Индонезия UU PDP Cookie келісімі: Баспагерлерге арналған сәйкестік нұсқаулығы
Индонезия — әлемдегі төртінші ірі интернет нарығы. 215 миллион онлайн пайдаланушысына контент ұсынатын кез келген баспагер үшін елдің жеке деректерді қорғау заңы — Undang-Undang Pelindungan Data Pribadi немесе UU PDP — қазір дұрыс сақталуы тиіс ең маңызды сәйкестік талабы болып табылады. 2022 жылы қазанда қабылданып, екі жылдық өтпелі кезең аяқталған соң 2024 жылы қазаннан толық қолданысқа енгізілген UU PDP GDPR негізінде жасалып, бірақ өзіндік келісім форматын, бақылаушы міндеттерін және жаза жүйесін енгізеді. Бұл нұсқаулық баспагерлерге UU PDP нені талап ететінін, GDPR тәжірибесінен қандай айырмашылықтары бар екенін және индонезиялық реттеушілерді қанағаттандыратын келісім баннерін қалай конфигурациялау керектігін түсіндіреді.
UU PDP Нені Қамтиды және Кімдер Оның Аясына Кіреді
UU PDP — Индонезияның жеке деректерді қорғауға қатысты алғашқы жан-жақты заңы. Қабылдалуына дейін Индонезиядағы деректерді қорғау ережелері салалық ережелерге — банктік, телекоммуникациялық, электрондық коммерция, электрондық жүйелерге — шашыраңқы орналасқан болатын. UU PDP оларды барлық бақылаушыларға немесе процессорларға, бақылаушы орналасқан жерден тәуелсіз, индонезиялық деректер субъектілерінің жеке деректерін өңдейтіндерге қолданылатын бірыңғай горизонталь режимге біріктіреді.
Бұл экстерриториялық қолданылу шет елдік баспагерлер үшін ең маңызды факт болып табылады. АҚШ-та, ЕО-да немесе Сингапурда орналасқан және Индонезияда физикалық тұрған пайдаланушыларға контент ұсынатын баспагер UU PDP-ге бағынады. Болу тесті функционалды, ресми емес: бақылаушы Bahasa Indonesia контенті, индонезиялық төлем нұсқалары немесе гео-мақсатты жарнамалар арқылы индонезиялық пайдаланушыларды мақсатты ету арқылы UU PDP толық қолданылады.
Article 22 бойынша Келісім Стандарты
UU PDP-нің Article 22 келісімді анықтайды және индонезиялық трафикке бағытталған кез келген cookie баннерінің іргетасы болып табылады. Бұл бап келісімнің мынадай болуын талап етеді:
- Айқын — үнсіздік, алдын ала белгіленген жолақшалар және сайтты пайдалануды жалғастыру келісімді білдірмейді. Пайдаланушы оң әрекет жасауы тиіс.
- Нақты — келісім белгіленген өңдеу мақсатымен байланысты болуы тиіс. Он түрлі мақсатты қамтитын бір "Барлығын қабылдау" батырмасы өте осал.
- Ақпараттық — деректер субъектісі келісер алдында бақылаушының жеке куәлігін, деректер санаттарын, мақсаттарды, сақтау мерзімін, алушыларды және өз құқықтарын алуы тиіс.
- Жазбаша немесе электронды жолмен тіркелген — Article 22(3) бақылаушыдан келісімді дәлелдей алуын талап етеді. Хэштелген пайдаланушы идентификаторына байланған уақыт белгісі бар келісім журналы осы талапты қанағаттандырады; пайдаланушының "Қабылдауды" басқаны туралы түсініксіз мәлімдеме — қанағаттандырмайды.
- Балама шарттармен кері қайтарып алу мүмкіндігі бар — кері алу бастапқы берудей оңай болуы тиіс. Бас тарту жолы үш рет шерту талап еткен кезде, қабылдау бір рет шертуді талап ету сәйкес емес.
Мамандар бұл талаптарды таниды: олар GDPR-нің Article 7-не бірден-бір сәйкес келеді. Айырмашылықтар ауқым мен орындалуда, тұжырымдамада емес.
Келісімнен тыс Заңдық Негіздер
GDPR сияқты UU PDP да кейбір өңдеулер үшін келісімнен басқа заңдық негіздерді мойындайды. Article 20 алты заңдық негізді атайды: келісім, шарттың орындалуы, заңдық міндеттеме, өмірлік мүдде, мемлекеттік міндет және заңды мүдде. Алайда cookie және бақылаудың басым бөлігі үшін тек келісім ғана іс жүзінде қолжетімді, себебі пайдаланушы сұраған қызметті ұсыну үшін қажетті cookie-ге арналған қатаң қажеттілік ерекше жағдайы тар және жарнамаға немесе аналитикаға таралмайды.
Қатаң қажеттілік ерекше жағдайы
Сеанс cookie-лері, кіру cookie-лері, тіл параметрлері cookie-лері және сатып алу себеті cookie-лері өте төмен тәуекелмен шарттың орындалуы немесе заңды мүдде аясына кіреді. Олар айқын келісімді қажет етпейді, дегенмен олардың санаттары конфиденциалдылық туралы хабарламада ашылуы тиіс. Қалған барлығы — аналитика, жарнама, ретаргетинг, үшінші тарап пикселдері, саусақ ізін алу — Article 22 келісімін талап етеді.
Балалар деректері
Article 25 18 жасқа толмаған деректер субъектілерінің деректерін кез келген өңдеуге ата-ана келісімін талап етеді. Бұл GDPR-нің цифрлық келісім жасы үшін 16 жастық стандарттан (мүше мемлекеттер оны 13-ке дейін төмендете алатын) қатаңырақ. Bahasa Indonesia тілінде балаларға арналған контент жүргізетін баспагер шекті мән ретінде 18 жасты пайдалануы және өзін-өзі декларациялау жолақшасы емес, ата-ана растау ағынын конфигурациялауы тиіс.
Шекара Аралық Деректер Тасымалдаулары
Article 56 жеке деректердің Индонезиядан тыс жерге берілуін реттейді. Бақылаушы деректерді басқа елге тек үш шарттың кемінде біреуі орындалғанда ғана жібере алады: тағайындалған ел UU PDP-мен салыстыруға болатын жеке деректерді қорғаудың жеткілікті деңгейіне ие, тиісті қорғаныш шаралары орнатылған немесе деректер субъектісі берілуге айқын келісімін берген.
Индонезияның байланыс және информатика министрлігі (Kominfo) жеткіліктілік тізімін әлі жарияламаған. Іс жүзінде, GDPR юрисдикцияларына, АҚШ-қа, Сингапурға немесе Австралияға деректер жіберетін баспагерлер тиісті қорғаныш шараларына — әдетте UU PDP-ге бейімделген стандартты шарттық тармақтарға, төменде орналасқан субпроцессорлар UU PDP құқықтарын сақтайды деген міндетті тармақпен — сүйенеді. Бірнеше аймақтан жұмыс істейтін ad-tech провайдерлері үшін деректерді өңдеу келісіміңіз қандай аймақтардың индонезиялық пайдаланушы деректерін өңдейтінін және әрбір тасымалда қандай қорғаныш шаралары қолданылатынын нақтылауы тиіс.
Деректер Субъектілерінің Құқықтары және 72 Сағаттық Терезе
UU PDP индонезиялық деректер субъектілеріне GDPR-ге өте ұқсас құқықтар береді: қол жеткізу, түзету, жою, өңдеуге қарсылық, деректердің тасымалдануы және автоматтандырылған шешімдерге дау айту. Екі нақты аспект баспагерлер үшін маңызды.
Біріншіден, Article 30 бақылаушыдан ақылға қонымды мерзімде құқық сұранысына жауап беруін талап етеді, ол жүзеге асыру жарлығымен мойындау үшін үш жұмыс күні және мәнді жауап үшін он төрт жұмыс күніне дейін деп белгіленген. Бұл GDPR-нің бір айлық стандартына қарағанда жылдам.
Екіншіден, Article 46 жеке деректер бұзушылығы туралы хабарламаны зардап шеккен деректер субъектілеріне және Жеке деректерді қорғау органына 3 x 24 hours ішінде — яғни бақылаушы бұзушылықтан хабардар болғаннан бастап 72 сағат ішінде — жіберуді талап етеді. Сағат бақылаушы бұзушылықты растаған кезден санала бастайды, анықтай алатын кезден емес.
Жазалар және Соңғы Орындалу
UU PDP жаза жүйесі көптеген баспагерлердің алғашқыда танығанынан да "тісі" көп. Article 57 жылдық кірістің 2%-ына дейінгі әкімшілік санкцияларды қарастырады. Article 67 to 73 ең ауыр бұзушылықтар — заңсыз жеке деректерді жинау және заңсыз жариялауды қоса алғанда — үшін алты жылға дейінгі бас бостандығынан айыру және 6 миллиард rupiah-ға дейінгі айыппұл түрінде қылмыстық санкциялар қарастырады.
2025 жыл бойы орындалу жұмсақ іске қосу кезеңінде болды, мұнда Kominfo айыппұлдың орнына ескерту хаттарын және коррекциялық бұйрықтарды шығарды. Бұл кезең 2026 жылдың басында аяқталды. UU PDP бойынша бірінші ірі әкімшілік жаза — 2026 жылы наурызда жеткіліксіз бұзушылық туралы хабарлама және кәмелетке толмағандарға бағытталған өнім желісінде ата-ана келісімінің жоқтығы үшін отандық электронды коммерция операторына берілген — орындалудың белсенді екенін нақты белгілейді.
Сәйкесті Баспагер Баннері Қалай Көрінеді
2026 жылы индонезиялық трафикке қызмет ететін баспагер үшін практикалық конфигурация келесідей:
Баннерді Bahasa Indonesia тіліне жергілікті ету
Article 22-нің ақпараттық келісім талабы Bahasa тілді пайдаланушыға ағылшынша баннер көрсету арқылы орындалмайды. CMP геолокация, IP немесе Accept-Language тақырыбы арқылы индонезиялық пайдаланушыларды анықтауы және баннерді, конфиденциалдылық туралы хабарламаны және егжей-тегжейлі басқару элементтерін Bahasa Indonesia тілінде ұсынуы тиіс.
Келісімді тек opt-in ретінде қарастырыңыз
Бақылау, жарнама немесе аналитикалық сценарийлерді пайдаланушы айқын қабылдамай тұрып іске қоспаңыз. Алдын ала белгіленген санаттар, жалғастырылған шарлаудан туындайтын жасырын келісім және "осы сайтты пайдалану арқылы сіз келісесіз" хабарламалары барлығы сәйкес емес.
Тіркелген келісім журналдарын сақтаңыз
Article 22(3) нақты: бақылаушы дәлел ұсына алуы тиіс. Пайдаланушы идентификаторын уақыт белгісіне, көрсетілген баннер нұсқасына және жасалған таңдауларға сәйкестендіретін келісім журналы — кез келген тексеру немесе шағым тергеуінде Kominfo сұрайтын құжат осы.
Кері алуды шынымен балама ету
Тұрақты жылжымалы келісім белгішесі, конфиденциалдылық параметрлері бетіндегі бір рет шертумен бас тарту немесе деректер жинайтын кез келген электрондық хаттағы нақты жазылудан шығу — олардың әрқайсысы ақылға қонымды іске асыру. 4000 сөздік конфиденциалдылық саясатына жасырылған сілтеме — жоқ.
Мұның Барлығын Біріктіру
UU PDP GDPR клоны емес, бірақ Еуропа сәйкестік бағдарламалары жетілген баспагерлер мақсатты түзетулермен қолданыстағы келісім инфрақұрылымын Индонезияға кеңейте алатындай жақын: Bahasa жергілікті ету, ата-ана келісімі үшін 18 жастық шек, 72 сағаттық бұзушылық туралы хабарлама және UU PDP-ді нақты қамтитын стандартты шарттық тармақтар. Осындай инфрақұрылымы жоқ баспагерлер UU PDP-ді оны жасаудың триггері ретінде қарастыруы тиіс. Индонезиялық орындалу қазір белсенді, және Kominfo тергеуі басталғаннан кейінгі түзету шығыны іске қосар алдында баннерді дұрыс жасаудан бірқалыпты жоғары.