Hva UU PDP dekker og hvem som er berørt

UU PDP er Indonesias første omfattende lov om vern av personopplysninger. Før vedtakelsen var regler for databeskyttelse i Indonesia spredt over sektorielle reguleringer — bank, telekommunikasjon, e-handel, elektroniske systemer. UU PDP konsoliderer disse til ett horisontalt regime som gjelder for enhver behandlingsansvarlig eller databehandler som behandler personopplysninger om indonesiske registrerte, uavhengig av hvor behandlingsansvarlig er etablert.

Denne eksterritorielle rekkevidden er den viktigste faktoren for utenlandske utgivere. En utgiver basert i USA, EU eller Singapore som leverer innhold til brukere som fysisk befinner seg i Indonesia, er fanget av UU PDP. Tilstedeværelsestesten er funksjonell, ikke formell: hvis behandlingsansvarlig retter seg mot indonesiske brukere — gjennom Bahasa Indonesia-innhold, indonesiske betalingsalternativer eller geografisk målrettet annonsering — gjelder UU PDP i sin helhet.

Samtykkestandarden under Article 22

Article 22 i UU PDP definerer samtykke og er hjørnesteinen i ethvert informasjonskapselbanner rettet mot indonesisk trafikk. Artikkelen krever at samtykke er:

• Eksplisitt — stillhet, forhåndsavmerkede bokser og fortsatt bruk av nettstedet utgjør ikke samtykke. Brukeren må foreta en positiv handling.
• Spesifikt — samtykke må knyttes til et definert behandlingsformål. En enkelt Godta alt-knapp som dekker ti ulike formål er svært sårbar.
• Informert — den registrerte må motta, før samtykke gis, den behandlingsansvarliges identitet, datakategoriene, formålene, oppbevaringsperioden, mottakerne og deres rettigheter.
• Dokumentert skriftlig eller registrert elektronisk — Article 22(3) krever at behandlingsansvarlig kan bevise samtykke. En tidsstemplet samtykklogg tilordnet en hashet brukeridentifikator oppfyller dette kravet; en vag påstand om at brukeren klikket Godta gjør det ikke.
• Tilbakekallelig på likeverdige vilkår — tilbaketrekking må være like enkelt som den opprinnelige tillatelsen. En avvisningsvei som tar tre klikk mens aksept tar ett er ikke etterlevende.

Utøvere vil kjenne igjen disse kravene: de stemmer nesten ett-til-ett med GDPR Article 7. Forskjellene ligger i omfang og håndhevelse, ikke i konsept.

Rettslige grunnlag utover samtykke

I likhet med GDPR anerkjenner UU PDP andre rettslige grunnlag enn samtykke for visse typer behandling. Article 20 lister opp seks rettslige grunnlag: samtykke, kontraktoppfyllelse, rettslig forpliktelse, vitale interesser, offentlig oppgave og berettiget interesse. For de fleste informasjonskapsel- og sporingsaktiviteter er imidlertid kun samtykke realistisk tilgjengelig, ettersom unntaket for streng nødvendighet for informasjonskapsler som er nødvendige for å levere en tjeneste brukeren ba om, er smalt og ikke strekker seg til annonsering eller analyse.

Unntaket for streng nødvendighet

Sesjonsinformasjonskapsler, innloggingsinformasjonskapsler, språkpreferanseinformasjonskapsler og handlekurvinformasjonskapsler faller under kontraktoppfyllelse eller berettiget interesse med svært lav risiko. De krever ikke eksplisitt samtykke, selv om kategoriene fortsatt må oppgis i personvernerklæringen. Alt annet — analyse, annonsering, remarketing, tredjeparts piksler, fingeravtrykk — krever Article 22-samtykke.

Barns data

Article 25 krever foreldresamtykke for all behandling av registrerte under 18 år. Dette er strengere enn GDPRs standard for digitalt samtykkealder på 16 (som medlemsstater kan senke til 13). En utgiver som kjører barnerelatert innhold på Bahasa Indonesia bør behandle terskelen som 18 år og konfigurere en verifisering for foreldresamtykke, ikke en egenerklæringsboks.

Grenseoverskridende dataoverføringer

Article 56 regulerer overføring av personopplysninger utenfor Indonesia. En behandlingsansvarlig kan kun overføre data til et annet land hvis minst én av tre betingelser er oppfylt: destinasjonslandet har et tilstrekkelig nivå av personopplysningsbeskyttelse sammenlignbart med UU PDP, det er hensiktsmessige garantier på plass, eller den registrerte har gitt eksplisitt samtykke til overføringen.

Indonesias departement for kommunikasjon og informatikk (Kominfo) har ennå ikke publisert en tilstrekkelighetsliste. I praksis stoler utgivere som overfører data til GDPR-jurisdiksjoner, til USA, til Singapore eller til Australia på hensiktsmessige garantier — vanligvis standard kontraktsklausuler tilpasset UU PDP, med en bindende klausul om at nedstrøms underdatabehandlere respekterer UU PDP-rettigheter. For adtech-leverandører som opererer fra flere regioner, må din databehandlingsavtale spesifisere hvilke regioner som håndterer indonesiske brukerdata og hvilke garantier som gjelder på hvert trinn.

De registrertes rettigheter og 72-timersvinduet

UU PDP gir indonesiske registrerte rettigheter som ligner nøye på GDPRs: innsyn, retting, sletting, innsigelse mot behandling, dataportabilitet og retten til å utfordre automatiserte avgjørelser. To spesifikke punkter er viktige for utgivere.

For det første krever Article 30 at behandlingsansvarlig svarer på en rettighetsforespørsel innen rimelig tid, som gjennomføringsforordningen har satt til tre arbeidsdager for bekreftelse og maksimalt fjorten arbeidsdager for substansiell respons. Dette er raskere enn GDPRs standardfrist på én måned.

For det andre krever Article 46 varsling om et brudd på personopplysningssikkerheten til de berørte registrerte og til Datatilsynsmyndigheten innen 3 x 24 timer — det vil si 72 timer fra behandlingsansvarlig blir kjent med bruddet. Klokken starter når behandlingsansvarlig har bekreftet bruddet, ikke da det kunne ha blitt oppdaget.

Sanksjoner og nylig håndhevelse

UU PDPs sanksjonssystem har mer substans enn mange utgivere opprinnelig erkjente. Article 57 gir mulighet for administrative sanksjoner på opptil 2% av årlig omsetning. Article 67 to 73 gir mulighet for strafferettslige sanksjoner på opptil seks års fengsel og bøter på opptil 6 milliarder rupiah for de mest alvorlige overtredelsene, inkludert ulovlig innsamling av personopplysninger og ulovlig utlevering.

Gjennom 2025 befant håndhevelsen seg i en myk oppstartsfase, med Kominfo som utstedte advarsler og korrigerende pålegg i stedet for bøter. Den fasen avsluttet tidlig i 2026. Den første store administrative sanksjonen under UU PDP — utstedt til en innenlandsk e-handelsoperatør i mars 2026 for utilstrekkelig bruddmelding og manglende foreldresamtykke på en produktlinje rettet mot mindreårige — satte en klar markør om at håndhevelsen nå er aktiv.

Slik ser et etterlevende utgiversbanner ut

For en utgiver som betjener indonesisk trafikk i 2026, er den praktiske konfigurasjonen:

Lokaliser banneret til Bahasa Indonesia

Kravet om informert samtykke i Article 22 er ikke oppfylt av et engelskspråklig banner vist til en Bahasa-talende bruker. CMP-en må oppdage indonesiske brukere — via geolokasjon, IP eller Accept-Language-header — og levere banneret, personvernerklæringen og de detaljerte kontrollene på Bahasa Indonesia.

Behandle samtykke som kun opt-in

Ingen sporings-, annonse- eller analyseskript kan aktiveres før brukeren eksplisitt har godtatt. Forhåndsavmerkede kategorier, implisitt samtykke fra fortsatt surfing og «ved å bruke dette nettstedet godtar du»-varsler er alle ikke-etterlevende.

Oppretthold dokumenterte samtykkelogger

Article 22(3) er eksplisitt: behandlingsansvarlig må kunne fremlegge bevis. En samtykklogg som knytter en brukeridentifikator til et tidsstempel, versjonen av banneret som ble vist og valgene som ble gjort, er dokumentet Kominfo vil be om i enhver revisjon eller klageundersøkelse.

Gjør tilbaketrekking genuint likeverdig

Et vedvarende flytende samtykkesymbol, ett-klikks avvisning på siden for personvernpreferanser, eller en tydelig avmelding i en e-post for datainnsamling — hver er en rimelig implementering. En skjult lenke i en personvernerklæring på 4000 ord er ikke det.

Å samle det hele

UU PDP er ikke en GDPR-klone, men den er nær nok til at utgivere med modne europeiske etterlevelsesprogrammer kan utvide sin eksisterende samtykkeinfrastruktur til Indonesia med målrettede justeringer: Bahasa-lokalisering, en aldersgrense på 18 år for foreldresamtykke, 72-timers bruddvarsel og standard kontraktsklausuler som eksplisitt dekker UU PDP. Utgivere uten den infrastrukturen bør behandle UU PDP som utløseren for å bygge den. Indonesisk håndhevelse er nå aktiv, og kostnadene for utbedring etter at en Kominfo-undersøkelse begynner, er konsekvent høyere enn kostnadene for å få banneret riktig før lansering.