از اکتبر ۲۰۲۴ کاملاً قابل اجرا شده است. UU PDP بر اساس GDPR الگوبرداری شده اما فرمت رضایت خاص خود، تکالیف کنترلر و رژیم جریمه را معرفی می‌کند. این راهنما ناشران را از طریق الزامات UU PDP، تفاوت‌های آن با عادات GDPR و نحوه پیکربندی بنر رضایتی که تنظیم‌کنندگان اندونزیایی را راضی می‌کند، راهنمایی می‌کند.

آنچه UU PDP پوشش می‌دهد و چه کسانی تحت آن قرار می‌گیرند

UU PDP اولین قانون جامع حمایت از داده‌های شخصی اندونزی است. پیش از تصویب آن، قوانین حمایت از داده‌ها در اندونزی در مقررات بخشی پراکنده بودند — بانکداری، مخابرات، تجارت الکترونیک، سیستم‌های الکترونیکی. UU PDP این موارد را در یک رژیم افقی واحد ادغام می‌کند که برای هر کنترلر یا پردازشگر که داده‌های شخصی موضوعات داده اندونزیایی را مدیریت می‌کند اعمال می‌شود، صرف نظر از اینکه کنترلر در کجا مستقر باشد.

این دسترسی فرامرزی مهم‌ترین واقعیت برای ناشران خارجی است. یک ناشر مستقر در آمریکا، اتحادیه اروپا یا سنگاپور که محتوا را به کاربران فیزیکی مستقر در اندونزی ارائه می‌دهد تحت UU PDP قرار می‌گیرد. آزمون حضور کارکردی است، نه رسمی: اگر کنترلر کاربران اندونزیایی را هدف قرار دهد — از طریق محتوای Bahasa Indonesia، گزینه‌های پرداخت اندونزیایی یا تبلیغات هدفمند جغرافیایی — UU PDP به طور کامل اعمال می‌شود.

استاندارد رضایت بر اساس Article 22

Article 22 از UU PDP رضایت را تعریف می‌کند و سنگ بنای هر بنر کوکی است که برای ترافیک اندونزیایی طراحی شده است. Article مستلزم است که رضایت:

صریح باشد — سکوت، جعبه‌های از پیش تیک‌دار و ادامه استفاده از سایت رضایت محسوب نمی‌شوند. کاربر باید اقدام مثبتی انجام دهد.
خاص باشد — رضایت باید به یک هدف پردازش تعریف‌شده مرتبط باشد. یک دکمه پذیرش کلی که ده هدف مختلف را پوشش می‌دهد بسیار آسیب‌پذیر است.
آگاهانه باشد — موضوع داده باید قبل از رضایت، هویت کنترلر، دسته‌های داده، اهداف، مدت نگهداری، گیرندگان و حقوق خود را دریافت کند.
مستند در نوشتار یا ضبط‌شده به صورت الکترونیکی باشد — Article 22(3) مستلزم است که کنترلر بتواند رضایت را اثبات کند. یک گزارش رضایت با زمان‌بندی دقیق که به شناسه کاربری هش‌شده نگاشته شده این الزام را برآورده می‌کند؛ ادعای مبهم که کاربر بر پذیرش کلیک کرده کافی نیست.
با شرایط معادل قابل انصراف باشد — بازپس‌گیری باید به اندازه اعطای اولیه آسان باشد. مسیر رد که سه کلیک می‌طلبد در حالی که پذیرش یک کلیک دارد، انطباق ندارد.

متخصصان این الزامات را تشخیص خواهند داد: آنها تقریباً یک به یک با Article 7 از GDPR نگاشته می‌شوند. تفاوت‌ها در دامنه و اجرا هستند، نه در مفهوم.

مبانی قانونی فراتر از رضایت

مانند GDPR، UU PDP مبانی قانونی غیر از رضایت را برای برخی پردازش‌ها به رسمیت می‌شناسد. Article 20 شش پایه قانونی را فهرست می‌کند: رضایت، اجرای قرارداد، تکلیف قانونی، منافع حیاتی، وظیفه عمومی و منافع مشروع. با این حال، برای اکثر فعالیت‌های کوکی و ردیابی، تنها رضایت به طور واقع‌بینانه در دسترس است، زیرا معافیت ضرورت محض برای کوکی‌هایی که برای ارائه خدماتی که کاربر درخواست کرده ضروری هستند محدود است و به تبلیغات یا تجزیه و تحلیل گسترش نمی‌یابد.

معافیت ضرورت محض

کوکی‌های جلسه، کوکی‌های ورود، کوکی‌های اولویت زبان و کوکی‌های سبد خرید تحت اجرای قرارداد یا منافع مشروع با ریسک بسیار پایین قرار دارند. آنها نیازی به رضایت صریح ندارند، اگرچه دسته‌های آنها هنوز باید در اطلاعیه حریم خصوصی افشا شوند. هر چیز دیگری — تجزیه و تحلیل، تبلیغات، هدف‌گیری مجدد، پیکسل‌های شخص ثالث، اثر انگشت — نیازمند رضایت Article 22 است.

داده‌های کودکان

Article 25 برای هر پردازش داده‌های موضوعات داده زیر ۱۸ سال رضایت والدین را الزامی می‌کند. این از پیش‌فرض سن رضایت دیجیتال GDPR که ۱۶ سال است (که دولت‌های عضو می‌توانند تا ۱۳ سال کاهش دهند) سختگیرانه‌تر است. یک ناشر که محتوای کودک‌محور را به زبان Bahasa Indonesia ارائه می‌دهد باید آستانه را ۱۸ سال در نظر بگیرد و یک جریان تأیید والدین پیکربندی کند، نه یک چک‌باکس خوداظهاری.

انتقال داده‌های برون‌مرزی

Article 56 انتقال داده‌های شخصی خارج از اندونزی را کنترل می‌کند. یک کنترلر می‌تواند داده‌ها را به کشور دیگری منتقل کند تنها در صورتی که حداقل یکی از سه شرط برآورده شود: کشور مقصد دارای سطح حمایت مناسب از داده‌های شخصی قابل مقایسه با UU PDP است، تدابیر حفاظتی مناسب وجود دارد، یا موضوع داده رضایت صریح برای انتقال داده است.

وزارت ارتباطات و اطلاعات اندونزی (Kominfo) هنوز فهرست کفایت را منتشر نکرده است. در عمل، ناشرانی که داده‌ها را به حوزه‌های قضایی GDPR، ایالات متحده، سنگاپور یا استرالیا منتقل می‌کنند به تدابیر حفاظتی مناسب تکیه می‌کنند — معمولاً بندهای قراردادی استاندارد تطبیق‌یافته با UU PDP، با یک بند الزام‌آور که پردازشگران فرعی پایین‌دستی حقوق UU PDP را رعایت کنند. برای فروشندگان فناوری تبلیغاتی که از چندین منطقه فعالیت می‌کنند، توافقنامه پردازش داده‌های شما باید مشخص کند کدام مناطق داده‌های کاربران اندونزیایی را مدیریت می‌کنند و چه تدابیر حفاظتی در هر مرحله اعمال می‌شود.

حقوق موضوع داده و پنجره ۷۲ ساعته

UU PDP به موضوعات داده اندونزیایی حقوقی مشابه GDPR اعطا می‌کند: دسترسی، اصلاح، حذف، اعتراض به پردازش، قابلیت انتقال داده و حق به چالش کشیدن تصمیمات خودکار. دو ویژگی برای ناشران مهم هستند.

اول، Article 30 مستلزم است که کنترلر در مدت زمان معقول به یک درخواست حق پاسخ دهد، که مقررات اجرایی آن را سه روز کاری برای اعلام و حداکثر چهارده روز کاری برای پاسخ ماهوی تعیین کرده است. این سریع‌تر از پیش‌فرض یک ماهه GDPR است.

دوم، Article 46 اطلاع‌رسانی از نقض داده‌های شخصی به موضوعات داده آسیب‌دیده و به مرجع حمایت از داده‌های شخصی را در طی 3 x 24 hours — یعنی ۷۲ ساعت از زمانی که کنترلر از نقض آگاه شد — الزامی می‌کند. ساعت از زمانی شروع می‌شود که کنترلر نقض را تأیید کرده، نه زمانی که می‌توانست آن را شناسایی کند.

جریمه‌ها و اجرای اخیر

رژیم جریمه UU PDP از آنچه بسیاری از ناشران در ابتدا تشخیص دادند دندان‌دار‌تر است. Article 57 تحریم‌های اداری تا ۲٪ از درآمد سالانه را پیش‌بینی می‌کند. Article 67 to 73 تحریم‌های کیفری تا شش سال زندان و جریمه‌های تا ۶ میلیارد rupiah برای جدی‌ترین تخلفات، از جمله جمع‌آوری غیرقانونی داده‌های شخصی و افشای غیرقانونی را پیش‌بینی می‌کند.

تا سال ۲۰۲۵ اجرا در مرحله راه‌اندازی نرم بود، با Kominfo که نامه‌های هشدار و دستورهای اصلاحی به جای جریمه‌ها صادر می‌کرد. آن مرحله در اوایل ۲۰۲۶ به پایان رسید. اولین جریمه اداری عمده تحت UU PDP — که در مارس ۲۰۲۶ به یک اپراتور تجارت الکترونیکی داخلی برای اطلاع‌رسانی ناکافی نقض و فقدان رضایت والدین در یک خط محصول هدف‌مند برای اقلیت صادر شد — نشانگر روشنی بود که اجرا اکنون فعال است.

یک بنر ناشر انطباق‌یافته چه شکلی است

برای یک ناشر که در سال ۲۰۲۶ ترافیک اندونزیایی ارائه می‌دهد، پیکربندی عملی این است:

بنر را به Bahasa Indonesia محلی‌سازی کنید

الزام رضایت آگاهانه Article 22 با یک بنر به زبان انگلیسی نشان داده‌شده به یک کاربر Bahasa-گو برآورده نمی‌شود. CMP باید کاربران اندونزیایی را — از طریق موقعیت جغرافیایی، IP یا هدر Accept-Language — شناسایی کند و بنر، اطلاعیه حریم خصوصی و کنترل‌های دقیق را به زبان Bahasa Indonesia ارائه دهد.

رضایت را فقط به عنوان opt-in در نظر بگیرید

هیچ اسکریپت ردیابی، تبلیغاتی یا تجزیه و تحلیلی نمی‌تواند قبل از اینکه کاربر صریحاً پذیرفته باشد فعال شود. دسته‌های از پیش تیک‌دار، رضایت ضمنی از ادامه مرور و اطلاعیه‌های "by using this site you agree" همگی غیرمنطبق هستند.

گزارش‌های رضایت مستند را نگهداری کنید

Article 22(3) صریح است: کنترلر باید بتواند شواهد ارائه دهد. یک گزارش رضایت که یک شناسه کاربر را به یک زمان‌بند، نسخه بنر نشان داده‌شده و انتخاب‌های انجام‌شده نگاشت می‌کند، سندی است که Kominfo در هر حسابرسی یا تحقیق شکایت درخواست خواهد کرد.

بازپس‌گیری را واقعاً معادل کنید

یک آیکون رضایت شناور دائمی، یک رد یک‌کلیکی در صفحه ترجیحات حریم خصوصی، یا لغو اشتراک واضح در هر ایمیل جمع‌آوری داده — هر کدام یک پیاده‌سازی معقول است. یک لینک مدفون در یک سیاست حریم خصوصی ۴۰۰۰ کلمه‌ای نیست.

جمع‌بندی

UU PDP یک کلون GDPR نیست، اما به اندازه کافی نزدیک است که ناشران با برنامه‌های انطباق اروپایی بالغ بتوانند زیرساخت رضایت موجود خود را با تنظیمات هدفمند به اندونزی گسترش دهند: محلی‌سازی Bahasa، آستانه سنی ۱۸ سال برای رضایت والدین، اطلاع‌رسانی نقض ۷۲ ساعته و بندهای قراردادی استاندارد که صریحاً UU PDP را پوشش می‌دهند. ناشرانی که آن زیرساخت را ندارند باید UU PDP را به عنوان محرکی برای ساختن آن تلقی کنند. اجرای اندونزی اکنون فعال است، و هزینه اصلاح پس از شروع تحقیق Kominfo به طور یکنواخت بالاتر از هزینه درست کردن بنر قبل از راه‌اندازی است.