შესაბამისობა14 ივნისი, 2026 | FlexyConsent

ინდონეზია UU PDP Cookie-ის თანხმობა: შესაბამისობის სახელმძღვანელო გამომცემლებისთვის

ინდონეზია მსოფლიოს მეოთხე უმსხვილესი ინტერნეტ ბაზარია. ნებისმიერი გამომცემლისთვის, რომელიც 215 მილიონ ონლაინ მომხმარებელს კონტენტს სთავაზობს, ქვეყნის პერსონალური მონაცემების დაცვის კანონი — Undang-Undang Pelindungan Data Pribadi, ანუ UU PDP — ახლა ყველაზე მნიშვნელოვანი შესაბამისობის მოთხოვნაა. 2022 წლის ოქტომბერში მიღებული და ორწლიანი გარდამავალი პერიოდის დასრულების შემდეგ 2024 წლის ოქტომბრიდან სრულად ამოქმედებული UU PDP GDPR-ის მსგავსად არის შემუშავებული, მაგრამ შემოაქვს თანხმობის საკუთარი სპეციფიკური ფორმატი, კონტროლიორის ვალდებულებები და სანქციების სისტემა. ეს სახელმძღვანელო გამომცემლებს ახსნის, რას მოითხოვს UU PDP, სად განსხვავდება GDPR-ის ჩვეულებებიდან და როგორ დაარეგულიროს თანხმობის ბანერი ინდონეზიური მარეგულირებლების დასაკმაყოფილებლად.

UU PDP-ის მოქმედების სფერო და ვინ ექვემდებარება

UU PDP ინდონეზიის პირველი ყოვლისმომცველი პერსონალური მონაცემების დაცვის კანონია. მის მიღებამდე, ინდონეზიაში მონაცემთა დაცვის წესები გაბნეული იყო სეგმენტური რეგულაციებით — საბანკო, სატელეკომუნიკაციო, ელექტრონული კომერცია, ელექტრონული სისტემები. UU PDP ამ ყველაფერს აერთიანებს ერთ ჰორიზონტალურ რეჟიმში, რომელიც მოქმედებს ნებისმიერ კონტროლიორზე ან დამმუშავებელზე, ვინც ინდონეზიის მონაცემთა სუბიექტების პერსონალურ მონაცემებს ამუშავებს, განურჩევლად კონტროლიორის ადგილმდებარეობისა.

ეს ექსტრატერიტორიული მოქმედება ყველაზე მნიშვნელოვანი ფაქტია უცხოელი გამომცემლებისთვის. აშშ-ში, ევროკავშირში ან სინგაპურში დაფუძნებული გამომცემელი, რომელიც ინდონეზიაში ფიზიკურად განლაგებულ მომხმარებლებს კონტენტს სთავაზობს, UU PDP-ს ექვემდებარება. ყოფნის ტესტი ფუნქციონალურია და არა ფორმალური: თუ კონტროლიორი ინდონეზიელ მომხმარებლებს მიმართავს — Bahasa Indonesia კონტენტის, ინდონეზიური გადახდის ვარიანტების ან გეო-სამიზნე რეკლამის მეშვეობით — UU PDP სრულად გამოიყენება.

თანხმობის სტანდარტი Article 22-ის მიხედვით

UU PDP-ის Article 22 განსაზღვრავს თანხმობას და წარმოადგენს ინდონეზიური ტრაფიკზე მიმართული ნებისმიერი Cookie-ბანერის საფუძველს. ეს მუხლი მოითხოვს, რომ თანხმობა იყოს:

ცხადი — სიჩუმე, წინასწარ მონიშნული ველები და საიტის გამოყენების გაგრძელება თანხმობას არ წარმოადგენს. მომხმარებელმა პოზიტიური ქმედება უნდა განახორციელოს.
სპეციფიკური — თანხმობა უნდა იყოს დაკავშირებული განსაზღვრულ დამუშავების მიზანთან. ერთი "ყველაფრის მიღება" ღილაკი, რომელიც ათ სხვადასხვა მიზანს ფარავს, ძალიან მოწყვლადია.
ინფორმირებული — მონაცემთა სუბიექტმა, თანხმობამდე, უნდა მიიღოს კონტროლიორის ვინაობა, მონაცემთა კატეგორიები, მიზნები, შენახვის პერიოდი, მიმღებები და მათი უფლებები.
წერილობით დოკუმენტირებული ან ელექტრონულად ჩაწერილი — Article 22(3) კონტროლიორს ავალდებულებს, შეძლოს თანხმობის დამტკიცება. დროით ნიშნულიანი თანხმობის ჟურნალი, რომელიც ჰეშ-ულ მომხმარებლის იდენტიფიკატორთანაა მიბმული, ამ მოთხოვნას აკმაყოფილებს; ბუნდოვანი მტკიცება, რომ მომხმარებელმა "მიღებას" დააწკაპა — არა.
თანაბარ პირობებში გამოსახსნელი — გაუქმება ორიგინალური მინიჭების თანაბრად მარტივი უნდა იყოს. მიუღებლობის გზა, რომელიც სამ დაწკაპებას მოითხოვს, სანამ მიღება ერთს — შეუსაბამოა.

პრაქტიკოსები ამ მოთხოვნებს გაიცნობენ: ისინი თითქმის ერთ-ერთზე ასახავს GDPR-ის Article 7-ს. განსხვავება სფეროსა და აღსრულებაშია, არა კონცეფციაში.

კანონიერი საფუძვლები თანხმობის მიღმა

GDPR-ის მსგავსად, UU PDP ზოგიერთი დამუშავებისთვის თანხმობის გარდა სხვა კანონიერ საფუძვლებს აღიარებს. Article 20 ჩამოთვლის ექვს სამართლებრივ საფუძველს: თანხმობა, ხელშეკრულების შესრულება, სამართლებრივი ვალდებულება, სასიცოცხლო ინტერესი, საჯარო ამოცანა და კანონიერი ინტერესი. მაგრამ Cookie-ს და თვალთვალის საქმიანობის უმეტესი ნაწილისთვის მხოლოდ თანხმობა რეალისტურად ხელმისაწვდომია, რადგან Cookie-ებისთვის მკაცრი აუცილებლობის გამონაკლისი — რომლებიც მომხმარებლის მიერ მოთხოვნილი სერვისის გაწევისთვის არსებითია — ვიწრო და რეკლამა ან ანალიტიკა მასში არ შედის.

მკაცრი აუცილებლობის გამონაკლისი

სესიის Cookie-ები, შესვლის Cookie-ები, ენის პარამეტრების Cookie-ები და სავაჭრო კალათის Cookie-ები ხელშეკრულების შესრულებასა ან კანონიერ ინტერესს ეკუთვნის, ძალიან დაბალი რისკით. მათ ცხადი თანხმობა არ სჭირდებათ, თუმცა მათი კატეგორიები კვლავ კონფიდენციალურობის შეტყობინებაში უნდა იყოს გახსნილი. ყველა სხვა — ანალიტიკა, რეკლამა, ხელახალი სამიზნება, მესამე მხარის პიქსელები, თითის ანაბეჭდის ამოღება — Article 22-ის თანხმობას მოითხოვს.

ბავშვების მონაცემები

Article 25 18 წლამდე ასაკის მონაცემთა სუბიექტების ნებისმიერი დამუშავებისთვის მშობლის თანხმობას მოითხოვს. ეს უფრო მკაცრია, ვიდრე GDPR-ის ციფრული თანხმობის ნაგულისხმევი ასაკი — 16 წელი (რომლის 13 წლამდე შემცირება წევრ სახელმწიფოებს შეუძლიათ). Bahasa Indonesia-ში ბავშვებისთვის განკუთვნილ კონტენტს მომსახურე გამომცემელმა ზღვარი 18 წლად უნდა განიხილოს და მშობლის დადასტურების ნაკადი, არა თვით-დეკლარაციის ველი, უნდა დააკონფიგური.

მონაცემთა საზღვარგარეთ გადაცემა

Article 56 ინდონეზიის ფარგლებს გარეთ პერსონალური მონაცემების გადაცემას არეგულირებს. კონტროლიორს შეუძლია მონაცემები სხვა ქვეყანაში გადასცეს მხოლოდ იმ შემთხვევაში, თუ სამი პირობიდან სულ მცირე ერთი სრულდება: დანიშნულების ქვეყანას UU PDP-თან შედარებადი პერსონალური მონაცემების დაცვის ადეკვატური დონე აქვს, შესაბამისი უსაფრთხოების ზომებია, ან მონაცემთა სუბიექტმა გადაცემაზე ცხადი თანხმობა გასცა.

ინდონეზიის კომუნიკაციებისა და ინფორმატიკის სამინისტრომ (Kominfo) ჯერ კიდევ არ გამოაქვეყნა ადეკვატურობის სია. პრაქტიკაში, გამომცემლები, რომლებიც GDPR-ის სამართალქვეშ არ მყოფ ქვეყნებში, აშშ-ში, სინგაპურსა ან ავსტრალიაში მონაცემებს გადასცემენ, შესაბამის გარანტიებს ეყრდნობიან — ჩვეულებრივ, UU PDP-ზე ადაპტირებულ სტანდარტულ სახელშეკრულებო პირობებს, სავალდებულო პირობით, რომ ქვეთანამუშავეები UU PDP-ის უფლებებს დაიცავენ. Ad-tech მიმწოდებლებისთვის, რომლებიც მრავალი რეგიონიდან მოქმედებენ, თქვენი მონაცემთა დამუშავების ხელშეკრულება უნდა განსაზღვრავდეს, რომელი რეგიონი ამუშავებს ინდონეზიელი მომხმარებლის მონაცემებს და რა გარანტიები გამოიყენება თითოეულ ეტაპზე.

მონაცემთა სუბიექტების უფლებები და 72-საათიანი სარკმელი

UU PDP ინდონეზიელ მონაცემთა სუბიექტებს GDPR-ის მსგავს უფლებებს ანიჭებს: წვდომა, გასწორება, წაშლა, დამუშავებაზე წინააღმდეგობა, მონაცემთა გადაცემადობა და ავტომატური გადაწყვეტილებების გასაჩივრების უფლება. გამომცემლებისთვის ორი კონკრეტული ასპექტი მნიშვნელოვანია.

პირველი, Article 30 კონტროლიორს ავალდებულებს, გონივრულ ვადაში უპასუხოს უფლებრივ მოთხოვნას — სამი სამუშაო დღე აღიარებისთვის და მაქსიმუმ თოთხმეტი სამუშაო დღე შინაარსობრივი პასუხისთვის. ეს GDPR-ის ერთი თვის ნაგულისხმევ ვადაზე სწრაფია.

მეორე, Article 46 კონტროლიორს ავალდებულებს, პერსონალური მონაცემების დარღვევის შეტყობინება შეეხებათ მონაცემთა სუბიექტებსა და პერსონალური მონაცემების დაცვის ორგანოს 3 x 24 hours-ის განმავლობაში — ანუ კონტროლიორის მიერ დარღვევის გაცნობიდან 72 საათის განმავლობაში. საათი ნადობდება, როდესაც კონტროლიორმა დარღვევა დაადასტურა, არა მაშინ, როდესაც მის გამოვლენას შეეძლო.

სანქციები და ბოლო დროის აღსრულება

UU PDP-ის სანქციების სისტემა მეტ "კბილს" ფლობს, ვიდრე ბევრმა გამომცემელმა თავდაპირველად გააცნობიერა. Article 57 წლიური შემოსავლის 2%-მდე ადმინისტრაციულ სანქციებს ითვალისწინებს. Article 67 to 73 ყველაზე სერიოზული დარღვევებისთვის — მათ შორის, პერსონალური მონაცემების უკანონო შეგროვება და უკანონო გამჟღავნება — ექვს წლამდე თავისუფლების აღკვეთასა და 6 მილიარდ rupiah-მდე ჯარიმებს ითვალისწინებს.

2025 წლის განმავლობაში აღსრულება "soft-launch" ფაზაში იყო, სადაც Kominfo ჯარიმების ნაცვლად გაფრთხილებისა და სასჯელის განკარგულებებს გასცემდა. ეს ფაზა 2026 წლის დასაწყისში დასრულდა. UU PDP-ის ფარგლებში პირველი მნიშვნელოვანი ადმინისტრაციული სანქცია — გაცემული 2026 წლის მარტში საშინაო ელექტრონული კომერციის ოპერატორის მიმართ არასაკმარისი დარღვევის შეტყობინებისა და არასრულწლოვნებისთვის განკუთვნილ პროდუქტის ხაზზე მშობლის თანხმობის გარეშე — ნათელ მარკერს ადგენს, რომ აღსრულება ახლა აქტიურია.

შესაბამისი გამომცემლის ბანერი როგორ გამოიყურება

გამომცემლისთვის, რომელიც 2026 წელს ინდონეზიურ ტრაფიკს ემსახურება, პრაქტიკული კონფიგურაცია ასეთია:

ბანერის Bahasa Indonesia-ზე ლოკალიზება

Article 22-ის ინფორმირებული თანხმობის მოთხოვნა არ სრულდება ინგლისურენოვანი ბანერით, რომელიც Bahasa-ზე მოლაპარაკე მომხმარებელს ეჩვენება. CMP-ს გეო-ლოკაციის, IP-ის ან Accept-Language სათაურის მეშვეობით ინდონეზიელი მომხმარებლები უნდა გამოავლინოს და ბანერი, კონფიდენციალურობის შეტყობინება და დეტალური კონტროლი Bahasa Indonesia-ზე გასცეს.

თანხმობა მხოლოდ opt-in-ად მოიაზრება

არანაირი თვალთვალის, რეკლამის ან ანალიტიკის სკრიპტი არ უნდა გაეშვას სანამ მომხმარებელი ცხადად არ მიიღებს. წინასწარ მონიშნული კატეგორიები, გაგრძელებული ბრაუზინგიდან ნაგულისხმევი თანხმობა და "ამ საიტის გამოყენებით თქვენ ეთანხმებით" შეტყობინებები ყველა შეუსაბამოა.

დოკუმენტირებული თანხმობის ჟურნალების შენარჩუნება

Article 22(3) ნათელია: კონტროლიორს მტკიცებულების წარდგენა უნდა შეეძლოს. თანხმობის ჟურნალი, რომელიც მომხმარებლის იდენტიფიკატორს დრო-ნიშნულთან, ნაჩვენები ბანერის ვერსიასთან და მიღებულ გადაწყვეტილებებთან ასახავს — ეს ის დოკუმენტია, რომელსაც Kominfo ნებისმიერ აუდიტში ან საჩივრის გამოძიებაში მოითხოვს.

გამოხსნა ნამდვილად ექვივალენტური გახადოს

მუდმივი მცურავი თანხმობის ხატი, ერთი დაწკაპებით უარყოფა კონფიდენციალურობის პარამეტრების გვერდზე, ან ნათელი გამოწერის გაუქმება ნებისმიერ მონაცემების შემგროვებელ ელ-ფოსტაში — თითოეული გონივრული განხორციელებაა. 4000 სიტყვის კონფიდენციალურობის პოლიტიკაში ჩამარხული ბმული — არა.

ყველაფრის გაერთიანება

UU PDP GDPR-ის კლონი არ არის, მაგრამ საკმარისად ახლოს, რომ ევროპული სიმწიფის შემსაბამისობის პროგრამების მქონე გამომცემლებმა არსებული თანხმობის ინფრასტრუქტურა ინდონეზიაში მიზნობრივი ადაპტაციებით გააფართოვონ: Bahasa-ს ლოკალიზება, მშობლის თანხმობისთვის 18 წლის ასაკობრივი ზღვარი, 72-საათიანი დარღვევის შეტყობინება და UU PDP-ს ცხადად მომცველი სტანდარტული სახელშეკრულებო პირობები. ამ ინფრასტრუქტურის არმქონე გამომცემლებმა UU PDP-ი აშენების გამააქტიურებლად უნდა განიხილონ. ინდონეზიის აღსრულება ახლა აქტიურია, და Kominfo-ს გამოძიების დაწყების შემდეგ გამოსწორების ხარჯი ბანერის გაშვებამდე სწორ ნახვის ხარჯზე ერთნაირად მაღალია.