Persetujuan Cookie UU PDP Indonesia: Panduan Pematuhan untuk Penerbit
Indonesia adalah pasaran internet keempat terbesar di dunia. Bagi mana-mana penerbit yang menyajikan kandungan kepada 215 juta pengguna dalam taliannya, Undang-Undang Pelindungan Data Peribadi negara itu — Undang-Undang Pelindungan Data Pribadi, atau UU PDP — kini merupakan aspek pematuhan paling penting yang perlu dipenuhi. Digubal pada Oktober 2022 dan berkuat kuasa sepenuhnya sejak Oktober 2024 selepas tempoh peralihan dua tahun tamat, UU PDP dimodelkan rapat dengan GDPR tetapi memperkenalkan format persetujuan, kewajipan pengawal, dan rejim penalti tersendiri. Panduan ini membimbing penerbit tentang apa yang diperlukan oleh UU PDP, di mana ia berbeza daripada amalan GDPR, dan cara mengkonfigurasi sepanduk persetujuan yang memuaskan pengawal selia Indonesia.
Apa yang Dilindungi oleh UU PDP dan Siapa yang Tertakluk
UU PDP adalah statut perlindungan data peribadi komprehensif pertama Indonesia. Sebelum pengubalannya, peraturan perlindungan data di Indonesia tersebar merentasi peraturan sektoral — perbankan, telekomunikasi, e-dagang, sistem elektronik. UU PDP menggabungkan ini ke dalam satu rejim mendatar yang terpakai kepada mana-mana pengawal atau pemproses yang mengendalikan data peribadi subjek data Indonesia, tanpa mengira di mana pengawal itu ditubuhkan.
Jangkauan ekstrateritori ini adalah fakta paling penting bagi penerbit asing. Penerbit yang berpangkalan di AS, EU, atau Singapura yang menyajikan kandungan kepada pengguna yang berada secara fizikal di Indonesia tertakluk kepada UU PDP. Ujian kehadiran adalah fungsional, bukan formal: jika pengawal menyasarkan pengguna Indonesia — melalui kandungan Bahasa Indonesia, pilihan pembayaran Indonesia, atau pengiklanan yang disasarkan secara geo — UU PDP terpakai sepenuhnya.
Piawaian Persetujuan di Bawah Article 22
Article 22 UU PDP mentakrifkan persetujuan dan merupakan asas bagi mana-mana sepanduk cookie yang menyasarkan trafik Indonesia. Article itu memerlukan persetujuan untuk:
- Eksplisit — senyap, kotak yang telah ditandakan, dan penggunaan laman web yang berterusan tidak membentuk persetujuan. Pengguna mesti mengambil tindakan positif.
- Khusus — persetujuan mesti dikaitkan dengan tujuan pemprosesan yang ditetapkan. Satu butang Terima Semua yang merangkumi sepuluh tujuan berbeza adalah sangat terdedah.
- Bermaklumat — subjek data mesti menerima, sebelum memberi persetujuan, identiti pengawal, kategori data, tujuan, tempoh pengekalan, penerima, dan hak mereka.
- Didokumentasikan secara bertulis atau direkodkan secara elektronik — Article 22(3) memerlukan pengawal untuk dapat membuktikan persetujuan. Log persetujuan bertanda masa yang dipetakan kepada pengecam pengguna yang di-hash memenuhi keperluan ini; dakwaan kabur bahawa pengguna mengklik Terima tidak mencukupi.
- Boleh dibatalkan atas terma yang setara — penarikan balik mesti semudah pemberian asal. Laluan tolak yang memerlukan tiga klik sementara terima memerlukan satu tidak mematuhi.
Pengamal akan mengenali keperluan ini: ia hampir satu-ke-satu dengan Article 7 GDPR. Perbezaannya adalah dalam skop dan penguatkuasaan, bukan dalam konsep.
Asas Sah di Luar Persetujuan
Seperti GDPR, UU PDP mengiktiraf asas sah selain persetujuan untuk pemprosesan tertentu. Article 20 menyenaraikan enam asas undang-undang: persetujuan, pelaksanaan kontrak, kewajipan undang-undang, kepentingan penting, tugas awam, dan kepentingan sah. Walau bagaimanapun, bagi kebanyakan aktiviti cookie dan penjejakan, hanya persetujuan yang realistik tersedia, kerana pengecualian keperluan ketat untuk cookie yang penting untuk menyediakan perkhidmatan yang diminta pengguna adalah sempit dan tidak meluas kepada pengiklanan atau analitik.
Pengecualian keperluan ketat
Cookie sesi, cookie log masuk, cookie pilihan bahasa, dan cookie troli beli-belah termasuk dalam pelaksanaan kontrak atau kepentingan sah dengan risiko yang sangat rendah. Ia tidak memerlukan persetujuan eksplisit, walaupun kategorinya masih mesti didedahkan dalam notis privasi. Semua yang lain — analitik, pengiklanan, penyasaran semula, piksel pihak ketiga, cap jari — memerlukan persetujuan Article 22.
Data kanak-kanak
Article 25 memerlukan persetujuan ibu bapa untuk sebarang pemprosesan subjek data di bawah 18 tahun. Ini lebih ketat daripada lalai umur persetujuan digital GDPR sebanyak 16 (yang boleh diturunkan oleh negara anggota kepada 13). Penerbit yang menjalankan kandungan berorientasikan kanak-kanak dalam Bahasa Indonesia harus menganggap ambang sebagai 18 tahun dan mengkonfigurasi aliran pengesahan ibu bapa, bukan kotak semak perisytiharan diri.
Pemindahan Data Rentas Sempadan
Article 56 mengawal pemindahan data peribadi di luar Indonesia. Pengawal boleh memindahkan data ke negara lain hanya jika sekurang-kurangnya satu daripada tiga syarat dipenuhi: negara destinasi mempunyai tahap perlindungan data peribadi yang mencukupi yang setanding dengan UU PDP, terdapat perlindungan yang sesuai, atau subjek data telah memberikan persetujuan eksplisit kepada pemindahan tersebut.
Kementerian Komunikasi dan Informatika Indonesia (Kominfo) belum menerbitkan senarai kecukupan. Dalam amalan, penerbit yang memindahkan data ke bidang kuasa GDPR, ke Amerika Syarikat, ke Singapura, atau ke Australia bergantung pada perlindungan yang sesuai — biasanya klausa kontraktual standard yang disesuaikan dengan UU PDP, dengan klausa mengikat bahawa sub-pemproses hiliran menghormati hak UU PDP. Bagi vendor teknologi iklan yang beroperasi dari pelbagai wilayah, perjanjian pemprosesan data anda mesti menentukan wilayah mana yang mengendalikan data pengguna Indonesia dan perlindungan apa yang terpakai pada setiap peringkat.
Hak Subjek Data dan Tetingkap 72 Jam
UU PDP memberikan subjek data Indonesia hak yang sangat menyerupai hak GDPR: akses, pembetulan, pemadaman, bantahan terhadap pemprosesan, mudah alih data, dan hak untuk mencabar keputusan automatik. Dua butiran penting bagi penerbit.
Pertama, Article 30 memerlukan pengawal untuk membalas permintaan hak dalam masa yang munasabah, yang peraturan pelaksanaan telah ditetapkan sebagai tiga hari bekerja untuk pengakuan dan maksimum empat belas hari bekerja untuk respons substantif. Ini lebih cepat daripada lalai satu bulan GDPR.
Kedua, Article 46 memerlukan pemberitahuan pelanggaran data peribadi kepada subjek data yang terjejas dan kepada Pihak Berkuasa Perlindungan Data Peribadi dalam masa 3 x 24 jam — iaitu, 72 jam dari pengawal menyedari pelanggaran tersebut. Jam bermula apabila pengawal telah mengesahkan pelanggaran itu, bukan apabila ia boleh mengesannya.
Penalti dan Penguatkuasaan Terkini
Rejim penalti UU PDP mempunyai lebih banyak gigitan berbanding yang pada mulanya disedari oleh banyak penerbit. Article 57 memperuntukkan sanksi pentadbiran sehingga 2% daripada pendapatan tahunan. Article 67 to 73 memperuntukkan sanksi jenayah sehingga enam tahun penjara dan denda sehingga 6 bilion rupiah untuk pelanggaran paling serius, termasuk pengumpulan data peribadi yang tidak sah dan pendedahan yang tidak sah.
Sehingga 2025 penguatkuasaan berada dalam fasa pelancaran lembut, dengan Kominfo mengeluarkan surat amaran dan perintah pembetulan dan bukannya denda. Fasa itu berakhir pada awal 2026. Penalti pentadbiran utama pertama di bawah UU PDP — dikeluarkan kepada pengendali e-dagang domestik pada Mac 2026 kerana pemberitahuan pelanggaran yang tidak mencukupi dan tiada persetujuan ibu bapa pada lini produk yang disasarkan kepada kanak-kanak — menetapkan penanda yang jelas bahawa penguatkuasaan kini aktif.
Rupa Sepanduk Penerbit yang Mematuhi
Bagi penerbit yang melayani trafik Indonesia pada 2026, konfigurasi praktikal adalah:
Lokal sepanduk ke Bahasa Indonesia
Keperluan persetujuan bermaklumat Article 22 tidak dipenuhi oleh sepanduk berbahasa Inggeris yang ditunjukkan kepada pengguna berbahasa Bahasa. CMP mesti mengesan pengguna Indonesia — melalui geolokasi, IP, atau pengepala Accept-Language — dan menghidangkan sepanduk, notis privasi, dan kawalan terperinci dalam Bahasa Indonesia.
Layani persetujuan sebagai opt-in sahaja
Tiada skrip penjejakan, pengiklanan, atau analitik boleh dijalankan sebelum pengguna menerima secara eksplisit. Kategori yang telah ditandakan sebelumnya, persetujuan tersirat daripada penyemakan imbas yang berterusan, dan notis "dengan menggunakan laman web ini anda bersetuju" semuanya tidak mematuhi.
Kekalkan log persetujuan yang didokumentasikan
Article 22(3) adalah eksplisit: pengawal mesti dapat mengemukakan bukti. Log persetujuan yang memetakan pengecam pengguna kepada cap masa, versi sepanduk yang ditunjukkan, dan pilihan yang dibuat adalah dokumen yang akan diminta oleh Kominfo dalam mana-mana audit atau siasatan aduan.
Jadikan penarikan balik benar-benar setara
Ikon persetujuan terapung yang berterusan, tolak satu klik dalam halaman keutamaan privasi, atau berhenti langganan yang jelas dalam mana-mana e-mel pengumpulan data — setiap satu adalah pelaksanaan yang munasabah. Pautan yang tersembunyi dalam polisi privasi 4000 perkataan tidak mencukupi.
Mengumpulkan Semuanya
UU PDP bukan klon GDPR, tetapi ia cukup dekat sehingga penerbit dengan program pematuhan Eropah yang matang boleh melanjutkan infrastruktur persetujuan sedia ada mereka ke Indonesia dengan pelarasan yang disasarkan: lokalisasi Bahasa, ambang umur 18 tahun untuk persetujuan ibu bapa, pemberitahuan pelanggaran 72 jam, dan klausa kontraktual standard yang secara eksplisit merangkumi UU PDP. Penerbit tanpa infrastruktur itu harus menganggap UU PDP sebagai pencetus untuk membinanya. Penguatkuasaan Indonesia kini aktif, dan kos pemulihan selepas siasatan Kominfo bermula adalah lebih tinggi secara seragam berbanding kos mendapatkan sepanduk yang betul sebelum pelancaran.