Indonesian UU PDP -evästeiden suostumus: vaatimustenmukaisuusopas julkaisijoille
Indonesia on maailman neljänneksi suurin internetmarkkinapaikka. Jokaiselle julkaisijalle, joka tarjoaa sisältöä 215 miljoonalle verkossa olevalle käyttäjälle, maan henkilötietolaki — Undang-Undang Pelindungan Data Pribadi eli UU PDP — on nyt tärkein vaatimustenmukaisuusasia, joka on saatava kuntoon. Lokakuussa 2022 säädetty ja lokakuusta 2024 täysin täytäntöönpanokelpoinen kahden vuoden siirtymäajan päätyttyä, UU PDP on mallinnettu läheisesti GDPR:n mukaan, mutta siinä on oma suostumusformaattinsa, rekisterinpitäjän velvoitteet ja seuraamusjärjestelmä. Tämä opas ohjaa julkaisijoita siitä, mitä UU PDP vaatii, miten se poikkeaa GDPR-käytännöistä ja miten määrittää suostumusbanneri, joka täyttää indonesialaisten sääntelyviranomaisten vaatimukset.
Mitä UU PDP kattaa ja ketä se koskee
UU PDP on Indonesian ensimmäinen kattava henkilötietosuojalaki. Ennen sen säätämistä Indonesian tietosuojasäännökset olivat hajautettuna alakohtaisiin asetuksiin — pankkitoiminta, televiestintä, sähköinen kaupankäynti, sähköiset järjestelmät. UU PDP kokoaa nämä yhteen horisontaaliseen järjestelmään, jota sovelletaan mihin tahansa rekisterinpitäjään tai käsittelijään, joka käsittelee indonesialaisten rekisteröityjen henkilötietoja riippumatta siitä, missä rekisterinpitäjä on sijoittautunut.
Tämä alueellinen ulottuvuus on tärkein seikka ulkomaisille julkaisijoille. Yhdysvalloissa, EU:ssa tai Singaporessa toimiva julkaisija, joka tarjoaa sisältöä Indonesiassa fyysisesti oleville käyttäjille, kuuluu UU PDP:n piiriin. Läsnäolotesti on toiminnallinen, ei muodollinen: jos rekisterinpitäjä kohdistaa toimintansa indonesialaisiin käyttäjiin — Bahasa Indonesia -sisällön, indonesialaisten maksutapojen tai maantieteellisesti kohdennetun mainonnan kautta — UU PDP soveltuu täysimääräisesti.
Suostumusstandardi Article 22:n mukaisesti
UU PDP:n Article 22 määrittelee suostumuksen ja on kaiken indonesialaiselle liikenteelle tarkoitetun evästebannerin kulmakivi. Article edellyttää, että suostumus on:
- Nimenomainen — hiljaisuus, esimerkkitapausten esivalitut ruudut ja sivuston käytön jatkaminen eivät muodosta suostumusta. Käyttäjän on tehtävä myönteinen toimenpide.
- Tarkoituskohtainen — suostumus on sidottava määriteltyyn käsittelytarkoitukseen. Yksi Hyväksy kaikki -painike, joka kattaa kymmenen eri tarkoitusta, on erittäin haavoittuvainen.
- Tietoinen — rekisteröidyn on ennen suostumusta saatava rekisterinpitäjän henkilöllisyys, tietoluokat, tarkoitukset, säilytysaika, vastaanottajat ja oikeutensa.
- Kirjallisesti dokumentoitu tai sähköisesti tallennettu — Article 22(3) edellyttää, että rekisterinpitäjä pystyy todistamaan suostumuksen. Hajautettuun käyttäjätunnisteeseen yhdistetty aikaleimalla varustettu suostumusloki täyttää tämän vaatimuksen; epämääräinen väite, että käyttäjä klikkasi Hyväksy, ei riitä.
- Peruutettavissa vastaavilla ehdoilla — peruuttamisen on oltava yhtä helppoa kuin alkuperäisen myöntämisen. Hylkäyspolku, joka vaatii kolme klikkausta hyväksynnän vaatiessa vain yhtä, ei ole vaatimusten mukainen.
Ammattilaiset tunnistavat nämä vaatimukset: ne vastaavat lähes yksi yhteen GDPR:n Article 7:ää. Erot ovat laajuudessa ja täytäntöönpanossa, eivät käsitteessä.
Suostumuksen ulkopuoliset oikeusperusteet
Kuten GDPR, UU PDP tunnustaa muita oikeusperusteita kuin suostumuksen tietylle käsittelylle. Article 20 luettelee kuusi oikeusperustaa: suostumus, sopimuksen täyttäminen, lakisääteinen velvoite, elintärkeä etu, yleinen tehtävä ja oikeutettu etu. Useimmissa eväste- ja seurantatoiminnoissa kuitenkin vain suostumus on käytännössä käytettävissä, koska palvelun tarjoamiseksi välttämättömien evästeiden tiukan välttämättömyyden poikkeus on kapea eikä ulotu mainontaan tai analytiikkaan.
Tiukan välttämättömyyden poikkeus
Istuntoevästeet, kirjautumisevästeet, kieliasetusten evästeet ja ostoskorievästeet kuuluvat sopimuksen täyttämisen tai oikeutetun edun piiriin hyvin pienellä riskillä. Ne eivät vaadi nimenomaista suostumusta, vaikka niiden luokat on silti ilmoitettava tietosuojailmoituksessa. Kaikki muu — analytiikka, mainonta, uudelleenkohdentaminen, kolmannen osapuolen pikselit, sormenjäljet — vaatii Article 22 -suostumuksen.
Lasten tiedot
Article 25 edellyttää vanhempien suostumusta alle 18-vuotiaiden rekisteröityjen tietojen käsittelyyn. Tämä on tiukempaa kuin GDPR:n digitaalisen suostumusiän oletusarvo 16 (jonka jäsenvaltiot voivat alentaa 13:een). Julkaisija, joka tarjoaa lapsille suunnattua sisältöä Bahasa Indonesiassa, tulisi pitää kynnysarvona 18 vuotta ja konfiguroida vanhempien vahvistusvirta, ei itseilmoituslomake.
Rajat ylittävät tiedonsiirrot
Article 56 säätelee henkilötietojen siirtoa Indonesian ulkopuolelle. Rekisterinpitäjä voi siirtää tietoja toiseen maahan vain, jos vähintään yksi kolmesta ehdosta täyttyy: kohdemaan henkilötietosuojan taso on riittävä verrattuna UU PDP:hen, asianmukaiset suojatoimenpiteet ovat käytössä, tai rekisteröity on antanut nimenomaisen suostumuksen siirtoon.
Indonesian viestintä- ja tietotekniikkaministeriö (Kominfo) ei ole vielä julkaissut riittävyysluetteloa. Käytännössä julkaisijat, jotka siirtävät tietoja GDPR-lainkäyttöalueille, Yhdysvaltoihin, Singaporeen tai Australiaan, tukeutuvat asianmukaisiin suojatoimenpiteisiin — tyypillisesti UU PDP:hen mukautettuihin vakiosopimuslausekkeisiin, joissa on sitova lauseke, jonka mukaan alavirtaan sijoittuvat alihankkijat noudattavat UU PDP:n mukaisia oikeuksia. Useammalta alueelta toimiville mainosteknologiatoimittajille tietojenkäsittelysopimuksesi on täsmennettävä, mitkä alueet käsittelevät indonesialaisten käyttäjien tietoja ja mitä suojatoimenpiteitä sovelletaan kussakin vaiheessa.
Rekisteröityjen oikeudet ja 72 tunnin ikkuna
UU PDP myöntää indonesialaisille rekisteröidyille GDPR:n mukaisia oikeuksia: pääsy, korjaaminen, poistaminen, käsittelyn vastustaminen, tietojen siirrettävyys ja oikeus riitauttaa automaattiset päätökset. Kaksi erityiskohtaa on tärkeää julkaisijoille.
Ensinnäkin Article 30 edellyttää, että rekisterinpitäjä vastaa oikeuspyyntöön kohtuullisessa ajassa, jonka täytäntöönpanoasetus on määrittänyt kolmeksi arkipäiväksi kuittauksen osalta ja enintään neljäksitoista arkipäiväksi sisällöllisen vastauksen osalta. Tämä on nopeampi kuin GDPR:n yhden kuukauden oletusaika.
Toiseksi Article 46 edellyttää henkilötietomurrosta ilmoittamista asianomaisille rekisteröidyille ja tietosuojaviranomaiselle 3 x 24 hours kuluessa — eli 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi murrosta. Kello käynnistyy, kun rekisterinpitäjä on vahvistanut murron, ei silloin, kun se olisi voinut havaita sen.
Seuraamukset ja viimeaikainen täytäntöönpano
UU PDP:n seuraamusjärjestelmä on hampaistetumpi kuin monet julkaisijat aluksi tunnistivat. Article 57 säädetään hallinnollisista seuraamuksista enintään 2 % vuosittaisesta liikevaihdosta. Article 67 to 73 säädetään rikosoikeudellisista seuraamuksista enintään kuuden vuoden vankeusrangaistukseen ja sakkoihin enintään 6 miljardia rupiah vakavimmista rikkomuksista, mukaan lukien lainvastainen henkilötietojen kerääminen ja lainvastainen luovuttaminen.
Vuoteen 2025 asti täytäntöönpano oli pehmeässä käynnistysvaiheessa, jossa Kominfo antoi varoituskirjeitä ja korjausmääräyksiä sakkojen sijaan. Tämä vaihe päättyi vuoden 2026 alussa. Ensimmäinen merkittävä hallinnollinen seuraamus UU PDP:n nojalla — annettu maaliskuussa 2026 kotimaiselle verkkokauppaoperaattorille puutteellisesta murtoilmoituksesta ja puuttuvasta vanhempien suostumuksesta alaikäisille suunnatulla tuotelinjalla — asetti selkeän merkin siitä, että täytäntöönpano on nyt aktiivista.
Millainen vaatimusten mukainen julkaisijabanneri näyttää
Indonesian liikennettä vuonna 2026 palvelevalle julkaisijalle käytännön konfiguraatio on:
Lokalisoi banneri Bahasa Indonesiaan
Article 22:n tietoisen suostumuksen vaatimus ei täyty englanninkielisellä bannerilla, joka näytetään Bahasa-kieliselle käyttäjälle. CMP:n on tunnistettava indonesialaiset käyttäjät — geolokaation, IP:n tai Accept-Language -otsikon avulla — ja palveltava banneria, tietosuojailmoitusta ja yksityiskohtaisia ohjaimia Bahasa Indonesiassa.
Käsittele suostumus vain opt-in-pohjaisena
Mitkään seuranta-, mainonta- tai analytiikkaskriptit eivät saa aktivoitua ennen kuin käyttäjä on nimenomaisesti hyväksynyt. Esimerkkitapausten esivalitut luokat, jatkuvasta selaamisesta johtuva implisiittinen suostumus ja "by using this site you agree" -ilmoitukset eivät kaikki ole vaatimustenmukaisia.
Ylläpidä dokumentoituja suostumuslokeja
Article 22(3) on selkeä: rekisterinpitäjän on pystyttävä tuottamaan todisteita. Suostumusloki, joka yhdistää käyttäjätunnisteen aikaleimaan, näytetyn bannerin versioon ja tehtyihin valintoihin, on asiakirja, jota Kominfo pyytää missä tahansa tarkastuksessa tai valituksen tutkinnassa.
Tee peruuttamisesta aidosti vastaava
Pysyvä kelluva suostumuskuvake, yhden klikkauksen hylkäys tietosuoja-asetussivulla tai selkeä tilauksen peruutus tietoja keräävässä sähköpostiviestissä — jokainen on kohtuullinen toteutus. Hautautunut linkki 4000 sanan tietosuojakäytännössä ei ole.
Yhteenveto
UU PDP ei ole GDPR-klooni, mutta se on riittävän lähellä, että julkaisijat, joilla on kypsät eurooppalaiset vaatimustenmukaisuusohjelmat, voivat laajentaa olemassa olevaa suostumustensa infrastruktuuria Indonesiaan kohdennetuilla mukautuksilla: Bahasa-lokalisaatio, 18 vuoden ikäraja vanhempien suostumukselle, 72 tunnin murtoilmoitus ja vakiosopimuslausekkeet, jotka kattavat nimenomaisesti UU PDP:n. Julkaisijoiden, joilla ei ole tätä infrastruktuuria, tulisi käsitellä UU PDP:tä kehotuksena rakentaa se. Indonesian täytäntöönpano on nyt aktiivista, ja korjauskustannukset Kominfo-tutkinnan käynnistymisen jälkeen ovat johdonmukaisesti korkeammat kuin bannerin oikein saamisen kustannukset ennen käynnistämistä.