Соответствие14 июня 2026 | FlexyConsent

Согласие на cookie в Индонезии UU PDP: руководство по соответствию для издателей

Индонезия — четвёртый по величине интернет-рынок в мире. Для любого издателя, обслуживающего контент своим 215 миллионам онлайн-пользователей, Закон страны о защите персональных данных — Undang-Undang Pelindungan Data Pribadi, или UU PDP — теперь является самым важным элементом соответствия, который нужно сделать правильно. Принятый в октябре 2022 года и полностью применимый с октября 2024 года после закрытия двухлетнего переходного окна, UU PDP близко смоделирован по GDPR, но вводит свой собственный конкретный формат согласия, обязательства контроллера и режим наказаний. Это руководство проводит издателей через то, что требует UU PDP, где он расходится с привычками GDPR, и как настроить баннер согласия, который удовлетворяет индонезийских регуляторов.

Что охватывает UU PDP и кто попадает под него

UU PDP — это первый всеобъемлющий статут защиты персональных данных Индонезии. До его принятия правила защиты данных в Индонезии были разбросаны по секторальным регуляциям — банкинг, телеком, электронная коммерция, электронные системы. UU PDP консолидирует их в единый горизонтальный режим, который применяется к любому контроллеру или обработчику, обрабатывающему персональные данные индонезийских субъектов данных, независимо от того, где учреждён контроллер.

Этот экстерриториальный охват — самый важный факт для иностранных издателей. Издатель из США, ЕС или Сингапура, обслуживающий контент пользователям, физически расположенным в Индонезии, попадает под UU PDP. Тест присутствия функциональный, а не формальный: если контроллер таргетирует индонезийских пользователей — через контент на бахаса индонезия, индонезийские опции оплаты или геотаргетированную рекламу — UU PDP применяется полностью.

Стандарт согласия согласно статье 22

Статья 22 UU PDP определяет согласие и является краеугольным камнем любого баннера cookie, нацеленного на индонезийский трафик. Статья требует, чтобы согласие было:

Явным — молчание, заранее отмеченные флажки и продолжение использования сайта не составляют согласия. Пользователь должен совершить положительное действие.
Конкретным — согласие должно быть привязано к определённой цели обработки. Единственная кнопка Принять всё, охватывающая десять разных целей, крайне уязвима.
Информированным — субъект данных должен получить, до согласия, идентичность контроллера, категории данных, цели, период хранения, получателей и свои права.
Документированным письменно или записанным электронно — Статья 22(3) требует, чтобы контроллер мог доказать согласие. Временной лог согласия, сопоставленный с хешированным идентификатором пользователя, удовлетворяет это требование; расплывчатое утверждение, что пользователь нажал Принять, нет.
Отзываемым на эквивалентных условиях — отзыв должен быть так же лёгок, как первоначальное предоставление. Путь отказа, занимающий три клика, тогда как принятие занимает один, не является соответствующим.

Практики узнают эти требования: они сопоставляются почти один-к-одному со Статьёй 7 GDPR. Различия в охвате и правоприменении, а не в концепции.

Правовые основания помимо согласия

Как и GDPR, UU PDP признаёт правовые основания, кроме согласия, для некоторой обработки. Статья 20 перечисляет шесть правовых оснований: согласие, исполнение контракта, правовое обязательство, жизненный интерес, общественная задача и законный интерес. Однако для большинства активности cookie и отслеживания реалистично доступно только согласие, поскольку узкое исключение строгой необходимости для cookie, существенных для предоставления услуги, запрошенной пользователем, не распространяется на рекламу или аналитику.

Исключение строгой необходимости

Сеансовые cookie, cookie входа, cookie языковых предпочтений и cookie корзины покупок попадают под исполнение контракта или законный интерес с очень низким риском. Они не требуют явного согласия, хотя их категории всё ещё должны быть раскрыты в уведомлении о конфиденциальности. Всё остальное — аналитика, реклама, ретаргетинг, сторонние пиксели, фингерпринтинг — требует согласия по Статье 22.

Данные детей

Статья 25 требует родительского согласия для любой обработки субъектов данных младше 18 лет. Это строже, чем стандарт возраста цифрового согласия GDPR в 16 лет (который страны-члены могут понижать до 13). Издатель, запускающий ориентированный на детей контент на бахаса индонезия, должен относиться к порогу как к 18 и настроить поток родительской верификации, а не флажок самодекларации.

Трансграничные передачи данных

Статья 56 регулирует передачу персональных данных за пределы Индонезии. Контроллер может передавать данные в другую страну только если выполнено хотя бы одно из трёх условий: страна назначения имеет адекватный уровень защиты персональных данных, сопоставимый с UU PDP, есть соответствующие гарантии, или субъект данных дал явное согласие на передачу.

Индонезийское Министерство коммуникаций и информатики (Kominfo) ещё не опубликовало список адекватности. На практике издатели, передающие данные в юрисдикции GDPR, в США, в Сингапур или в Австралию, опираются на соответствующие гарантии — обычно стандартные договорные положения, адаптированные к UU PDP, с обязательным положением, что нижестоящие суб-обработчики соблюдают права UU PDP. Для поставщиков ad-tech, работающих из нескольких регионов, ваше соглашение об обработке данных должно указывать, какие регионы обрабатывают данные индонезийских пользователей и какие гарантии применяются на каждом шаге.

Права субъекта данных и окно в 72 часа

UU PDP предоставляет индонезийским субъектам данных права, близко напоминающие права GDPR: доступ, исправление, удаление, возражение против обработки, переносимость данных и право оспаривать автоматизированные решения. Две конкретики имеют значение для издателей.

Во-первых, Статья 30 требует, чтобы контроллер отвечал на запрос прав в течение разумного времени, которое внедряющая регуляция установила в три рабочих дня для подтверждения и максимум четырнадцать рабочих дней для содержательного ответа. Это быстрее стандарта GDPR в один месяц.

Во-вторых, Статья 46 требует уведомления о нарушении персональных данных затронутым субъектам данных и Органу защиты персональных данных в течение 3 x 24 часов — то есть 72 часа с момента, как контроллер узнал о нарушении. Часы начинаются, когда контроллер подтвердил нарушение, а не когда он мог его обнаружить.

Наказания и недавнее правоприменение

Режим наказаний UU PDP имеет больше зубов, чем многие издатели изначально признали. Статья 57 предусматривает административные санкции до 2% годового дохода. Статьи 67-73 предусматривают уголовные санкции до шести лет лишения свободы и штрафы до 6 миллиардов рупий за самые серьёзные нарушения, включая незаконный сбор персональных данных и незаконное раскрытие.

В течение 2025 года правоприменение было в фазе мягкого запуска, с Kominfo, выдававшим предупредительные письма и корректирующие приказы, а не штрафы. Эта фаза закончилась в начале 2026 года. Первое крупное административное наказание по UU PDP — выданное отечественному оператору электронной коммерции в марте 2026 года за неадекватное уведомление о нарушении и отсутствие родительского согласия на линейке продуктов, нацеленной на несовершеннолетних — установило ясный маркер, что правоприменение теперь активно.

Как выглядит соответствующий баннер издателя

Для издателя, обслуживающего индонезийский трафик в 2026 году, практическая конфигурация:

Локализуйте баннер на бахаса индонезия

Требование информированного согласия Статьи 22 не удовлетворяется англоязычным баннером, показанным пользователю, говорящему на бахаса. CMP должна выявлять индонезийских пользователей — по геолокации, IP или заголовку Accept-Language — и обслуживать баннер, уведомление о конфиденциальности и гранулярные элементы управления на бахаса индонезия.

Относитесь к согласию как только к opt-in

Никакие скрипты отслеживания, рекламы или аналитики не могут срабатывать до того, как пользователь явно принял. Заранее отмеченные категории, молчаливое согласие от продолжения просмотра и уведомления «используя этот сайт, вы соглашаетесь» — все несоответствующие.

Поддерживайте документированные логи согласия

Статья 22(3) явная: контроллер должен иметь возможность представить доказательства. Лог согласия, сопоставляющий идентификатор пользователя с временной меткой, версией показанного баннера и сделанными выборами — это документ, который Kominfo запросит в любом аудите или расследовании жалобы.

Сделайте отзыв действительно эквивалентным

Постоянный плавающий значок согласия, отказ в один клик на странице предпочтений конфиденциальности или ясная отписка в любом email, собирающем данные — каждое является разумной реализацией. Закопанная ссылка в политике конфиденциальности из 4000 слов — нет.

Собирая всё вместе

UU PDP — не клон GDPR, но он достаточно близок, что издатели со зрелыми европейскими программами соответствия могут расширить свою существующую инфраструктуру согласия на Индонезию с целевыми корректировками: локализация на бахаса, 18-летний порог возраста для родительского согласия, 72-часовое уведомление о нарушении и стандартные договорные положения, явно охватывающие UU PDP. Издатели без этой инфраструктуры должны относиться к UU PDP как к триггеру для её построения. Индонезийское правоприменение теперь активно, и стоимость исправления после начала расследования Kominfo равномерно выше стоимости правильной настройки баннера до запуска.