Indonezija UU PDP Cookie sutikimas: Atitikties vadovas leidėjams
Indonezija yra ketvirta pagal dydį interneto rinka pasaulyje. Kiekvienam leidėjui, teikiančiam turinį 215 milijonų online vartotojų, šalies asmens duomenų apsaugos įstatymas — Undang-Undang Pelindungan Data Pribadi arba UU PDP — dabar yra svarbiausia atitikties sritis, kurią reikia tinkamai įvykdyti. Priimtas 2022 m. spalį ir visiškai galiojantis nuo 2024 m. spalio mėnesio po dvejų metų pereinamojo laikotarpio, UU PDP yra sukurtas remiantis GDPR, tačiau pristato savitą sutikimo formatą, duomenų valdytojo pareigas ir baudų sistemą. Šis vadovas padės leidėjams suprasti, ko reikalauja UU PDP, kuo jis skiriasi nuo GDPR įpročių ir kaip sukonfigūruoti sutikimo banerį, kuris tenkintų Indonezijos reguliatorius.
Ką Apima UU PDP ir Kas Jam Patenka
UU PDP yra pirmasis visapusiškas Indonezijos asmens duomenų apsaugos įstatymas. Prieš jo priėmimą duomenų apsaugos taisyklės Indonezijoje buvo išsklaidytos sektoriniuose reglamentuose — bankų, telekomunikacijų, elektroninės komercijos, elektroninių sistemų. UU PDP jas sujungia į vieną horizontalų režimą, taikomą bet kuriam duomenų valdytojui ar tvarkytojui, tvarkančiam Indonezijos duomenų subjektų asmens duomenis, nepriklausomai nuo to, kur įsteigtas valdytojas.
Šis išorinis taikymas yra svarbiausia aplinkybė užsienio leidėjams. JAV, ES ar Singapūre įsisteigęs leidėjas, teikiantis turinį fiziškai Indonezijoje esantiems vartotojams, patenka į UU PDP taikymo sritį. Buvimo testas yra funkcinis, o ne formalus: jei valdytojas siekia Indonezijos vartotojų — per Bahasa Indonesia turinį, Indonezijos mokėjimo galimybes ar geografiškai tikslinamą reklamą — UU PDP taikomas visa apimtimi.
Sutikimo Standartas Pagal Article 22
UU PDP Article 22 apibrėžia sutikimą ir yra bet kokio slapukų banerio, nukreipto į Indonezijos srautą, pagrindas. Straipsnyje reikalaujama, kad sutikimas būtų:
- Aiškus — tyla, iš anksto pažymėti langeliai ir tęstinis svetainės naudojimas nesudaro sutikimo. Vartotojas turi atlikti teigiamą veiksmą.
- Konkretus — sutikimas turi būti susietas su apibrėžtu tvarkymo tikslu. Vienas mygtukas Sutikti su viskuo, apimantis dešimt skirtingų tikslų, yra labai pažeidžiamas.
- Informuotas — duomenų subjektas turi gauti, prieš sutikdamas, valdytojo tapatybę, duomenų kategorijas, tikslus, saugojimo laikotarpį, gavėjus ir savo teises.
- Dokumentuotas raštu arba elektroniškai įrašytas — Article 22(3) reikalauja, kad valdytojas galėtų įrodyti sutikimą. Laiku pažymėtas sutikimo žurnalas, susietas su sumaišytu vartotojo identifikatoriumi, atitinka šį reikalavimą; neaiškus teiginys, kad vartotojas paspaudė Sutikti, to nedaro.
- Atšaukiamas lygiavertėmis sąlygomis — atšaukimas turi būti toks pat lengvas kaip ir pradinis suteikimas. Atsisakymo kelias, reikalaujantis trijų paspaudimų, kai sutikimas reikalauja vieno, neatitinka reikalavimų.
Specialistai atpažins šiuos reikalavimus: jie beveik vienas į vieną atitinka GDPR Article 7. Skirtumai yra apimtyje ir vykdyme, o ne koncepcijoje.
Teisėti Pagrindai Be Sutikimo
Kaip ir GDPR, UU PDP kai kuriam tvarkymui pripažįsta teisėtus pagrindus, kitus nei sutikimas. Article 20 išvardija šešis teisėtus pagrindus: sutikimas, sutarties vykdymas, teisinė pareiga, gyvybinis interesas, viešoji užduotis ir teisėtas interesas. Tačiau dauguma slapukų ir sekimo veiklos realistiškai gali naudoti tik sutikimą, nes griežto būtinumo išlyga dėl slapukų, būtinų teikti vartotojo prašomą paslaugą, yra siaura ir neapima reklamos ar analizės.
Griežto būtinumo išlyga
Sesijų slapukai, prisijungimo slapukai, kalbos nuostatų slapukai ir krepšelio slapukai patenka į sutarties vykdymą arba teisėtą interesą su labai maža rizika. Jiems nereikia aiškaus sutikimo, nors jų kategorijos vis tiek turi būti nurodytos privatumo pranešime. Viskas kita — analizė, reklama, pakartotinis taikymas, trečiųjų šalių pikseliai, pirštų atspaudų ėmimas — reikalauja Article 22 sutikimo.
Vaikų duomenys
Article 25 reikalauja tėvų sutikimo bet kokiam duomenų subjektų, jaunesnių nei 18 metų, duomenų tvarkymui. Tai griežčiau nei GDPR numatytasis skaitmeninio sutikimo amžius, kuris yra 16 metų (kurį valstybės narės gali sumažinti iki 13). Leidėjas, publikuojantis vaikams skirtą turinį Bahasa Indonesia kalba, turėtų ribą laikyti 18 metų ir sukonfigūruoti tėvų patikrinimo srautą, o ne savęs deklaravimo žymimąjį laukelį.
Tarpvalstybinis Duomenų Perdavimas
Article 56 reglamentuoja asmens duomenų perdavimą už Indonezijos ribų. Valdytojas gali perduoti duomenis į kitą šalį tik tada, kai tenkinamas bent vienas iš trijų sąlygų: paskirties šalis turi tinkamą asmens duomenų apsaugos lygį, palyginamą su UU PDP, yra tinkamų apsaugos priemonių, arba duomenų subjektas davė aiškų sutikimą dėl perdavimo.
Indonezijos ryšių ir informatikos ministerija (Kominfo) dar nepaskelbė tinkamumo sąrašo. Praktiškai leidėjai, perduodantys duomenis į GDPR jurisdikcijas, Jungtines Valstijas, Singapūrą ar Australiją, remiasi tinkamomis apsaugos priemonėmis — paprastai standartinėmis sutarties sąlygomis, pritaikytomis prie UU PDP, su privaloma sąlyga, kad žemesniojo lygio subtvarkytojai gerbtų UU PDP teises. Reklamos technologijų tiekėjams, veikiantiems iš kelių regionų, jūsų duomenų tvarkymo sutartyje turi būti nurodyti regionai, tvarkantys Indonezijos vartotojų duomenis, ir apsaugos priemonės, taikomos kiekviename etape.
Duomenų Subjektų Teisės ir 72 Valandų Langas
UU PDP Indonezijos duomenų subjektams suteikia teises, labai panašias į GDPR: prieiga, taisymas, ištrynimas, prieštaravimas tvarkymui, duomenų perkeliamumas ir teisė ginčyti automatizuotus sprendimus. Leidėjams svarbios dvi konkrečios aplinkybės.
Pirma, Article 30 reikalauja, kad valdytojas per protingą laiką atsakytų į teisių prašymą, kurį įgyvendinimo reglamentas nustatė kaip tris darbo dienas patvirtinimui ir ne daugiau kaip keturiolika darbo dienų esminiam atsakymui. Tai greičiau nei GDPR numatytasis vieno mėnesio terminas.
Antra, Article 46 reikalauja pranešti apie asmens duomenų pažeidimą paveiktiems duomenų subjektams ir Asmens Duomenų Apsaugos Institucijai per 3 x 24 hours — tai yra per 72 valandas nuo tada, kai valdytojas sužinojo apie pažeidimą. Laikrodis prasideda, kai valdytojas patvirtino pažeidimą, o ne tada, kai galėjo jį nustatyti.
Baudos ir Neseniai Vykdytas Vykdymas
UU PDP baudų sistema turi daugiau „dantų", nei daugelis leidėjų iš pradžių pripažino. Article 57 numato administracines sankcijas iki 2 % metinių pajamų. Article 67 to 73 numato baudžiamąsias sankcijas iki šešerių metų laisvės atėmimo ir baudas iki 6 milijardų rupiah už rimčiausius pažeidimus, įskaitant neteisėtą asmens duomenų rinkimą ir neteisėtą atskleidimą.
Per 2025 m. vykdymas buvo minkštojo paleidimo fazėje, Kominfo išduodant įspėjamuosius laiškus ir korekcinius nurodymus, o ne baudas. Ta fazė baigėsi 2026 m. pradžioje. Pirmoji didelė administracinė bauda pagal UU PDP — skirta vidaus elektroninės komercijos operatoriui 2026 m. kovą dėl netinkamo pranešimo apie pažeidimą ir trūkstamo tėvų sutikimo nepilnamečiams skirtoje produktų linijoje — nustatė aiškų ženklą, kad vykdymas dabar aktyvus.
Kaip Atrodo Atitinkantis Leidėjo Baneris
Leidėjui, aptarnaujančiam Indonezijos srautą 2026 m., praktinė konfigūracija yra:
Banerio lokalizavimas į Bahasa Indonesia
Article 22 informuoto sutikimo reikalavimas nėra patenkinamas anglų kalba parodytu baneriu Bahasa kalbos vartotojui. CMP turi aptikti Indonezijos vartotojus — pagal geografinę vietą, IP arba Accept-Language antraštę — ir pateikti banerį, privatumo pranešimą ir išsamius valdiklius Bahasa Indonesia kalba.
Sutikimo traktavimas tik kaip prisijungimo
Jokie sekimo, reklamos ar analizės scenarijai negali veikti, kol vartotojas aiškiai nesutiko. Iš anksto pažymėtos kategorijos, numanomas sutikimas iš tolesnio naršymo ir pranešimai „naudodamiesi šia svetaine jūs sutinkate" yra neatitinkantys reikalavimų.
Dokumentuotų sutikimo žurnalų palaikymas
Article 22(3) yra aiškus: valdytojas turi galėti pateikti įrodymų. Sutikimo žurnalas, susiejantis vartotojo identifikatorių su laiku, parodyto banerio versija ir priimtais pasirinkimais, yra dokumentas, kurio Kominfo paprašys bet kokio audito ar skundų tyrimo metu.
Atšaukimo tikras lygiavertiškumas
Nuolatinė plaukiojanti sutikimo piktograma, vieno paspaudimo atsisakymas privatumo nuostatų puslapyje arba aiškus atsisakymas duomenų rinkimo el. laiške — kiekvienas yra pagrįstas įgyvendinimas. Paslėpta nuoroda 4000 žodžių privatumo politikoje — ne.
Viskas Kartu
UU PDP nėra GDPR klonas, tačiau yra pakankamai artimas, kad leidėjai, turintys brandžias Europos atitikties programas, galėtų išplėsti esamą sutikimo infrastruktūrą į Indoneziją su tiksliniais pakeitimais: Bahasa lokalizacija, 18 metų amžiaus riba tėvų sutikimui, 72 valandų pažeidimo pranešimas ir standartinės sutarties sąlygos, aiškiai apimančios UU PDP. Leidėjai, neturintys tokios infrastruktūros, turėtų laikyti UU PDP kaip impulsą ją sukurti. Indonezijos vykdymas dabar aktyvus, o remonto kaina po Kominfo tyrimo pradžios yra vienodai didesnė nei banerio teisingas nustatymas prieš paleidimą.