Indonezyjskie UU PDP i zgoda na pliki cookie: przewodnik po zgodności dla wydawców
Indonezja jest czwartym co do wielkości rynkiem internetowym na świecie. Dla każdego wydawcy dostarczającego treści 215 milionom użytkowników online, krajowa Ustawa o Ochronie Danych Osobowych — Undang-Undang Pelindungan Data Pribadi, czyli UU PDP — jest teraz najważniejszym aspektem zgodności do prawidłowego wdrożenia. Uchwalona w październiku 2022 roku i w pełni egzekwowana od października 2024 roku po zamknięciu dwuletniego okresu przejściowego, UU PDP jest ściśle wzorowana na GDPR, lecz wprowadza własny specyficzny format zgody, obowiązki administratora i system kar. Niniejszy przewodnik przeprowadza wydawców przez wymagania UU PDP, różnice względem przyzwyczajeń z GDPR oraz sposób konfiguracji banera zgody spełniającego wymagania indonezyjskich regulatorów.
Zakres UU PDP i podmioty objęte regulacją
UU PDP jest pierwszą kompleksową ustawą Indonezji dotyczącą ochrony danych osobowych. Przed jej uchwaleniem przepisy o ochronie danych w Indonezji były rozproszone w regulacjach sektorowych — bankowych, telekomunikacyjnych, e-commerce i systemów elektronicznych. UU PDP konsoliduje je w jeden horyzontalny reżim mający zastosowanie do każdego administratora lub podmiotu przetwarzającego dane osobowe indonezyjskich osób, których dane dotyczą, niezależnie od miejsca siedziby administratora.
Ten eksterytorialny zasięg jest najważniejszym faktem dla zagranicznych wydawców. Wydawca mający siedzibę w USA, UE lub Singapurze, dostarczający treści użytkownikom fizycznie znajdującym się w Indonezji, podlega UU PDP. Test obecności jest funkcjonalny, nie formalny: jeśli administrator kieruje swoje działania do indonezyjskich użytkowników — poprzez treści w Bahasa Indonesia, indonezyjskie opcje płatności lub geograficznie ukierunkowane reklamy — UU PDP stosuje się w pełnym zakresie.
Standard zgody na podstawie Article 22
Article 22 UU PDP definiuje zgodę i stanowi fundament każdego banera plików cookie skierowanego do indonezyjskiego ruchu. Artykuł wymaga, aby zgoda była:
- Wyraźna — milczenie, wstępnie zaznaczone pola i dalsze korzystanie z witryny nie stanowią zgody. Użytkownik musi podjąć pozytywne działanie.
- Konkretna — zgoda musi być powiązana z określonym celem przetwarzania. Jeden przycisk Zaakceptuj wszystko obejmujący dziesięć różnych celów jest bardzo podatny na zarzuty.
- Świadoma — przed wyrażeniem zgody osoba, której dane dotyczą, musi otrzymać tożsamość administratora, kategorie danych, cele, okres przechowywania, odbiorców i przysługujące jej prawa.
- Udokumentowana na piśmie lub zarejestrowana elektronicznie — Article 22(3) wymaga, aby administrator mógł udowodnić udzielenie zgody. Dziennik zgód z sygnaturą czasową powiązany z zahashowanym identyfikatorem użytkownika spełnia ten wymóg; niejasne twierdzenie, że użytkownik kliknął Akceptuj, nie wystarczy.
- Odwoływalna na równoważnych warunkach — wycofanie zgody musi być równie łatwe jak jej udzielenie. Ścieżka odmowy wymagająca trzech kliknięć przy jednym kliknięciu dla akceptacji nie spełnia wymogów.
Praktycy rozpoznają te wymagania: odpowiadają one niemal jeden do jednego z Article 7 GDPR. Różnice dotyczą zakresu i egzekwowania, nie koncepcji.
Podstawy prawne poza zgodą
Podobnie jak GDPR, UU PDP uznaje podstawy prawne inne niż zgoda dla niektórych rodzajów przetwarzania. Article 20 wymienia sześć podstaw prawnych: zgoda, wykonanie umowy, obowiązek prawny, żywotny interes, zadanie publiczne i uzasadniony interes. Jednak w przypadku większości działań związanych z plikami cookie i śledzeniem jedyną realistycznie dostępną podstawą jest zgoda, ponieważ wyjątek ścisłej konieczności dla plików cookie niezbędnych do świadczenia usługi żądanej przez użytkownika jest wąski i nie obejmuje reklamy ani analityki.
Wyjątek ścisłej konieczności
Pliki cookie sesji, pliki cookie logowania, pliki cookie preferencji językowych i pliki cookie koszyka zakupowego wchodzą w zakres wykonania umowy lub uzasadnionego interesu przy bardzo niskim ryzyku. Nie wymagają wyraźnej zgody, choć ich kategorie muszą być ujawnione w polityce prywatności. Wszystko inne — analityka, reklama, retargeting, piksele stron trzecich, fingerprinting — wymaga zgody na podstawie Article 22.
Dane dzieci
Article 25 wymaga zgody rodziców na przetwarzanie danych osób, których dane dotyczą, poniżej 18 roku życia. Jest to surowsze niż domyślny wiek zgody cyfrowej w GDPR wynoszący 16 lat (który państwa członkowskie mogą obniżyć do 13). Wydawca prowadzący treści skierowane do dzieci w Bahasa Indonesia powinien traktować próg jako 18 lat i skonfigurować proces weryfikacji rodzicielskiej, nie pole wyboru samodeklaracji.
Transgraniczne transfery danych
Article 56 reguluje przekazywanie danych osobowych poza granice Indonezji. Administrator może przekazać dane do innego kraju tylko wtedy, gdy spełniony jest co najmniej jeden z trzech warunków: kraj docelowy zapewnia odpowiedni poziom ochrony danych osobowych porównywalny z UU PDP, istnieją odpowiednie zabezpieczenia lub osoba, której dane dotyczą, wyraziła wyraźną zgodę na transfer.
Indonezyjskie Ministerstwo Komunikacji i Informatyki (Kominfo) nie opublikowało jeszcze listy adekwatności. W praktyce wydawcy przekazujący dane do jurysdykcji GDPR, do Stanów Zjednoczonych, Singapuru lub Australii polegają na odpowiednich zabezpieczeniach — zazwyczaj standardowych klauzulach umownych dostosowanych do UU PDP, z wiążącą klauzulą, że podpodmiotom przetwarzającym dane będącym dalszymi odbiorcami obowiązuje poszanowanie praw UU PDP. W przypadku dostawców adtech działających z wielu regionów, umowa o przetwarzanie danych musi określać, które regiony obsługują dane indonezyjskich użytkowników i jakie zabezpieczenia stosuje się na każdym etapie.
Prawa osób, których dane dotyczą, i okno 72-godzinne
UU PDP przyznaje indonezyjskim osobom, których dane dotyczą, prawa ściśle przypominające prawa z GDPR: dostęp, sprostowanie, usunięcie, sprzeciw wobec przetwarzania, przenoszenie danych i prawo do kwestionowania zautomatyzowanych decyzji. Dla wydawców istotne są dwa szczegółowe aspekty.
Po pierwsze, Article 30 wymaga, aby administrator odpowiedział na wniosek dotyczący praw w rozsądnym terminie, który rozporządzenie wykonawcze ustaliło na trzy dni robocze dla potwierdzenia odbioru i maksymalnie czternaście dni roboczych dla merytorycznej odpowiedzi. Jest to szybsze niż domyślny miesięczny termin GDPR.
Po drugie, Article 46 wymaga powiadomienia o naruszeniu danych osobowych poszkodowanych osób, których dane dotyczą, oraz Organu Ochrony Danych Osobowych w ciągu 3 x 24 godzin — tzn. 72 godzin od momentu, gdy administrator dowiedział się o naruszeniu. Czas zaczyna biec, gdy administrator potwierdził naruszenie, nie wtedy, gdy mógł je wykryć.
Kary i niedawne egzekwowanie
System kar UU PDP ma więcej zębów, niż wielu wydawców początkowo uznawało. Article 57 przewiduje sankcje administracyjne do 2% rocznych przychodów. Article 67 to 73 przewiduje sankcje karne do sześciu lat pozbawienia wolności i grzywny do 6 miliardów rupiah za najpoważniejsze naruszenia, w tym bezprawne gromadzenie danych osobowych i bezprawne ujawnienie.
Do 2025 roku egzekwowanie przepisów znajdowało się w fazie miękkiego startu, a Kominfo wydawało ostrzeżenia i nakazy naprawcze zamiast kar. Ta faza zakończyła się na początku 2026 roku. Pierwsza poważna kara administracyjna na podstawie UU PDP — nałożona na krajowego operatora e-commerce w marcu 2026 roku za niewystarczające powiadomienie o naruszeniu i brak zgody rodziców na linię produktów skierowaną do nieletnich — wyraźnie zaznaczyła, że egzekwowanie jest teraz aktywne.
Jak wygląda zgodny baner wydawcy
Dla wydawcy obsługującego indonezyjski ruch w 2026 roku, praktyczna konfiguracja to:
Zlokalizuj baner do Bahasa Indonesia
Wymóg świadomej zgody z Article 22 nie jest spełniony przez anglojęzyczny baner wyświetlany użytkownikowi posługującemu się językiem Bahasa. CMP musi wykrywać indonezyjskich użytkowników — poprzez geolokalizację, IP lub nagłówek Accept-Language — i serwować baner, politykę prywatności oraz szczegółowe kontrole w Bahasa Indonesia.
Traktuj zgodę jako wyłącznie opt-in
Żadne skrypty śledzące, reklamowe ani analityczne nie mogą być uruchamiane przed wyraźną akceptacją przez użytkownika. Wstępnie zaznaczone kategorie, domniemana zgoda wynikająca z kontynuowanego przeglądania i powiadomienia w stylu „korzystając z tej witryny, zgadzasz się" — wszystkie są niezgodne.
Prowadź udokumentowane dzienniki zgód
Article 22(3) jest jednoznaczny: administrator musi być w stanie przedstawić dowody. Dziennik zgód powiązujący identyfikator użytkownika z sygnaturą czasową, wersją wyświetlonego banera i dokonanymi wyborami jest dokumentem, który Kominfo zażąda podczas każdego audytu lub dochodzenia skargowego.
Spraw, by wycofanie było rzeczywiście równoważne
Stała pływająca ikona zgody, jednoklinkowe odrzucenie na stronie preferencji prywatności lub wyraźna opcja rezygnacji w każdej wiadomości e-mail zbierającej dane — każde z nich stanowi rozsądną implementację. Ukryty link w polityce prywatności liczącej 4000 słów nie spełnia tego warunku.
Podsumowanie
UU PDP nie jest klonem GDPR, ale jest wystarczająco zbliżone, że wydawcy z dojrzałymi europejskimi programami zgodności mogą rozszerzyć istniejącą infrastrukturę zgód na Indonezję przy ukierunkowanych dostosowaniach: lokalizacja Bahasa, próg wiekowy 18 lat dla zgody rodziców, 72-godzinne powiadomienie o naruszeniu i standardowe klauzule umowne wyraźnie obejmujące UU PDP. Wydawcy bez takiej infrastruktury powinni traktować UU PDP jako impuls do jej zbudowania. Indonezyjskie egzekwowanie jest teraz aktywne, a koszty naprawy po wszczęciu dochodzenia Kominfo są jednolicie wyższe niż koszty prawidłowego ustawienia banera przed uruchomieniem.