Kung Ano ang Sinasaklaw ng UU PDP at Sino ang Nahuhuli

Ang UU PDP ay ang unang komprehensibong batas ng proteksyon ng personal na data ng Indonesia. Bago ang pagpapasa nito, ang mga panuntunan sa proteksyon ng data sa Indonesia ay nakakalat sa iba't ibang sektoral na regulasyon — bangko, telekomunikasyon, e-commerce, electronic na sistema. Pinagsama ng UU PDP ang mga ito sa isang solong pahalang na rehime na naaangkop sa anumang kontroler o processor na nagpoproseso ng personal na data ng mga data subject na Indonesian, anuman ang lokasyon ng kontroler.

Ang extraterritorial na saklaw na ito ang pinakamahalagang katotohanan para sa mga dayuhang publisher. Ang isang publisher na nakabase sa US, EU, o Singapore na naglilingkod ng nilalaman sa mga gumagamit na pisikal na nasa Indonesia ay nahuhuli ng UU PDP. Ang pagsubok ng presensya ay functional, hindi pormal: kung ang kontroler ay nagta-target ng mga gumagamit ng Indonesia — sa pamamagitan ng nilalaman ng Bahasa Indonesia, mga opsyon sa pagbabayad ng Indonesia, o geo-targeted na advertising — ang UU PDP ay naaangkop nang buo.

Ang Pamantayan ng Pahintulot Sa Ilalim ng Article 22

Ang Article 22 ng UU PDP ay nagtatakda ng pahintulot at ang pundasyon ng anumang banner ng cookie na nakatuon sa trapiko ng Indonesia. Kailangan ng Article na ang pahintulot ay:

• Tahas — ang katahimikan, mga pre-ticked na kahon, at patuloy na paggamit ng site ay hindi bumubuo ng pahintulot. Ang gumagamit ay dapat gumawa ng positibong aksyon.
• Tiyak — ang pahintulot ay dapat na nakatali sa isang tinukoy na layunin ng pagpoproseso. Ang isang solong button na Tanggapin Lahat na sumasaklaw ng sampung iba't ibang layunin ay lubhang mahina.
• May kaalaman — ang data subject ay dapat makatanggap, bago pumahintulot, ng pagkakakilanlan ng kontroler, ang mga kategorya ng data, ang mga layunin, ang panahon ng pagpapanatili, ang mga tatanggap, at ang kanilang mga karapatan.
• Dokumentado sa pagsulat o naitala nang elektroniko — hinihiling ng Article 22(3) na ang kontroler ay makapagpapatunay ng pahintulot. Ang isang timestamped na log ng pahintulot na nakalagay sa isang hashed na identifier ng gumagamit ay nagbibigay kasiyahan sa kinakailangang ito; ang isang malabong pahayag na nag-click ang gumagamit ng Tanggapin ay hindi.
• Mababawi sa katumbas na mga termino — ang pag-alis ay dapat na kasing dali ng orihinal na pagbibigay. Ang isang reject na landas na tumatagal ng tatlong pag-click habang ang pagtanggap ay nangangailangan ng isa ay hindi sumusunod.

Makikilala ng mga practitioner ang mga kinakailangang ito: sila ay halos isa-sa-isa na nakalagay sa Article 7 ng GDPR. Ang mga pagkakaiba ay nasa saklaw at pagpapatupad, hindi sa konsepto.

Mga Legal na Batayan Lampas sa Pahintulot

Tulad ng GDPR, kinikilala ng UU PDP ang mga legal na batayan maliban sa pahintulot para sa ilang pagpoproseso. Naglalista ang Article 20 ng anim na legal na batayan: pahintulot, pagtupad ng kontrata, legal na obligasyon, mahahalagang interes, pampublikong gawain, at lehitimong interes. Para sa karamihan ng aktibidad ng cookie at pagsubaybay, gayunpaman, ang pahintulot lamang ang makatotohanang magagamit, dahil ang mahigpit na kinakailangang pagbubukod para sa mga cookie na mahalaga upang maibigay ang isang serbisyong hiniling ng gumagamit ay makitid at hindi umaabot sa advertising o analytics.

Ang mahigpit na kinakailangang pagbubukod

Ang mga cookie ng session, mga cookie sa pag-login, mga cookie na kagustuhan sa wika, at mga cookie ng shopping cart ay nasa ilalim ng pagtupad ng kontrata o lehitimong interes na may napakababang panganib. Hindi sila nangangailangan ng tahasang pahintulot, bagaman ang kanilang mga kategorya ay dapat pa ring ibunyag sa abiso sa privacy. Lahat ng iba pa — analytics, advertising, retargeting, mga pixel ng third-party, fingerprinting — ay nangangailangan ng pahintulot ng Article 22.

Data ng mga bata

Kinakailangan ng Article 25 ang pahintulot ng magulang para sa anumang pagpoproseso ng data ng mga data subject na wala pang 18 taong gulang. Ito ay mas mahigpit kaysa sa default na edad ng digital-consent ng GDPR na 16 (na maaaring ibaba ng mga miyembro ng estado sa 13). Ang isang publisher na nagpapatakbo ng nilalaman na nakatuon sa mga bata sa Bahasa Indonesia ay dapat ituring ang threshold bilang 18 at mag-configure ng isang daloy ng pag-verify ng magulang, hindi isang checkbox ng self-declaration.

Cross-Border na Paglipat ng Data

Pinamamahalaan ng Article 56 ang paglipat ng personal na data labas ng Indonesia. Ang isang kontroler ay maaaring maglipat ng data sa ibang bansa lamang kung matutugunan ang kahit isa sa tatlong kondisyon: ang bansang patutunguhan ay may sapat na antas ng proteksyon ng personal na data na maihahambing sa UU PDP, mayroong angkop na mga pananggalang, o ang data subject ay nagbigay ng tahasang pahintulot sa paglipat.

Ang Ministri ng Komunikasyon at Impormasyon ng Indonesia (Kominfo) ay hindi pa naglalathala ng listahan ng kasapatan. Sa praktis, ang mga publisher na naglilipat ng data sa mga hurisdiksyon ng GDPR, sa Estados Unidos, sa Singapore, o sa Australia ay umaasa sa angkop na mga pananggalang — kadalasan ay mga karaniwang sugnay ng kontrata na inangkop sa UU PDP, na may isang nakapagbibigkis na sugnay na ang mga downstream na sub-processor ay gumagalang sa mga karapatan ng UU PDP. Para sa mga vendor ng ad-tech na nag-ooperate mula sa maraming rehiyon, ang iyong kasunduan sa pagpoproseso ng data ay dapat tukuyin kung aling mga rehiyon ang nagpoproseso ng data ng gumagamit ng Indonesia at kung anong mga pananggalang ang naaangkop sa bawat hakbang.

Mga Karapatan ng Data Subject at ang 72-Oras na Window

Ibinibigay ng UU PDP sa mga data subject ng Indonesia ang mga karapatang malapit na kahawig ng GDPR: access, pagwawasto, pagtanggal, pagtutol sa pagpoproseso, portabilidad ng data, at ang karapatang hamunin ang mga awtomatikong desisyon. Dalawang partikular na mahalaga para sa mga publisher.

Una, kinakailangan ng Article 30 na ang kontroler ay tumugon sa isang kahilingan ng karapatan sa loob ng makatwirang oras, na itinakda ng regulasyon ng pagpapatupad sa tatlong araw ng trabaho para sa pagkilala at maximum na labing-apat na araw ng trabaho para sa substansyal na tugon. Ito ay mas mabilis kaysa sa default na isang buwan ng GDPR.

Pangalawa, kinakailangan ng Article 46 ang abiso ng isang paglabag sa personal na data sa mga apektadong data subject at sa Awtoridad ng Proteksyon ng Personal na Data sa loob ng 3 x 24 hours — iyon ay, 72 oras mula nang malaman ng kontroler ang paglabag. Nagsisimula ang orasan kapag nakumpirma ng kontroler ang paglabag, hindi noong maaari itong matuklasan.

Mga Parusa at Kamakailang Pagpapatupad

Ang rehime ng parusa ng UU PDP ay may mas maraming ngipin kaysa sa inuunawa ng maraming publisher. Nagtatadhana ang Article 57 para sa mga administratibong sanksyon na hanggang 2% ng taunang kita. Nagtatadhana ang Article 67 to 73 para sa mga kriminal na sanksyon na hanggang anim na taon ng pagkabilanggo at mga multa na hanggang 6 bilyong rupiah para sa pinaka-seryosong paglabag, kabilang ang ilegal na koleksyon ng personal na data at ilegal na pagsisiwalat.

Sa buong 2025, ang pagpapatupad ay nasa isang soft-launch na phase, kung saan ang Kominfo ay nag-iisyu ng mga liham ng babala at mga utos ng pagwawasto sa halip na mga multa. Natapos ang phase na iyon sa unang bahagi ng 2026. Ang unang pangunahing administratibong parusa sa ilalim ng UU PDP — inisyu sa isang domestic na operator ng e-commerce noong Marso 2026 para sa hindi sapat na abiso ng paglabag at nawawalang pahintulot ng magulang sa isang linya ng produkto na nakatutok sa menor de edad — nagtatakda ng malinaw na marker na aktibo na ang pagpapatupad.

Kung Ano ang Hitsura ng Isang Sumusunod na Banner ng Publisher

Para sa isang publisher na naglilingkod ng trapiko ng Indonesia sa 2026, ang praktikal na configuration ay:

I-localize ang banner sa Bahasa Indonesia

Ang kinakailangan ng informed-consent ng Article 22 ay hindi nasisiyahan ng isang English-language na banner na ipinapakita sa isang gumagamit na nagsasalita ng Bahasa. Dapat matukoy ng CMP ang mga gumagamit ng Indonesia — sa pamamagitan ng geolocation, IP, o Accept-Language header — at ihain ang banner, ang abiso sa privacy, at ang mga detalyadong kontrol sa Bahasa Indonesia.

Ituring ang pahintulot bilang opt-in lamang

Walang mga script ng pagsubaybay, advertising, o analytics ang maaaring mag-apoy bago tahasang tanggapin ng gumagamit. Ang mga pre-ticked na kategorya, ipinahiwatig na pahintulot mula sa patuloy na pagba-browse, at mga abiso na "by using this site you agree" ay lahat ay hindi sumusunod.

Panatilihin ang mga dokumentadong log ng pahintulot

Ang Article 22(3) ay tahas: ang kontroler ay dapat makapagbigay ng ebidensya. Ang isang log ng pahintulot na nagmamapa ng isang identifier ng gumagamit sa isang timestamp, ang bersyon ng banner na ipinakita, at ang mga pagpipiliang ginawa ang dokumento na hihilingin ng Kominfo sa anumang audit o imbestigasyon ng reklamo.

Gawing tunay na katumbas ang pag-alis

Isang patuloy na lumulutang na icon ng pahintulot, isang isang-click na reject sa pahina ng mga kagustuhan sa privacy, o isang malinaw na unsubscribe sa anumang email na nangongolekta ng data — bawat isa ay isang makatwirang implementasyon. Ang isang nakabaong link sa isang 4000-salitang patakaran sa privacy ay hindi.

Pagsasama-sama Nito

Ang UU PDP ay hindi isang GDPR na clone, ngunit ito ay malapit na sapat upang ang mga publisher na may mature na mga programang pagsunod sa Europa ay makapagpalawak ng kanilang kasalukuyang imprastraktura ng pahintulot sa Indonesia na may mga naka-target na pagsasaayos: lokalisasyon ng Bahasa, threshold na edad na 18 para sa pahintulot ng magulang, ang 72-oras na abiso ng paglabag, at mga karaniwang sugnay ng kontrata na tahasang sumasaklaw sa UU PDP. Ang mga publisher na wala ang imprastraktura na iyon ay dapat ituring ang UU PDP bilang trigger upang itayo ito. Aktibo na ang pagpapatupad ng Indonesia, at ang gastos ng remediation pagkatapos magsimula ang isang imbestigasyon ng Kominfo ay palaging mas mataas kaysa sa gastos ng pagkuha ng banner nang tama bago ilunsad.