Indonézia UU PDP Cookie-hozzájárulás: Megfelelőségi útmutató kiadók számára
Indonézia a világ negyedik legnagyobb internetpiaca. Minden olyan kiadó számára, amely tartalmat szolgáltat 215 millió online felhasználójának, az ország személyes adatok védelméről szóló törvénye — az Undang-Undang Pelindungan Data Pribadi, vagyis az UU PDP — ma már a legfontosabb megfelelőségi követelmény. A 2022 októberében elfogadott és a kétéves átmeneti időszak lezártával 2024 októberétől teljes mértékben végrehajtható UU PDP szorosan a GDPR mintájára épül, de saját specifikus hozzájárulási formátumot, adatkezelői kötelezettségeket és szankciórendszert vezet be. Ez az útmutató végigvezeti a kiadókat azon, hogy az UU PDP mit követel meg, miben tér el a GDPR megszokott gyakorlatától, és hogyan kell konfigurálni egy hozzájárulási bannert az indonéz szabályozók kielégítésére.
Az UU PDP hatálya és hatálya alá eső személyek
Az UU PDP Indonézia első átfogó személyes adatvédelmi törvénye. Elfogadása előtt az indonéziai adatvédelmi szabályok szétszórva, ágazati szabályozásokban szerepeltek — bankszektor, telekommunikáció, e-kereskedelem, elektronikus rendszerek. Az UU PDP ezeket egyetlen horizontális rezsimbe foglalja, amely minden olyan adatkezelőre vagy adatfeldolgozóra vonatkozik, aki indonéz érintett személyes adatait kezeli, függetlenül az adatkezelő telephelyétől.
Ez a területen kívüli hatály a legfontosabb tény a külföldi kiadók számára. Egy USA-ban, EU-ban vagy Szingapúrban működő kiadó, amely Indonéziában fizikailag tartózkodó felhasználóknak nyújt tartalmat, az UU PDP hatálya alá esik. A jelenlét tesztje funkcionális, nem formális: ha az adatkezelő indonéz felhasználókat céloz meg — Bahasa Indonesia tartalom, indonéz fizetési lehetőségek vagy geo-célzott reklám révén — az UU PDP teljes egészében alkalmazandó.
A hozzájárulási szabvány a Article 22 szerint
Az UU PDP Article 22 meghatározza a hozzájárulást, és ez az indonéz forgalomra irányuló cookie-banner alapköve. A cikk szerint a hozzájárulásnak a következőknek kell lennie:
- Explicit — a hallgatás, az előre bejelölt jelölőnégyzetek és az oldal folyamatos használata nem minősül hozzájárulásnak. A felhasználónak pozitív cselekvést kell tennie.
- Specifikus — a hozzájárulásnak meghatározott adatkezelési célhoz kell kapcsolódnia. Egyetlen Mindent elfogad gomb, amely tíz különböző célt fed le, rendkívül kiszolgáltatott helyzetben van.
- Tájékoztatáson alapuló — az érintettnek a hozzájárulás előtt meg kell kapnia az adatkezelő azonosítóját, az adatkategóriákat, a célokat, a megőrzési időt, a címzetteket és jogait.
- Írásban vagy elektronikusan dokumentált — az Article 22(3) előírja, hogy az adatkezelőnek bizonyítania kell a hozzájárulást. Egy időbélyeggel ellátott, hash-elt felhasználói azonosítóhoz rendelt hozzájárulási napló kielégíti ezt a követelményt; egy homályos állítás, miszerint a felhasználó az Elfogad gombra kattintott, nem.
- Visszavonható azonos feltételek mellett — a visszavonásnak ugyanolyan egyszerűnek kell lennie, mint az eredeti hozzájárulásnak. Egy elutasítási útvonal, amely háromszor kattint, míg az elfogadás egyszer, nem megfelelő.
A szakemberek felismerik ezeket a követelményeket: szinte egy az egyben megfelelnek a GDPR Article 7 rendelkezéseinek. A különbségek a hatókörben és a végrehajtásban vannak, nem a koncepcióban.
Jogszerű alapok a hozzájáruláson túl
A GDPR-hoz hasonlóan az UU PDP is elismeri a hozzájáruláson kívüli jogszerű alapokat egyes adatkezelési tevékenységekhez. Az Article 20 hat jogalapot sorol fel: hozzájárulás, szerződés teljesítése, jogi kötelezettség, létfontosságú érdek, közfeladat és jogos érdek. A legtöbb cookie- és nyomkövetési tevékenység esetén azonban csak a hozzájárulás áll reálisan rendelkezésre, mert a cookie-k szolgáltatáshoz való szükségességének szűk kivétele nem terjed ki a reklámra vagy az analitikára.
A szigorú szükségesség kivétele
A munkamenet cookie-k, bejelentkezési cookie-k, nyelvi beállítási cookie-k és bevásárlókosár cookie-k szerződés teljesítése vagy jogos érdek alapján kezelhetők, nagyon alacsony kockázattal. Ezekhez nem szükséges explicit hozzájárulás, bár kategóriáikat az adatvédelmi nyilatkozatban fel kell tüntetni. Minden egyéb — analitika, reklám, remarketinig, harmadik féltől származó pixelek, ujjlenyomatok — Article 22 szerinti hozzájárulást igényel.
Gyermekek adatai
Az Article 25 szülői hozzájárulást ír elő 18 év alatti érintett személyes adatainak bármely kezeléséhez. Ez szigorúbb, mint a GDPR digitális hozzájárulás alapértelmezett életkori határa (16 év, amelyet a tagállamok 13 évre csökkenthetnek). Az indonéz Bahasa Indonesia nyelven gyermekeknek szánt tartalmakat közzétevő kiadónak 18 éves küszöbként kell kezelnie és szülői ellenőrzési folyamatot kell konfigurálnia, nem önkijelentési jelölőnégyzetet.
Határon átnyúló adatátvitelek
Az Article 56 szabályozza a személyes adatok Indonézián kívülre történő továbbítását. Az adatkezelő csak akkor továbbíthat adatokat más országba, ha legalább három feltétel egyike teljesül: a célország az UU PDP-vel összehasonlítható megfelelő szintű személyes adatvédelmet biztosít, megfelelő garanciák állnak rendelkezésre, vagy az érintett kifejezetten hozzájárult az adattovábbításhoz.
Az indonéz Kommunikációs és Informatikai Minisztérium (Kominfo) még nem tett közzé megfelelőségi listát. A gyakorlatban a GDPR-joghatóságokba, az Egyesült Államokba, Szingapúrba vagy Ausztráliába adatokat továbbító kiadók megfelelő garanciákra támaszkodnak — jellemzően az UU PDP-hez igazított szabványos szerződési záradékokra, kötelező erejű záradékkal, amely alapján az alfeldolgozók tiszteletben tartják az UU PDP jogokat. Az több régióból működő hirdetéstechnikai szállítók esetén az adatfeldolgozási megállapodásnak meg kell határoznia, hogy mely régiók kezelik az indonéz felhasználói adatokat, és milyen garanciák vonatkoznak az egyes lépcsőkre.
Érintetti jogok és a 72 órás ablak
Az UU PDP a GDPR-éhoz hasonló jogokat biztosít az indonéz érintetteknek: hozzáférés, helyesbítés, törlés, tiltakozás az adatkezelés ellen, adathordozhatóság és az automatizált döntésekkel szembeni fellépés joga. Két részlet fontos a kiadók számára.
Először is, az Article 30 előírja, hogy az adatkezelő ésszerű időn belül válaszoljon a joggal kapcsolatos kérésre, amelyet a végrehajtási rendelet háromban munkanapos elismeréssel és legfeljebb tizennégy munkanapos érdemi válaszadással határozott meg. Ez gyorsabb, mint a GDPR egyalapértelmezett egy hónapos határideje.
Másodszor, az Article 46 előírja az érintett adatokhoz való hozzáférési incidens bejelentését az érintett személyeknek és a Személyes Adatvédelmi Hatóságnak 3 x 24 hours — vagyis 72 óra — belül attól a pillanattól számítva, amikor az adatkezelő tudomást szerzett az incidensről. Az óra akkor indul, amikor az adatkezelő megerősítette az incidenst, nem akkor, amikor azt észlelhette volna.
Szankciók és a legutóbbi végrehajtás
Az UU PDP szankciórendszere több fogsorral rendelkezik, mint amennyit sok kiadó eleinte felismert. Az Article 57 évi bevétel 2%-áig terjedő közigazgatási szankciókat ír elő. Az Article 67 to 73 hat évig terjedő szabadságvesztést és legfeljebb 6 milliárd rupiah összegű bírságot ír elő a legsúlyosabb jogsértésekért, beleértve a személyes adatok jogellenes gyűjtését és közzétételét.
2025-ig a végrehajtás lágy indítási fázisban volt, ahol a Kominfo figyelmeztető leveleket és korrekciós utasításokat adott ki bírságok helyett. Ez a fázis 2026 elején ért véget. Az UU PDP keretében kiadott első jelentős közigazgatási szankció — amelyet 2026 márciusában egy belföldi e-kereskedelmi üzemeltetővel szemben adtak ki nem megfelelő incidens-értesítés és hiányzó szülői hozzájárulás miatt egy kiskorúaknak szánt termékcsaládban — egyértelműen jelzi, hogy a végrehajtás most aktív.
Hogyan néz ki egy megfelelő kiadói banner
Egy 2026-ban indonéz forgalmat kiszolgáló kiadó számára a gyakorlati konfiguráció a következő:
Lokalizálja a bannert Bahasa Indonesia nyelvre
Az Article 22 tájékoztatáson alapuló hozzájárulásra vonatkozó követelménye nem teljesíthető angol nyelvű bannerrel, amelyet Bahasa-beszélő felhasználónak jelenítnek meg. A CMP-nek észlelnie kell az indonéz felhasználókat — geolokáció, IP vagy Accept-Language fejléc alapján — és Bahasa Indonesia nyelven kell megjelenítenie a bannert, az adatvédelmi nyilatkozatot és a granulált vezérlőket.
A hozzájárulást kizárólag opt-in alapon kezelje
Egyetlen nyomkövetési, reklám- vagy analitikai szkript sem indulhat el, mielőtt a felhasználó kifejezetten elfogadott volna. Az előre bejelölt kategóriák, a folyamatos böngészésből vett hallgatólagos hozzájárulás és az „oldal használatával elfogadja” értesítések mind nem megfelelőek.
Tartson fenn dokumentált hozzájárulási naplókat
Az Article 22(3) egyértelmű: az adatkezelőnek bizonyítékot kell tudnia bemutatni. Egy hozzájárulási napló, amely egy felhasználói azonosítót időbélyeghez, a megjelenített banner verziójához és a megtett döntésekhez rendel hozzá, az a dokumentum, amelyet a Kominfo bármely ellenőrzés vagy panaszfeltárás során kérni fog.
Tegye a visszavonást valóban egyenértékűvé
Egy lebegő hozzájárulási ikon, egy egykattintásos elutasítás az adatvédelmi beállítások oldalán vagy egy egyértelmű leiratkozás bármely adatgyűjtő e-mailben — mindegyik ésszerű megvalósítás. Egy 4000 szavas adatvédelmi politikában elrejtett hivatkozás nem az.
Összefoglalás
Az UU PDP nem GDPR-klón, de elég közel áll ahhoz, hogy az érett európai megfelelőségi programokkal rendelkező kiadók célzott módosításokkal kiterjeszthessék meglévő hozzájárulási infrastruktúrájukat Indonéziára: Bahasa-lokalizáció, 18 éves életkori küszöb a szülői hozzájáruláshoz, 72 órás incidens-értesítés és az UU PDP-t kifejezetten lefedő szabványos szerződési záradékok. Azoknak a kiadóknak, akik nem rendelkeznek ilyen infrastruktúrával, az UU PDP-t kell az építés kiindulópontjaként kezelniük. Az indonéz végrehajtás most aktív, és a Kominfo-vizsgálat megkezdése utáni remedáció költsége egységesen magasabb, mint a banner indítás előtti helyes beállításának költsége.