UU PDP क्या कवर करता है और कौन पकड़ा जाता है

UU PDP इंडोनेशिया का पहला व्यापक व्यक्तिगत डेटा संरक्षण क़ानून है। इसके अधिनियमन से पहले, इंडोनेशिया में डेटा संरक्षण नियम क्षेत्रीय विनियमों में बिखरे हुए थे — बैंकिंग, दूरसंचार, ई-कॉमर्स, इलेक्ट्रॉनिक सिस्टम। UU PDP इन्हें एक एकल क्षैतिज व्यवस्था में समेकित करता है जो किसी भी नियंत्रक या प्रोसेसर पर लागू होती है जो इंडोनेशियाई डेटा विषयों के व्यक्तिगत डेटा को संभालता है, चाहे नियंत्रक कहीं भी स्थापित हो।

यह अतिरिक्त-क्षेत्रीय पहुंच विदेशी प्रकाशकों के लिए सबसे महत्वपूर्ण तथ्य है। अमेरिका, EU, या सिंगापुर स्थित एक प्रकाशक जो इंडोनेशिया में भौतिक रूप से स्थित उपयोगकर्ताओं को सामग्री प्रदान करता है, UU PDP के अंतर्गत आता है। उपस्थिति परीक्षण कार्यात्मक है, औपचारिक नहीं: यदि नियंत्रक इंडोनेशियाई उपयोगकर्ताओं को लक्षित करता है — Bahasa Indonesia सामग्री, इंडोनेशियाई भुगतान विकल्पों, या भू-लक्षित विज्ञापन के माध्यम से — UU PDP पूरी तरह लागू होता है।

Article 22 के तहत सहमति मानक

UU PDP का Article 22 सहमति को परिभाषित करता है और इंडोनेशियाई ट्रैफ़िक को लक्षित किसी भी कुकी बैनर का आधारशिला है। Article के लिए आवश्यक है कि सहमति:

• स्पष्ट हो — मौन, पूर्व-चेक बॉक्स, और साइट का उपयोग जारी रखना सहमति नहीं बनाता। उपयोगकर्ता को एक सकारात्मक कार्रवाई करनी होगी।
• विशिष्ट हो — सहमति एक परिभाषित प्रसंस्करण उद्देश्य से जुड़ी होनी चाहिए। एक एकल सब-स्वीकार करें बटन जो दस अलग-अलग उद्देश्यों को कवर करता है, अत्यधिक कमजोर है।
• सूचित हो — डेटा विषय को सहमति देने से पहले, नियंत्रक की पहचान, डेटा श्रेणियां, उद्देश्य, प्रतिधारण अवधि, प्राप्तकर्ता, और उनके अधिकार प्राप्त होने चाहिए।
• लिखित रूप में दस्तावेजीकृत या इलेक्ट्रॉनिक रूप से दर्ज हो — Article 22(3) के लिए नियंत्रक को सहमति साबित करने में सक्षम होना आवश्यक है। हैश किए गए उपयोगकर्ता पहचानकर्ता से मैप किया गया टाइमस्टैम्प सहमति लॉग इस आवश्यकता को पूरा करता है; एक अस्पष्ट दावा कि उपयोगकर्ता ने स्वीकार क्लिक किया, पर्याप्त नहीं है।
• समकक्ष शर्तों पर प्रतिसंहरणीय हो — वापसी उतनी ही आसान होनी चाहिए जितनी मूल अनुदान। एक अस्वीकार पथ जिसमें तीन क्लिक लगते हैं जबकि स्वीकृति एक में होती है, अनुपालन नहीं है।

व्यवसायी इन आवश्यकताओं को पहचानेंगे: वे GDPR के Article 7 से लगभग एक-से-एक मैप होते हैं। अंतर दायरे और प्रवर्तन में हैं, अवधारणा में नहीं।

सहमति से परे वैधानिक आधार

GDPR की तरह, UU PDP कुछ प्रसंस्करण के लिए सहमति के अलावा अन्य वैधानिक आधारों को मान्यता देता है। Article 20 छह कानूनी आधार सूचीबद्ध करता है: सहमति, अनुबंध प्रदर्शन, कानूनी दायित्व, महत्वपूर्ण हित, सार्वजनिक कार्य, और वैध हित। हालाँकि, अधिकांश कुकी और ट्रैकिंग गतिविधि के लिए, केवल सहमति ही यथार्थवादी रूप से उपलब्ध है, क्योंकि उन कुकीज़ के लिए सख्त-आवश्यकता छूट जो उपयोगकर्ता द्वारा अनुरोधित सेवा प्रदान करने के लिए आवश्यक हैं, संकीर्ण है और विज्ञापन या एनालिटिक्स तक नहीं फैलती।

सख्त-आवश्यकता छूट

सत्र कुकीज़, लॉगिन कुकीज़, भाषा वरीयता कुकीज़, और शॉपिंग कार्ट कुकीज़ बहुत कम जोखिम के साथ अनुबंध प्रदर्शन या वैध हित के अंतर्गत आती हैं। उन्हें स्पष्ट सहमति की आवश्यकता नहीं है, हालाँकि उनकी श्रेणियां गोपनीयता नोटिस में अभी भी प्रकट की जानी चाहिए। बाकी सब — एनालिटिक्स, विज्ञापन, रिटार्गेटिंग, तृतीय-पक्ष पिक्सेल, फिंगरप्रिंटिंग — Article 22 सहमति की आवश्यकता है।

बच्चों का डेटा

Article 25 18 वर्ष से कम आयु के डेटा विषयों के किसी भी डेटा प्रसंस्करण के लिए माता-पिता की सहमति की आवश्यकता है। यह GDPR के डिजिटल-सहमति आयु के 16 वर्ष के डिफ़ॉल्ट (जिसे सदस्य राज्य 13 तक कम कर सकते हैं) से अधिक कठोर है। Bahasa Indonesia में बाल-उन्मुख सामग्री चलाने वाले प्रकाशक को सीमा को 18 मानना चाहिए और माता-पिता की सत्यापन प्रवाह कॉन्फ़िगर करनी चाहिए, न कि स्व-घोषणा चेकबॉक्स।

सीमा-पार डेटा स्थानांतरण

Article 56 इंडोनेशिया के बाहर व्यक्तिगत डेटा के स्थानांतरण को नियंत्रित करता है। एक नियंत्रक डेटा को किसी अन्य देश में केवल तभी स्थानांतरित कर सकता है जब तीन शर्तों में से कम से कम एक पूरी हो: गंतव्य देश में UU PDP के तुलनीय व्यक्तिगत डेटा संरक्षण का पर्याप्त स्तर है, उचित सुरक्षा उपाय हैं, या डेटा विषय ने स्थानांतरण के लिए स्पष्ट सहमति दी है।

इंडोनेशियाई संचार और सूचना मंत्रालय (Kominfo) ने अभी तक पर्याप्तता सूची प्रकाशित नहीं की है। व्यवहार में, GDPR क्षेत्राधिकारों, संयुक्त राज्य अमेरिका, सिंगापुर, या ऑस्ट्रेलिया में डेटा स्थानांतरित करने वाले प्रकाशक उचित सुरक्षा उपायों पर निर्भर करते हैं — आमतौर पर UU PDP के अनुकूल मानक संविदात्मक खंड, एक बाध्यकारी खंड के साथ कि डाउनस्ट्रीम उप-प्रोसेसर UU PDP अधिकारों का सम्मान करते हैं। कई क्षेत्रों से संचालित विज्ञापन-तकनीक विक्रेताओं के लिए, आपके डेटा प्रसंस्करण समझौते को निर्दिष्ट करना होगा कि कौन से क्षेत्र इंडोनेशियाई उपयोगकर्ता डेटा को संभालते हैं और प्रत्येक चरण में क्या सुरक्षा उपाय लागू होते हैं।

डेटा विषय अधिकार और 72-घंटे की विंडो

UU PDP इंडोनेशियाई डेटा विषयों को GDPR के समान अधिकार प्रदान करता है: पहुंच, सुधार, विलोपन, प्रसंस्करण पर आपत्ति, डेटा पोर्टेबिलिटी, और स्वचालित निर्णयों को चुनौती देने का अधिकार। प्रकाशकों के लिए दो विशिष्टताएं महत्वपूर्ण हैं।

पहला, Article 30 के अनुसार नियंत्रक को एक उचित समय के भीतर अधिकार अनुरोध का जवाब देना होगा, जिसे कार्यान्वयन विनियमन ने स्वीकृति के लिए तीन कार्य दिवस और पर्याप्त प्रतिक्रिया के लिए अधिकतम चौदह कार्य दिवस निर्धारित किया है। यह GDPR के एक महीने के डिफ़ॉल्ट से तेज़ है।

दूसरा, Article 46 प्रभावित डेटा विषयों और व्यक्तिगत डेटा संरक्षण प्राधिकरण को 3 x 24 hours के भीतर व्यक्तिगत डेटा उल्लंघन की अधिसूचना की आवश्यकता है — अर्थात, नियंत्रक के उल्लंघन से अवगत होने के 72 घंटे के भीतर। घड़ी तब शुरू होती है जब नियंत्रक ने उल्लंघन की पुष्टि की हो, न कि जब वह इसे पहचान सकता था।

दंड और हालिया प्रवर्तन

UU PDP दंड व्यवस्था में कई प्रकाशकों ने शुरू में जो पहचाना उससे अधिक दांत हैं। Article 57 वार्षिक राजस्व के 2% तक प्रशासनिक प्रतिबंधों का प्रावधान करता है। Article 67 to 73 सबसे गंभीर उल्लंघनों के लिए छह वर्ष तक के कारावास और 6 अरब rupiah तक के जुर्माने सहित आपराधिक प्रतिबंधों का प्रावधान करते हैं, जिसमें व्यक्तिगत डेटा का अवैध संग्रह और अवैध प्रकटीकरण शामिल है।

2025 के दौरान प्रवर्तन एक सॉफ्ट-लॉन्च चरण में था, जिसमें Kominfo जुर्माने के बजाय चेतावनी पत्र और सुधारात्मक आदेश जारी कर रहा था। वह चरण 2026 की शुरुआत में समाप्त हो गया। UU PDP के तहत पहला बड़ा प्रशासनिक दंड — मार्च 2026 में अपर्याप्त उल्लंघन अधिसूचना और एक अवयस्क-लक्षित उत्पाद लाइन पर माता-पिता की सहमति की कमी के लिए एक घरेलू ई-कॉमर्स ऑपरेटर को जारी — ने एक स्पष्ट संकेत स्थापित किया कि प्रवर्तन अब सक्रिय है।

एक अनुपालन प्रकाशक बैनर कैसा दिखता है

2026 में इंडोनेशियाई ट्रैफ़िक सेवा करने वाले प्रकाशक के लिए, व्यावहारिक कॉन्फ़िगरेशन है:

बैनर को Bahasa Indonesia में स्थानीयकृत करें

Article 22 की सूचित-सहमति आवश्यकता Bahasa बोलने वाले उपयोगकर्ता को दिखाए गए अंग्रेज़ी भाषा के बैनर से पूरी नहीं होती। CMP को इंडोनेशियाई उपयोगकर्ताओं का पता लगाना होगा — जियोलोकेशन, IP, या Accept-Language हेडर द्वारा — और Bahasa Indonesia में बैनर, गोपनीयता नोटिस, और विस्तृत नियंत्रण प्रदान करना होगा।

सहमति को केवल opt-in के रूप में मानें

कोई भी ट्रैकिंग, विज्ञापन, या एनालिटिक्स स्क्रिप्ट उपयोगकर्ता द्वारा स्पष्ट रूप से स्वीकार किए जाने से पहले नहीं चल सकती। पूर्व-चेक श्रेणियां, निरंतर ब्राउज़िंग से निहित सहमति, और "by using this site you agree" नोटिस सभी गैर-अनुपालन हैं।

दस्तावेजीकृत सहमति लॉग बनाए रखें

Article 22(3) स्पष्ट है: नियंत्रक को साक्ष्य उत्पन्न करने में सक्षम होना चाहिए। एक सहमति लॉग जो उपयोगकर्ता पहचानकर्ता को टाइमस्टैम्प, दिखाए गए बैनर के संस्करण, और किए गए विकल्पों से मैप करता है वह दस्तावेज़ है जिसे Kominfo किसी भी ऑडिट या शिकायत जांच में अनुरोध करेगा।

वापसी को वास्तव में समकक्ष बनाएं

एक स्थायी फ्लोटिंग सहमति आइकन, गोपनीयता वरीयता पृष्ठ पर एक-क्लिक अस्वीकृति, या किसी भी डेटा-संग्रह ईमेल में स्पष्ट अनसब्सक्राइब — प्रत्येक एक उचित कार्यान्वयन है। 4000-शब्द की गोपनीयता नीति में दफन लिंक नहीं है।

सब एक साथ लाना

UU PDP GDPR का क्लोन नहीं है, लेकिन यह इतना करीब है कि परिपक्व यूरोपीय अनुपालन कार्यक्रमों वाले प्रकाशक लक्षित समायोजन के साथ इंडोनेशिया के लिए अपनी मौजूदा सहमति बुनियादी ढांचे का विस्तार कर सकते हैं: Bahasa स्थानीयकरण, माता-पिता की सहमति के लिए 18 वर्ष आयु सीमा, 72-घंटे का उल्लंघन अधिसूचना, और मानक संविदात्मक खंड जो स्पष्ट रूप से UU PDP को कवर करते हैं। उस बुनियादी ढांचे के बिना प्रकाशकों को UU PDP को इसे बनाने के लिए ट्रिगर के रूप में मानना चाहिए। इंडोनेशियाई प्रवर्तन अब सक्रिय है, और Kominfo जांच शुरू होने के बाद सुधार की लागत समान रूप से लॉन्च से पहले बैनर को सही करने की लागत से अधिक है।