Cookie Consent UU PDP Indonesia: Panduan Kepatuhan untuk Publisher
Indonesia adalah pasar internet terbesar keempat di dunia. Bagi setiap publisher yang menyajikan konten kepada 215 juta pengguna online-nya, undang-undang perlindungan data pribadi negara ini — Undang-Undang Pelindungan Data Pribadi, atau UU PDP — kini menjadi satu-satunya kepatuhan terpenting yang harus dipenuhi. Disahkan pada Oktober 2022 dan sepenuhnya dapat ditegakkan sejak Oktober 2024 setelah masa transisi dua tahun berakhir, UU PDP dimodelkan secara erat pada GDPR namun memperkenalkan format persetujuan spesifiknya sendiri, kewajiban pengendali, dan rezim sanksi. Panduan ini memandu publisher tentang apa yang disyaratkan UU PDP, di mana ia menyimpang dari kebiasaan GDPR, dan cara mengonfigurasi banner persetujuan yang memuaskan regulator Indonesia.
Apa yang Dicakup UU PDP dan Siapa yang Terkena
UU PDP adalah undang-undang perlindungan data pribadi komprehensif pertama Indonesia. Sebelum disahkan, aturan perlindungan data di Indonesia tersebar di berbagai regulasi sektoral — perbankan, telekomunikasi, e-commerce, sistem elektronik. UU PDP mengkonsolidasikan semua ini ke dalam satu rezim horizontal yang berlaku bagi pengendali atau pemroses mana pun yang menangani data pribadi subjek data Indonesia, terlepas dari lokasi pengendali tersebut.
Jangkauan ekstrateritorial ini adalah fakta terpenting bagi publisher asing. Publisher berbasis di AS, UE, atau Singapura yang menyajikan konten kepada pengguna yang secara fisik berada di Indonesia terkena UU PDP. Uji kehadiran bersifat fungsional, bukan formal: jika pengendali menargetkan pengguna Indonesia — melalui konten Bahasa Indonesia, opsi pembayaran Indonesia, atau iklan berbasis geo — UU PDP berlaku sepenuhnya.
Standar Persetujuan Berdasarkan Article 22
Article 22 dari UU PDP mendefinisikan persetujuan dan merupakan landasan dari banner cookie apa pun yang ditargetkan pada lalu lintas Indonesia. Pasal ini mewajibkan persetujuan untuk:
- Eksplisit — diam, kotak centang yang sudah ditandai, dan penggunaan situs yang berlanjut tidak merupakan persetujuan. Pengguna harus mengambil tindakan positif.
- Spesifik — persetujuan harus dikaitkan dengan tujuan pemrosesan yang ditentukan. Tombol Terima Semua tunggal yang mencakup sepuluh tujuan berbeda sangat rentan.
- Berdasarkan informasi — subjek data harus menerima, sebelum menyetujui, identitas pengendali, kategori data, tujuan, periode retensi, penerima, dan hak-hak mereka.
- Didokumentasikan secara tertulis atau dicatat secara elektronik — Article 22(3) mewajibkan pengendali untuk dapat membuktikan persetujuan. Log persetujuan bertanda waktu yang dipetakan ke pengenal pengguna yang di-hash memenuhi persyaratan ini; klaim samar bahwa pengguna mengklik Terima tidak memenuhi syarat.
- Dapat dicabut dengan syarat setara — penarikan harus semudah pemberian asli. Jalur penolakan yang memerlukan tiga klik sementara menerima hanya satu klik tidak patuh.
Para praktisi akan mengenali persyaratan ini: hampir satu banding satu mereka memetakan ke Article 7 GDPR. Perbedaannya ada pada lingkup dan penegakan, bukan pada konsep.
Dasar Hukum Selain Persetujuan
Seperti GDPR, UU PDP mengakui dasar hukum selain persetujuan untuk beberapa pemrosesan. Article 20 mencantumkan enam dasar hukum: persetujuan, pelaksanaan kontrak, kewajiban hukum, kepentingan vital, tugas publik, dan kepentingan sah. Namun, untuk sebagian besar aktivitas cookie dan pelacakan, hanya persetujuan yang tersedia secara realistis, karena pengecualian ketat-keharusan untuk cookie yang penting dalam menyediakan layanan yang diminta pengguna sangatlah sempit dan tidak mencakup periklanan atau analitik.
Pengecualian ketat-keharusan
Cookie sesi, cookie login, cookie preferensi bahasa, dan cookie keranjang belanja termasuk dalam pelaksanaan kontrak atau kepentingan sah dengan risiko sangat rendah. Mereka tidak memerlukan persetujuan eksplisit, meskipun kategorinya masih harus diungkapkan dalam pemberitahuan privasi. Semua yang lain — analitik, periklanan, retargeting, piksel pihak ketiga, fingerprinting — memerlukan persetujuan Article 22.
Data anak-anak
Article 25 mewajibkan persetujuan orang tua untuk pemrosesan data subjek di bawah 18 tahun. Ini lebih ketat daripada default usia-persetujuan-digital GDPR sebesar 16 tahun (yang dapat diturunkan oleh negara anggota menjadi 13). Publisher yang menjalankan konten berorientasi anak dalam Bahasa Indonesia harus memperlakukan ambang batas sebagai 18 tahun dan mengonfigurasi alur verifikasi orang tua, bukan kotak centang deklarasi mandiri.
Transfer Data Lintas Batas
Article 56 mengatur transfer data pribadi ke luar Indonesia. Pengendali hanya dapat mentransfer data ke negara lain jika setidaknya satu dari tiga kondisi terpenuhi: negara tujuan memiliki tingkat perlindungan data pribadi yang memadai yang sebanding dengan UU PDP, ada perlindungan yang sesuai, atau subjek data telah memberikan persetujuan eksplisit untuk transfer tersebut.
Kementerian Komunikasi dan Informatika Indonesia (Kominfo) belum menerbitkan daftar kecukupan. Dalam praktiknya, publisher yang mentransfer data ke yurisdiksi GDPR, ke Amerika Serikat, Singapura, atau Australia mengandalkan perlindungan yang sesuai — biasanya klausul kontraktual standar yang diadaptasi untuk UU PDP, dengan klausul mengikat bahwa sub-pemroses hilir menghormati hak UU PDP. Untuk vendor ad-tech yang beroperasi dari beberapa wilayah, perjanjian pemrosesan data Anda harus menentukan wilayah mana yang menangani data pengguna Indonesia dan perlindungan apa yang berlaku di setiap tahap.
Hak Subjek Data dan Jendela 72 Jam
UU PDP memberikan hak kepada subjek data Indonesia yang sangat mirip dengan GDPR: akses, koreksi, penghapusan, keberatan terhadap pemrosesan, portabilitas data, dan hak untuk menantang keputusan otomatis. Dua hal spesifik penting bagi publisher.
Pertama, Article 30 mewajibkan pengendali untuk merespons permintaan hak dalam waktu yang wajar, yang diatur oleh peraturan pelaksana menjadi tiga hari kerja untuk pengakuan dan maksimal empat belas hari kerja untuk respons substantif. Ini lebih cepat dari default satu bulan GDPR.
Kedua, Article 46 mewajibkan pemberitahuan pelanggaran data pribadi kepada subjek data yang terkena dampak dan kepada Otoritas Pelindungan Data Pribadi dalam 3 x 24 hours — yaitu, 72 jam sejak pengendali mengetahui pelanggaran tersebut. Waktu mulai berjalan saat pengendali telah mengkonfirmasi pelanggaran, bukan ketika dapat mendeteksinya.
Sanksi dan Penegakan Terkini
Rezim sanksi UU PDP memiliki lebih banyak ketegasan daripada yang awalnya diakui banyak publisher. Article 57 mengatur sanksi administratif hingga 2% dari pendapatan tahunan. Article 67 to 73 mengatur sanksi pidana hingga enam tahun penjara dan denda hingga 6 miliar rupiah untuk pelanggaran paling serius, termasuk pengumpulan data pribadi yang tidak sah dan pengungkapan yang tidak sah.
Hingga 2025, penegakan berada dalam fase soft-launch, dengan Kominfo menerbitkan surat peringatan dan perintah korektif alih-alih denda. Fase itu berakhir pada awal 2026. Sanksi administratif besar pertama berdasarkan UU PDP — yang dikeluarkan kepada operator e-commerce domestik pada Maret 2026 karena pemberitahuan pelanggaran yang tidak memadai dan tidak adanya persetujuan orang tua pada lini produk yang ditargetkan untuk anak di bawah umur — menetapkan penanda yang jelas bahwa penegakan kini aktif.
Tampilan Banner Publisher yang Patuh
Untuk publisher yang melayani lalu lintas Indonesia pada 2026, konfigurasi praktisnya adalah:
Lokalisasikan banner ke Bahasa Indonesia
Persyaratan persetujuan berdasarkan informasi dari Article 22 tidak terpenuhi dengan banner berbahasa Inggris yang ditampilkan kepada pengguna berbahasa Bahasa Indonesia. CMP harus mendeteksi pengguna Indonesia — melalui geolokasi, IP, atau header Accept-Language — dan menyajikan banner, pemberitahuan privasi, dan kontrol granular dalam Bahasa Indonesia.
Perlakukan persetujuan sebagai opt-in saja
Tidak ada skrip pelacakan, periklanan, atau analitik yang boleh diaktifkan sebelum pengguna secara eksplisit menerima. Kategori yang sudah dicentang, persetujuan yang tersirat dari penelusuran yang berlanjut, dan pemberitahuan "dengan menggunakan situs ini Anda setuju" semuanya tidak patuh.
Pertahankan log persetujuan yang terdokumentasi
Article 22(3) jelas: pengendali harus dapat menghasilkan bukti. Log persetujuan yang memetakan pengenal pengguna ke cap waktu, versi banner yang ditampilkan, dan pilihan yang dibuat adalah dokumen yang akan diminta Kominfo dalam audit atau investigasi pengaduan apa pun.
Jadikan penarikan benar-benar setara
Ikon persetujuan mengambang yang persisten, penolakan satu klik di halaman preferensi privasi, atau berhenti berlangganan yang jelas dalam email pengumpul data apa pun — masing-masing adalah implementasi yang wajar. Tautan yang tersembunyi dalam kebijakan privasi 4000 kata bukan demikian.
Menyatukannya
UU PDP bukan tiruan GDPR, tetapi cukup dekat sehingga publisher dengan program kepatuhan Eropa yang matang dapat memperluas infrastruktur persetujuan mereka yang ada ke Indonesia dengan penyesuaian yang ditargetkan: lokalisasi Bahasa Indonesia, ambang usia 18 tahun untuk persetujuan orang tua, pemberitahuan pelanggaran 72 jam, dan klausul kontraktual standar yang secara eksplisit mencakup UU PDP. Publisher tanpa infrastruktur tersebut harus memperlakukan UU PDP sebagai pemicu untuk membangunnya. Penegakan Indonesia kini aktif, dan biaya remediasi setelah investigasi Kominfo dimulai secara seragam lebih tinggi daripada biaya mendapatkan banner yang benar sebelum diluncurkan.