Indonēzijas UU PDP sīkdatņu piekrišana: atbilstības ceļvedis izdevējiem
Indonēzija ir ceturtais lielākais interneta tirgus pasaulē. Katram izdevējam, kurš sniedz saturu tās 215 miljoniem tiešsaistes lietotāju, valsts Personas datu aizsardzības likums — Undang-Undang Pelindungan Data Pribadi jeb UU PDP — tagad ir vissvarīgākā atbilstības prasība. Pieņemts 2022. gada oktobrī un pilnībā izpildāms kopš 2024. gada oktobra pēc divu gadu pārejas perioda beigām, UU PDP ir cieši veidots pēc GDPR parauga, taču ievieš savus specifiskos piekrišanas formātus, pārziņa pienākumus un sodu režīmu. Šis ceļvedis iepazīstina izdevējus ar UU PDP prasībām, atšķirībām no GDPR paradumiem un to, kā konfigurēt piekrišanas reklāmkarogu, kas apmierina Indonēzijas regulatorus.
Ko aptver UU PDP un uz ko tas attiecas
UU PDP ir Indonēzijas pirmais visaptverošais personas datu aizsardzības statūts. Pirms tā pieņemšanas datu aizsardzības noteikumi Indonēzijā bija izkaisīti pa nozaru regulējumiem — banku darbībā, telekomunikācijās, e-tirdzniecībā, elektroniskajās sistēmās. UU PDP apvieno tos vienā horizontālā režīmā, kas attiecas uz jebkuru pārzini vai apstrādātāju, kas apstrādā Indonēzijas datu subjektu personas datus, neatkarīgi no tā, kur pārzinis ir reģistrēts.
Šī ārpusteritoriālā darbības joma ir vissvarīgākais fakts ārvalstu izdevējiem. ASV, ES vai Singapūrā reģistrēts izdevējs, kas sniedz saturu lietotājiem, kuri fiziski atrodas Indonēzijā, ir pakļauts UU PDP. Klātbūtnes tests ir funkcionāls, nevis formāls: ja pārzinis mērķējas uz Indonēzijas lietotājiem — izmantojot Bahasa Indonesia saturu, Indonēzijas maksājumu iespējas vai ģeogrāfiski mērķētu reklāmu — UU PDP piemērojas pilnā apmērā.
Piekrišanas standarts saskaņā ar Article 22
UU PDP Article 22 definē piekrišanu un ir jebkura sīkdatņu reklāmkaroga, kas vērsts uz Indonēzijas trafiku, pamatelements. Pants prasa, lai piekrišana būtu:
- Skaidra — klusēšana, iepriekš atzīmētas izvēles rūtiņas un vietnes turpināšana nav piekrišana. Lietotājam ir jāveic pozitīva darbība.
- Konkrēta — piekrišana jāsaista ar noteiktu apstrādes mērķi. Viena poga "Pieņemt visu", kas aptver desmit dažādus mērķus, ir ļoti ievainojama.
- Informēta — datu subjektam pirms piekrišanas sniegšanas jāsaņem pārziņa identitāte, datu kategorijas, mērķi, glabāšanas periods, saņēmēji un to tiesības.
- Dokumentēta rakstiski vai elektroniski reģistrēta — Article 22(3) prasa, lai pārzinis spētu pierādīt piekrišanu. Ar laika zīmogu apzīmēts piekrišanas žurnāls, kas kartēts uz jauktu lietotāja identifikatoru, atbilst šai prasībai; neskaidrs apgalvojums, ka lietotājs noklikšķināja uz Pieņemt, neatbilst.
- Atsaucama līdzvērtīgos nosacījumos — atsaukšanai jābūt tikpat vienkāršai kā sākotnējai piešķiršanai. Noraidīšanas ceļš, kas prasa trīs klikšķus, kamēr pieņemšana prasa vienu, neatbilst prasībām.
Speciālisti atpazīs šīs prasības: tās gandrīz viens pret vienu atbilst GDPR Article 7. Atšķirības ir darbības jomā un izpildē, nevis koncepcijā.
Likumīgi pamati ārpus piekrišanas
Tāpat kā GDPR, UU PDP atzīst likumīgus pamatus, kas nav piekrišana, noteiktai apstrādei. Article 20 uzskaitīti seši likumīgi pamati: piekrišana, līguma izpilde, juridisks pienākums, vitālās intereses, sabiedrisks uzdevums un leģitīmas intereses. Tomēr lielākajai daļai sīkdatņu un izsekošanas darbību piekrišana ir vienīgā reāli pieejamā iespēja, jo stingra nepieciešamība sīkdatņu izņēmumam, kas ir būtiskas pakalpojuma sniegšanai, ko lietotājs pieprasīja, ir šaura un neattiecas uz reklāmu vai analītiku.
Stingras nepieciešamības izņēmums
Sesijas sīkdatnes, pieteikšanās sīkdatnes, valodas preferenču sīkdatnes un iepirkumu groza sīkdatnes ietilpst līguma izpildē vai leģitīmās interesēs ar ļoti zemu risku. Tām nav nepieciešama skaidra piekrišana, lai gan to kategorijas joprojām jāatklāj privātuma paziņojumā. Viss pārējais — analītika, reklāma, atkārtota mērķēšana, trešo pušu pikseļi, pirkstu nospiedumi — prasa Article 22 piekrišanu.
Bērnu dati
Article 25 prasa vecāku piekrišanu jebkurai datu subjektu vecumā līdz 18 gadiem datu apstrādei. Tas ir stingrāk nekā GDPR noklusējuma digitālās piekrišanas vecums 16 gadi (ko dalībvalstis var samazināt līdz 13). Izdevējam, kas vada bērniem orientētu saturu Bahasa Indonesia valodā, jāuzskata slieksnis par 18 gadiem un jākonfigurē vecāku verificēšanas plūsma, nevis pašdeklarācijas izvēles rūtiņa.
Pārrobežu datu pārsūtīšana
Article 56 regulē personas datu pārsūtīšanu ārpus Indonēzijas. Pārzinis var pārsūtīt datus uz citu valsti tikai tad, ja ir izpildīts vismaz viens no trim nosacījumiem: galamērķa valstij ir pietiekams personas datu aizsardzības līmenis, kas ir salīdzināms ar UU PDP, ir pieejamas atbilstošas aizsardzības garantijas, vai datu subjekts ir devis skaidru piekrišanu pārsūtīšanai.
Indonēzijas Komunikācijas un informātikas ministrija (Kominfo) vēl nav publicējusi atbilstības sarakstu. Praksē izdevēji, kas pārsūta datus uz GDPR jurisdikcijām, uz Amerikas Savienotajām Valstīm, Singapūru vai Austrāliju, paļaujas uz atbilstošām aizsardzības garantijām — parasti standarta līguma klauzulām, kas pielāgotas UU PDP, ar saistošu klauzulu, ka pakārtotie apakšapstrādātāji ievēro UU PDP tiesības. Reklāmas tehnoloģiju pārdevējiem, kas darbojas no vairākiem reģioniem, jūsu datu apstrādes līgumā jānorāda, kuri reģioni apstrādā Indonēzijas lietotāju datus un kādas aizsardzības garantijas tiek piemērotas katrā posmā.
Datu subjektu tiesības un 72 stundu logs
UU PDP piešķir Indonēzijas datu subjektiem tiesības, kas cieši atgādina GDPR tiesības: piekļuve, labošana, dzēšana, iebildumi pret apstrādi, datu pārnesamība un tiesības apstrīdēt automatizētus lēmumus. Diviem specifiskiem aspektiem ir nozīme izdevējiem.
Pirmkārt, Article 30 prasa, lai pārzinis atbildētu uz tiesību pieprasījumu saprātīgā termiņā, ko īstenošanas noteikums noteicis kā trīs darba dienas apstiprināšanai un maksimāli četrpadsmit darba dienas pamatotai atbildei. Tas ir ātrāk nekā GDPR noklusējuma viena mēneša termiņš.
Otrkārt, Article 46 prasa paziņošanu par personas datu pārkāpumu skartajiem datu subjektiem un Personas datu aizsardzības iestādei 3 x 24 stundu laikā — tas ir, 72 stundu laikā no brīža, kad pārzinis ir informēts par pārkāpumu. Pulkstenis sāk darboties, kad pārzinis ir apstiprinājis pārkāpumu, nevis kad tas varētu to atklāt.
Sodi un nesenie izpildes pasākumi
UU PDP sodu režīms ir ar lielākiem zobiem, nekā daudzi izdevēji sākotnēji atzina. Article 57 paredz administratīvus sodus līdz 2% no gada ieņēmumiem. Article 67 to 73 paredz kriminālsodus līdz sešu gadu ieslodzījumam un naudas sodiem līdz 6 miljardiem rupiah par vissmagākajiem pārkāpumiem, tostarp nelikumīgu personas datu vākšanu un nelikumīgu izpaušanu.
Līdz 2025. gadam izpilde bija mīkstā palaišanas fāzē, un Kominfo izdeva brīdinājuma vēstules un labošanas rīkojumus, nevis sodus. Šī fāze beidzās 2026. gada sākumā. Pirmais lielais administratīvais sods saskaņā ar UU PDP — izdots vietējam e-komercijas operatoram 2026. gada martā par nepietiekamu pārkāpuma paziņošanu un trūkstošu vecāku piekrišanu nepilngadīgajiem paredzētai produktu līnijai — noteica skaidru marķieri, ka izpilde tagad ir aktīva.
Kā izskatās atbilstīgs izdevēja reklāmkarogs
Izdevējam, kas 2026. gadā apkalpo Indonēzijas trafiku, praktiskā konfigurācija ir:
Lokalizēt reklāmkarogu Bahasa Indonesia valodā
Article 22 informētās piekrišanas prasība nav izpildīta ar angļu valodas reklāmkarogu, kas parādīts Bahasa valodas lietotājam. CMP ir jāatklāj Indonēzijas lietotāji — pēc ģeoatrašanās vietas, IP vai Accept-Language galvenes — un jāsniedz reklāmkarogs, privātuma paziņojums un detalizētie kontroli Bahasa Indonesia valodā.
Uzskatīt piekrišanu tikai par opt-in
Nekādi izsekošanas, reklāmas vai analītikas skripti nedrīkst darboties, pirms lietotājs nav skaidri pieņēmis. Iepriekš atzīmētas kategorijas, netieša piekrišana no turpinātas pārlūkošanas un "izmantojot šo vietni, jūs piekrītat" paziņojumi — visi neatbilst prasībām.
Uzturēt dokumentētos piekrišanas žurnālus
Article 22(3) ir skaidrs: pārzinim jāspēj sniegt pierādījumus. Piekrišanas žurnāls, kas kartē lietotāja identifikatoru uz laika zīmogu, parādītā reklāmkaroga versiju un izdarītajām izvēlēm, ir dokuments, ko Kominfo pieprasīs jebkurā auditā vai sūdzības izmeklēšanā.
Padarīt atsaukšanu patiesi līdzvērtīgu
Pastāvīga peldoša piekrišanas ikona, viena klikšķa noraidījums privātuma preferenču lapā vai skaidra atteikšanās jebkurā datu vākšanas e-pastā — katra ir saprātīga ieviešana. Aprakta saite 4000 vārdu privātuma politikā nav.
Apkopojot
UU PDP nav GDPR klons, bet tas ir pietiekami tuvs, lai izdevēji ar nobriedušām Eiropas atbilstības programmām varētu paplašināt esošo piekrišanas infrastruktūru uz Indonēziju ar mērķtiecīgiem pielāgojumiem: Bahasa lokalizācija, 18 gadu vecuma slieksnis vecāku piekrišanai, 72 stundu pārkāpuma paziņošana un standarta līguma klauzulas, kas skaidri aptver UU PDP. Izdevējiem bez šādas infrastruktūras jāuzskata UU PDP par iemeslu to veidot. Indonēzijas izpilde tagad ir aktīva, un sanācijas izmaksas pēc Kominfo izmeklēšanas sākuma ir vienmēr augstākas nekā reklāmkaroga pareizas konfigurēšanas izmaksas pirms palaišanas.