Indonezija UU PDP pristanak za kolačiće: Vodič za usklađenost za izdavače
Indonezija je četvrto najveće internetsko tržište na svijetu. Za svakog izdavača koji poslužuje sadržaj njegovih 215 milijuna mrežnih korisnika, nacionalni Zakon o zaštiti osobnih podataka — Undang-Undang Pelindungan Data Pribadi, ili UU PDP — sada je najvažniji aspekt usklađenosti koji treba ispravno riješiti. Donesen u listopadu 2022. i u potpunosti primjenjiv od listopada 2024. nakon zatvaranja dvogodišnjeg prijelaznog razdoblja, UU PDP je usko modeliran prema GDPR-u, ali uvodi vlastiti specifični format pristanka, obveze voditelja obrade i kazneni režim. Ovaj vodič provodi izdavače kroz ono što UU PDP zahtijeva, gdje odstupa od navika GDPR-a i kako konfigurirati banner za pristanak koji zadovoljava indonezijske regulatore.
Što UU PDP pokriva i na koga se odnosi
UU PDP je prvi sveobuhvatni zakon o zaštiti osobnih podataka u Indoneziji. Prije njegova donošenja, pravila o zaštiti podataka u Indoneziji bila su raspršena po sektorskim propisima — bankarstvo, telekomunikacije, e-trgovina, elektronički sustavi. UU PDP ih konsolidira u jedan horizontalni režim koji se primjenjuje na svakog voditelja ili izvršitelja obrade koji obrađuje osobne podatke indonezijskih ispitanika, bez obzira na to gdje je voditelj nastanjen.
Ovaj izvanteritoijalni doseg najvažnija je činjenica za strane izdavače. Izdavač sa sjedištem u SAD-u, EU-u ili Singapuru koji poslužuje sadržaj korisnicima koji se fizički nalaze u Indoneziji podliježe UU PDP-u. Test prisutnosti je funkcionalan, a ne formalan: ako voditelj cilja indonezijske korisnike — putem sadržaja na Bahasa Indonesiji, indonezijskih opcija plaćanja ili geografski ciljane reklame — UU PDP se primjenjuje u cijelosti.
Standard pristanka prema Article 22
Article 22 UU PDP-a definira pristanak i temelj je svakog bannera za kolačiće usmjerenog na indonezijski promet. Article zahtijeva da pristanak bude:
- Izričit — šutnja, unaprijed označeni okviri i nastavak korištenja stranice ne čine pristanak. Korisnik mora poduzeti pozitivnu radnju.
- Specifičan — pristanak mora biti vezan uz određenu svrhu obrade. Jedan gumb Prihvati sve koji pokriva deset različitih svrha iznimno je ranjiv.
- Informiran — ispitanik mora primiti, prije davanja pristanka, identitet voditelja, kategorije podataka, svrhe, rok čuvanja, primatelje i svoja prava.
- Dokumentiran pisanim putem ili elektronički zabilježen — Article 22(3) zahtijeva da voditelj može dokazati pristanak. Vremenski žigosani dnevnik pristanka mapiran na hashirani identifikator korisnika zadovoljava taj zahtjev; nejasna tvrdnja da je korisnik kliknuo Prihvati nije dovoljna.
- Opoziv pod jednakovrijednim uvjetima — povlačenje mora biti jednako lako kao i izvorno odobrenje. Put odbijanja koji zahtijeva tri klika dok prihvaćanje zahtijeva jedan nije usklađen.
Stručnjaci će prepoznati ove zahtjeve: gotovo se jedan prema jedan preslikavaju na Article 7 GDPR-a. Razlike su u opsegu i provedbi, a ne u konceptu.
Pravne osnove izvan pristanka
Kao i GDPR, UU PDP prepoznaje pravne osnove osim pristanka za neke obrade. Article 20 navodi šest pravnih osnova: pristanak, izvršenje ugovora, pravna obveza, vitalni interes, javni zadatak i legitimni interes. Međutim, za većinu aktivnosti kolačića i praćenja, samo je pristanak realno dostupan, jer je iznimka stroge nužnosti za kolačiće koji su bitni za pružanje usluge koju je korisnik zatražio uska i ne proteže se na oglašavanje ili analitiku.
Iznimka stroge nužnosti
Kolačići sesije, kolačići prijave, kolačići jezičnih postavki i kolačići košarice za kupnju spadaju pod izvršenje ugovora ili legitimni interes s vrlo niskim rizikom. Oni ne zahtijevaju izričit pristanak, iako njihove kategorije moraju biti otkrivene u obavijesti o privatnosti. Sve ostalo — analitika, oglašavanje, retargeting, pikseli trećih strana, uzimanje otisaka prstiju — zahtijeva pristanak prema Article 22.
Podaci djece
Article 25 zahtijeva roditeljski pristanak za svaku obradu podataka ispitanika mlađih od 18 godina. To je strože od zadane dobi digitalnog pristanka GDPR-a od 16 (koju države članice mogu smanjiti na 13). Izdavač koji radi sadržaj usmjeren na djecu na Bahasa Indonesiji trebao bi prag tretirati kao 18 i konfigurirati tijek roditeljske provjere, a ne potvrdni okvir vlastite izjave.
Prekogranični prijenosi podataka
Article 56 uređuje prijenos osobnih podataka izvan Indonezije. Voditelj može prenositi podatke u drugu zemlju samo ako je ispunjen barem jedan od tri uvjeta: odredišna zemlja ima odgovarajuću razinu zaštite osobnih podataka usporedivu s UU PDP-om, postoje odgovarajuće zaštitne mjere, ili je ispitanik dao izričit pristanak za prijenos.
Indonezijsko Ministarstvo komunikacija i informatike (Kominfo) još nije objavilo popis adekvatnosti. U praksi, izdavači koji prenose podatke u jurisdikcije GDPR-a, u Sjedinjene Američke Države, Singapur ili Australiju oslanjaju se na odgovarajuće zaštitne mjere — tipično standardne ugovorne klauzule prilagođene UU PDP-u, s obvezujućom klauzulom da nizvodni podizvoditelji poštuju prava UU PDP-a. Za dobavljače ad-tech koji djeluju iz više regija, vaš sporazum o obradi podataka mora navesti koje regije obrađuju podatke indonezijskih korisnika i koje zaštitne mjere se primjenjuju na svakom koraku.
Prava ispitanika i prozor od 72 sata
UU PDP dodjeljuje indonezijskim ispitanicima prava koja su nalik GDPR-u: pristup, ispravak, brisanje, prigovor na obradu, prenosivost podataka i pravo osporavanja automatiziranih odluka. Dvije specifičnosti su važne za izdavače.
Prvo, Article 30 zahtijeva da voditelj odgovori na zahtjev za prava u razumnom roku, koji je provedbeni propis odredio na tri radna dana za potvrdu i maksimalno četrnaest radnih dana za suštinski odgovor. To je brže od zadanog jednomjesečnog roka GDPR-a.
Drugo, Article 46 zahtijeva obavješćivanje o povredi osobnih podataka pogođenih ispitanika i Tijela za zaštitu osobnih podataka u roku od 3 x 24 hours — to jest, 72 sata od trenutka kada je voditelj saznao za povredu. Sat počinje kada je voditelj potvrdio povredu, a ne kada je to mogao otkriti.
Kazne i nedavna provedba
Kazneni režim UU PDP-a ima više zuba nego što su mnogi izdavači u početku prepoznali. Article 57 predviđa administrativne sankcije do 2% godišnjih prihoda. Article 67 to 73 predviđaju kaznene sankcije do šest godina zatvora i novčane kazne do 6 milijardi rupiah za najozbiljnije povrede, uključujući nezakonito prikupljanje osobnih podataka i nezakonito otkrivanje.
Kroz 2025. godinu provedba je bila u fazi mekog lansiranja, a Kominfo je izdavao upozorenja i naloge za ispravak umjesto novčanih kazni. Ta faza završila je početkom 2026. godine. Prva velika administrativna kazna prema UU PDP-u — izdana domaćem operateru e-trgovine u ožujku 2026. za neadekvatno obavještavanje o povredi i nedostajući roditeljski pristanak na liniji proizvoda usmjerenoj na maloljetnike — postavila je jasan marker da je provedba sada aktivna.
Kako izgleda usklađeni banner izdavača
Za izdavača koji poslužuje indonezijski promet u 2026., praktična konfiguracija je:
Lokalizirati banner na Bahasa Indonesiju
Zahtjev za informiranim pristankom iz Article 22 nije zadovoljen bannerom na engleskom jeziku prikazanim korisniku koji govori Bahasa. CMP mora detektirati indonezijske korisnike — geolokacijom, IP-om ili zaglavljem Accept-Language — i poslužiti banner, obavijest o privatnosti i detaljne kontrole na Bahasa Indonesiji.
Tretirati pristanak samo kao opt-in
Nijedna skripta za praćenje, oglašavanje ili analitiku ne smije se pokrenuti prije nego što je korisnik izričito prihvatio. Unaprijed označene kategorije, implicirani pristanak iz nastavka pregledavanja i obavijesti "by using this site you agree" sve su neusklađene.
Održavati dokumentirane dnevnike pristanka
Article 22(3) je izričit: voditelj mora biti u mogućnosti dati dokaze. Dnevnik pristanka koji mapira identifikator korisnika na vremenski žig, verziju prikazanog bannera i učinjene odabire je dokument koji će Kominfo zatražiti u svakoj reviziji ili istrazi pritužbe.
Opoziv učiniti istinski jednakovrijednim
Stalna plutajuća ikona pristanka, jednoklikovni odbijanje na stranici postavki privatnosti, ili jasna odjava u bilo kojoj e-pošti koja prikuplja podatke — svaki je razumna implementacija. Zakopana veza u politici privatnosti od 4000 riječi nije.
Sve zajedno
UU PDP nije klon GDPR-a, ali je dovoljno blizak da izdavači s zrelim europskim programima usklađenosti mogu proširiti svoju postojeću infrastrukturu za pristanak na Indoneziju ciljanim prilagodbama: lokalizacija na Bahasa, dobna granica od 18 godina za roditeljski pristanak, 72-satno obavještavanje o povredi i standardne ugovorne klauzule koje izričito pokrivaju UU PDP. Izdavači bez te infrastrukture trebali bi tretirati UU PDP kao pokretač za njezinu izgradnju. Indonezijska provedba sada je aktivna, a troškovi otklanjanja nedostataka nakon početka Kominfo istrage jednolično su viši od troškova ispravnog postavljanja bannera prije lansiranja.