Consimțământ cookie UU PDP Indonesia: Ghid de conformitate pentru editori
Indonezia este al patrulea cel mai mare piață de internet din lume. Pentru orice editor care furnizează conținut celor 215 milioane de utilizatori online ai săi, Legea privind protecția datelor cu caracter personal a țării — Undang-Undang Pelindungan Data Pribadi, sau UU PDP — este acum cel mai important aspect de conformitate de respectat corect. Promulgată în octombrie 2022 și pe deplin aplicabilă din octombrie 2024 după închiderea ferestrei de tranziție de doi ani, UU PDP este modelată îndeaproape după GDPR, dar introduce propriul format specific de consimțământ, obligații ale operatorului și regim de penalități. Acest ghid prezintă editorilor cerințele UU PDP, unde aceasta diferă de obiceiurile GDPR și cum să configureze un banner de consimțământ care satisface autoritățile de reglementare indoneziene.
Ce acoperă UU PDP și cine este vizat
UU PDP este primul statut cuprinzător al Indoneziei privind protecția datelor cu caracter personal. Înainte de adoptarea sa, regulile de protecție a datelor din Indonezia erau dispersate în reglementări sectoriale — bancar, telecomunicații, comerț electronic, sisteme electronice. UU PDP le consolidează într-un singur regim orizontal care se aplică oricărui operator sau procesator care gestionează datele cu caracter personal ale persoanelor vizate din Indonezia, indiferent de unde este stabilit operatorul.
Această rază de acțiune extrateritorială este faptul cel mai important pentru editorii străini. Un editor cu sediul în SUA, UE sau Singapore care furnizează conținut utilizatorilor localizați fizic în Indonezia este vizat de UU PDP. Testul de prezență este funcțional, nu formal: dacă operatorul vizează utilizatori indonezieni — prin conținut în Bahasa Indonesia, opțiuni de plată indoneziene sau publicitate direcționată geografic — UU PDP se aplică integral.
Standardul de consimțământ în temeiul Article 22
Article 22 din UU PDP definește consimțământul și constituie piatra de temelie a oricărui banner de cookie-uri vizând traficul indonezian. Articolul impune ca consimțământul să fie:
- Explicit — tăcerea, casetele pre-bifate și utilizarea continuă a site-ului nu constituie consimțământ. Utilizatorul trebuie să efectueze o acțiune pozitivă.
- Specific — consimțământul trebuie legat de un scop de prelucrare definit. Un singur buton Acceptați tot care acoperă zece scopuri diferite este extrem de vulnerabil.
- Informat — persoana vizată trebuie să primească, înainte de acordarea consimțământului, identitatea operatorului, categoriile de date, scopurile, perioada de stocare, destinatarii și drepturile sale.
- Documentat în scris sau înregistrat electronic — Article 22(3) impune ca operatorul să poată dovedi consimțământul. Un jurnal de consimțământ cu marcaj temporal asociat unui identificator de utilizator codificat hash satisface această cerință; o afirmație vagă că utilizatorul a apăsat Acceptare nu.
- Revocabil în condiții echivalente — retragerea trebuie să fie la fel de ușoară ca acordarea inițială. O cale de respingere care necesită trei clicuri în timp ce acceptarea necesită unul nu este conformă.
Practicienii vor recunoaște aceste cerințe: ele corespund aproape unu-la-unu cu Article 7 din GDPR. Diferențele sunt în domeniu de aplicare și aplicare, nu în concept.
Temeiuri juridice dincolo de consimțământ
Ca și GDPR, UU PDP recunoaște temeiuri juridice altele decât consimțământul pentru unele prelucrări. Article 20 enumeră șase temeiuri juridice: consimțământ, executarea unui contract, obligație legală, interes vital, sarcină publică și interes legitim. Pentru majoritatea activităților de cookie-uri și urmărire, totuși, numai consimțământul este disponibil în mod realist, deoarece excluderea de necesitate strictă pentru cookie-urile esențiale furnizării unui serviciu solicitat de utilizator este restrânsă și nu se extinde la publicitate sau analize.
Excluderea de necesitate strictă
Cookie-urile de sesiune, cookie-urile de autentificare, cookie-urile de preferință de limbă și cookie-urile de coș de cumpărături se încadrează în executarea contractului sau interesul legitim cu risc foarte scăzut. Nu necesită consimțământ explicit, deși categoriile lor trebuie divulgate în continuare în notificarea de confidențialitate. Altceva — analize, publicitate, retargeting, pixeli terți, amprente digitale — necesită consimțământul din Article 22.
Datele copiilor
Article 25 impune consimțământul parental pentru orice prelucrare a persoanelor vizate cu vârsta sub 18 ani. Aceasta este mai strictă decât vârsta implicită de consimțământ digital a GDPR de 16 ani (pe care statele membre o pot reduce la 13). Un editor care rulează conținut orientat spre copii în Bahasa Indonesia ar trebui să trateze pragul ca 18 ani și să configureze un flux de verificare parentală, nu o casetă de auto-declarare.
Transferuri transfrontaliere de date
Article 56 reglementează transferul datelor cu caracter personal în afara Indoneziei. Un operator poate transfera date într-o altă țară numai dacă cel puțin una dintre trei condiții este îndeplinită: țara de destinație are un nivel adecvat de protecție a datelor cu caracter personal comparabil cu UU PDP, există garanții adecvate sau persoana vizată și-a dat consimțământul explicit pentru transfer.
Ministerul indonezian al Comunicațiilor și Informației (Kominfo) nu a publicat încă o listă de adecvare. În practică, editorii care transferă date în jurisdicții GDPR, în Statele Unite, în Singapore sau în Australia se bazează pe garanții adecvate — de obicei clauze contractuale standard adaptate la UU PDP, cu o clauză obligatorie că sub-procesatorii din aval respectă drepturile UU PDP. Pentru furnizorii de tehnologie publicitară care operează din mai multe regiuni, acordul de prelucrare a datelor trebuie să specifice care regiuni gestionează datele utilizatorilor indonezieni și ce garanții se aplică la fiecare etapă.
Drepturile persoanelor vizate și fereastra de 72 de ore
UU PDP acordă persoanelor vizate indoneziene drepturi care se aseamănă îndeaproape cu cele din GDPR: acces, rectificare, ștergere, obiecție față de prelucrare, portabilitatea datelor și dreptul de a contesta deciziile automatizate. Două aspecte specifice contează pentru editori.
În primul rând, Article 30 impune ca operatorul să răspundă la o cerere de drepturi într-un termen rezonabil, pe care regulamentul de punere în aplicare l-a stabilit la trei zile lucrătoare pentru confirmare și maximum paisprezece zile lucrătoare pentru răspuns substanțial. Aceasta este mai rapidă decât termenul implicit de o lună al GDPR.
În al doilea rând, Article 46 impune notificarea unei încălcări a datelor cu caracter personal persoanelor vizate afectate și Autorității de Protecție a Datelor cu Caracter Personal în termen de 3 x 24 ore — adică 72 de ore de la momentul în care operatorul a luat cunoștință de încălcare. Cronometrul începe când operatorul a confirmat încălcarea, nu când ar fi putut să o detecteze.
Penalități și aplicare recentă
Regimul de penalități al UU PDP are mai multă substanță decât mulți editori au recunoscut inițial. Article 57 prevede sancțiuni administrative de până la 2% din venitul anual. Article 67 to 73 prevede sancțiuni penale de până la șase ani de închisoare și amenzi de până la 6 miliarde de rupiah pentru cele mai grave încălcări, inclusiv colectarea ilegală de date cu caracter personal și divulgarea ilegală.
De-a lungul anului 2025, aplicarea se afla într-o fază de lansare blândă, Kominfo emitând scrisori de avertizare și ordine corective în loc de amenzi. Acea fază s-a încheiat la începutul anului 2026. Prima penalitate administrativă majoră în temeiul UU PDP — emisă unui operator intern de comerț electronic în martie 2026 pentru notificarea inadecvată a încălcării și lipsa consimțământului parental pentru o linie de produse vizând minori — a stabilit un marcaj clar că aplicarea este acum activă.
Cum arată un banner conform al unui editor
Pentru un editor care deservește trafic indonezian în 2026, configurația practică este:
Localizați bannerul în Bahasa Indonesia
Cerința de consimțământ informat din Article 22 nu este satisfăcută de un banner în engleză afișat unui utilizator vorbitor de Bahasa. CMP-ul trebuie să detecteze utilizatorii indonezieni — prin geolocalizare, IP sau antetul Accept-Language — și să servească bannerul, notificarea de confidențialitate și controalele granulare în Bahasa Indonesia.
Tratați consimțământul ca numai opt-in
Niciun script de urmărire, publicitate sau analiză nu poate rula înainte ca utilizatorul să fi acceptat explicit. Categoriile pre-bifate, consimțământul implicit din navigarea continuă și notificările de tip „folosind acest site ești de acord" sunt toate neconforme.
Mențineți jurnale de consimțământ documentate
Article 22(3) este explicit: operatorul trebuie să fie capabil să producă dovezi. Un jurnal de consimțământ care asociază un identificator de utilizator cu un marcaj temporal, versiunea bannerului afișat și alegerile efectuate este documentul pe care Kominfo îl va solicita în orice audit sau investigație de reclamație.
Faceți retragerea cu adevărat echivalentă
O pictogramă de consimțământ flotantă persistentă, o respingere cu un singur clic pe pagina de preferințe de confidențialitate sau o dezabonare clară în orice e-mail de colectare a datelor — fiecare reprezintă o implementare rezonabilă. Un link ascuns într-o politică de confidențialitate de 4000 de cuvinte nu este.
Reunind totul
UU PDP nu este o clonă GDPR, dar este suficient de apropiată pentru ca editorii cu programe europene mature de conformitate să poată extinde infrastructura de consimțământ existentă în Indonezia cu ajustări specifice: localizare Bahasa, un prag de vârstă de 18 ani pentru consimțământul parental, notificarea încălcării în 72 de ore și clauze contractuale standard care acoperă explicit UU PDP. Editorii fără acea infrastructură ar trebui să trateze UU PDP ca declanșatorul pentru a o construi. Aplicarea indonesiană este acum activă, iar costul remedierii după începerea unei investigații Kominfo este uniform mai ridicat decât costul configurării corecte a bannerului înainte de lansare.