הסכמת עוגיות UU PDP אינדונזיה: מדריך ציות למפרסמים
אינדונזיה היא שוק האינטרנט הרביעי בגודלו בעולם. עבור כל מפרסם המספק תוכן ל-215 מיליון משתמשים מקוונים שלה, חוק הגנת המידע האישי של המדינה — Undang-Undang Pelindungan Data Pribadi, או UU PDP — הוא כיום פריט הציות החשוב ביותר שיש לטפל בו נכון. שנחקק באוקטובר 2022 ואכיף במלואו מאוקטובר 2024 לאחר סגירת חלון המעבר של שנתיים, ה-UU PDP מדוגמן בצמוד ל-GDPR אך מציג פורמט הסכמה ספציפי משלו, התחייבויות בקר, ומשטר עונשין. מדריך זה מוביל מפרסמים דרך מה שה-UU PDP מחייב, היכן הוא סוטה מהרגלי ה-GDPR, וכיצד להגדיר באנר הסכמה שיספק את הרגולטורים האינדונזיים.
מה מכסה ה-UU PDP ומי נתפס בו
ה-UU PDP הוא חוק הגנת המידע האישי המקיף הראשון של אינדונזיה. לפני חקיקתו, כללי הגנת המידע באינדונזיה היו מפוזרים בין תקנות מגזריות — בנקאות, תקשורת, מסחר אלקטרוני, מערכות אלקטרוניות. ה-UU PDP מאחד אותם למשטר אופקי אחד החל על כל בקר או מעבד המטפל במידע אישי של נושאי מידע אינדונזיים, ללא קשר למקום הכינון של הבקר.
טווח החוצות-שטחי הזה הוא העובדה החשובה ביותר עבור מפרסמים זרים. מפרסם המבוסס בארה"ב, ה-EU או סינגפור המספק תוכן למשתמשים הנמצאים פיזית באינדונזיה כפוף ל-UU PDP. מבחן הנוכחות הוא פונקציונלי, לא פורמלי: אם הבקר מכוון למשתמשים אינדונזיים — דרך תוכן Bahasa Indonesia, אפשרויות תשלום אינדונזיות, או פרסום גיאוגרפי ממוקד — ה-UU PDP חל במלואו.
תקן ההסכמה לפי Article 22
Article 22 של ה-UU PDP מגדיר הסכמה והוא אבן הפינה של כל באנר עוגיות המכוון לתנועה אינדונזית. ה-Article מחייב שההסכמה תהיה:
- מפורשת — שתיקה, תיבות מסומנות מראש, והמשך שימוש באתר אינם מהווים הסכמה. המשתמש חייב לנקוט בפעולה חיובית.
- ספציפית — ההסכמה חייבת להיות קשורה למטרת עיבוד מוגדרת. כפתור קבלת-הכל אחד המכסה עשר מטרות שונות הוא פגיע ביותר.
- מדעת — נושא המידע חייב לקבל, לפני הסכמתו, את זהות הבקר, קטגוריות המידע, המטרות, תקופת השמירה, הנמענים, וזכויותיו.
- מתועדת בכתב או מוקלטת אלקטרונית — Article 22(3) מחייב את הבקר להיות מסוגל להוכיח הסכמה. יומן הסכמה עם חותמת זמן הממופה לזיהוי משתמש מוצפן עומד בדרישה זו; טענה מעורפלת שהמשתמש לחץ על קבל אינה מספיקה.
- ניתנת לביטול בתנאים שווים — הביטול חייב להיות קל כמו ההענקה המקורית. נתיב דחייה הדורש שלוש לחיצות בזמן שהקבלה דורשת אחת אינו תקין.
אנשי מקצוע יכירו דרישות אלו: הן ממופות כמעט אחד לאחד עם Article 7 של ה-GDPR. ההבדלים הם בהיקף ובאכיפה, לא במושג.
בסיסים משפטיים מעבר להסכמה
כמו ה-GDPR, ה-UU PDP מכיר בבסיסים משפטיים אחרים מלבד הסכמה לעיבוד מסוים. Article 20 מפרט שישה בסיסים משפטיים: הסכמה, ביצוע חוזה, חובה חוקית, אינטרס חיוני, משימה ציבורית, ואינטרס לגיטימי. עם זאת, עבור רוב פעילות העוגיות והמעקב, רק הסכמה זמינה באופן מציאותי, מכיוון שהחריג לצורך דחוף עבור עוגיות חיוניות לאספקת שירות שביקש המשתמש הוא צר ואינו מתרחב לפרסום או לניתוח.
חריג הצורך הדחוף
עוגיות סשן, עוגיות כניסה, עוגיות העדפת שפה, ועוגיות עגלת קניות נכנסות תחת ביצוע חוזה או אינטרס לגיטימי עם סיכון נמוך מאוד. הן אינן דורשות הסכמה מפורשת, אם כי קטגוריותיהן עדיין חייבות להיות מגולות בהודעת הפרטיות. כל שאר — ניתוח, פרסום, מיקוד מחדש, פיקסלים של צד שלישי, טביעת אצבע — דורשים הסכמת Article 22.
מידע על ילדים
Article 25 מחייב הסכמת הורים לכל עיבוד של מידע של נושאי מידע מתחת לגיל 18. זה מחמיר יותר מגיל ברירת המחדל של הסכמה דיגיטלית של ה-GDPR שהוא 16 (שמדינות חברות יכולות להוריד ל-13). מפרסם המפעיל תוכן מוכוון ילדים ב-Bahasa Indonesia צריך להתייחס לסף כ-18 ולהגדיר זרימת אימות הורים, לא תיבת סימון להצהרה עצמית.
העברות מידע חוצות גבולות
Article 56 מסדיר את העברת המידע האישי מחוץ לאינדונזיה. בקר רשאי להעביר מידע למדינה אחרת רק אם לפחות אחד מהתנאים הבאים מתקיים: למדינת היעד יש רמת הגנה נאותה של מידע אישי הניתנת להשוואה ל-UU PDP, קיימות אמצעי הגנה מתאימים, או נושא המידע נתן הסכמה מפורשת להעברה.
משרד התקשורת והמידע האינדונזי (Kominfo) טרם פרסם רשימת נאותות. בפועל, מפרסמים המעבירים מידע לתחומי שיפוט של GDPR, לארצות הברית, לסינגפור, או לאוסטרליה מסתמכים על אמצעי הגנה מתאימים — בדרך כלל סעיפים חוזיים סטנדרטיים המותאמים ל-UU PDP, עם סעיף מחייב שמעבדי-משנה במורד הנהר מכבדים את זכויות ה-UU PDP. עבור ספקי טכנולוגיית פרסום הפועלים ממספר אזורים, הסכם עיבוד המידע שלכם חייב לציין אילו אזורים מטפלים במידע של משתמשים אינדונזיים ואילו אמצעי הגנה חלים בכל שלב.
זכויות נושאי המידע וחלון ה-72 שעות
ה-UU PDP מעניק לנושאי מידע אינדונזיים זכויות הדומות מאוד ל-GDPR: גישה, תיקון, מחיקה, התנגדות לעיבוד, ניידות מידע, וזכות לערער על החלטות אוטומטיות. שני פרטים ספציפיים חשובים למפרסמים.
ראשית, Article 30 מחייב את הבקר להגיב לבקשת זכות בתוך זמן סביר, שתקנת היישום קבעה אותו לשלושה ימי עבודה לאישור ומקסימום ארבעה-עשר ימי עבודה לתגובה מהותית. זה מהיר יותר מברירת המחדל של חודש של ה-GDPR.
שנית, Article 46 מחייב הודעה על הפרת מידע אישי לנושאי המידע המושפעים ולרשות הגנת המידע האישי תוך 3 x 24 hours — כלומר, 72 שעות מרגע שהבקר נודע על ההפרה. השעון מתחיל כאשר הבקר אישר את ההפרה, לא כאשר הוא יכול היה לאתר אותה.
קנסות ואכיפה אחרונה
משטר הקנסות של UU PDP יש לו יותר שיניים ממה שמפרסמים רבים הכירו בתחילה. Article 57 קובע סנקציות מנהליות של עד 2% מההכנסה השנתית. Article 67 to 73 קובעים סנקציות פליליות של עד שש שנות מאסר וקנסות של עד 6 מיליארד rupiah עבור ההפרות החמורות ביותר, כולל איסוף לא חוקי של מידע אישי וגילוי לא חוקי.
לאורך שנת 2025 האכיפה הייתה בשלב השקה רכה, כאשר Kominfo הוציאה מכתבי אזהרה והוראות תיקון ולא קנסות. שלב זה הסתיים בתחילת 2026. הקנס המנהלי הגדול הראשון תחת ה-UU PDP — שהוצא במרץ 2026 לגבי מפעיל מסחר אלקטרוני מקומי בגין הודעת הפרה לא מספקת והיעדר הסכמת הורים בקו מוצרים המיועד לקטינים — קבע סמן ברור שהאכיפה פעילה כעת.
כיצד נראה באנר מפרסם תקין
עבור מפרסם המשרת תנועה אינדונזית בשנת 2026, התצורה המעשית היא:
מקמו את הבאנר ל-Bahasa Indonesia
דרישת ההסכמה מדעת של Article 22 אינה מסופקת על ידי באנר בשפה האנגלית המוצג למשתמש דובר Bahasa. ה-CMP חייב לזהות משתמשים אינדונזיים — על ידי גיאולוקציה, IP, או כותרת Accept-Language — ולהגיש את הבאנר, הודעת הפרטיות, ופקדים פרטניים ב-Bahasa Indonesia.
התייחסו להסכמה כ-opt-in בלבד
לא ניתן להפעיל סקריפטים של מעקב, פרסום, או ניתוח לפני שהמשתמש קיבל במפורש. קטגוריות מסומנות מראש, הסכמה משתמעת מגלישה מתמשכת, והודעות "by using this site you agree" כולן אינן תקינות.
שמרו על יומני הסכמה מתועדים
Article 22(3) מפורש: הבקר חייב להיות מסוגל לייצר ראיות. יומן הסכמה הממפה מזהה משתמש לחותמת זמן, גרסת הבאנר שהוצגה, והבחירות שנעשו הוא המסמך ש-Kominfo יבקש בכל ביקורת או חקירת תלונה.
הפכו את הביטול לשווה ערך באמת
אייקון הסכמה צף קבוע, דחייה בלחיצה אחת בדף העדפות הפרטיות, או ביטול מנוי ברור בכל אימייל איסוף מידע — כל אחד הוא יישום סביר. קישור קבור במדיניות פרטיות של 4000 מילה אינו כזה.
לסיכום
ה-UU PDP אינו שיבוט של ה-GDPR, אך הוא קרוב מספיק לכך שמפרסמים עם תוכניות ציות אירופיות בוגרות יכולים להרחיב את תשתית ההסכמה הקיימת שלהם לאינדונזיה עם התאמות ממוקדות: לוקליזציה לBahasa, סף גיל 18 להסכמת הורים, הודעת הפרה של 72 שעות, וסעיפים חוזיים סטנדרטיים המכסים במפורש את ה-UU PDP. מפרסמים ללא אותה תשתית צריכים להתייחס ל-UU PDP כגורם מפעיל לבנייתה. האכיפה האינדונזית פעילה כעת, ועלות התיקון לאחר תחילת חקירת Kominfo גבוהה באופן אחיד מעלות הכנת הבאנר נכון לפני ההשקה.