Čo UU PDP pokrýva a na koho sa vzťahuje

UU PDP je prvý komplexný indonézsky štatút o ochrane osobných údajov. Pred jeho prijatím boli pravidlá ochrany údajov v Indonézii rozptýlené v sektorových predpisoch — bankovníctvo, telekomunikácie, elektronický obchod, elektronické systémy. UU PDP ich konsoliduje do jedného horizontálneho režimu, ktorý sa vzťahuje na každého prevádzkovateľa alebo sprostredkovateľa spracúvajúceho osobné údaje indonézskych dotknutých osôb, bez ohľadu na to, kde je prevádzkovateľ usadený.

Tento extrateritoriálny dosah je najdôležitejšou skutočnosťou pre zahraničných vydavateľov. Vydavateľ so sídlom v USA, EÚ alebo Singapure, ktorý dodáva obsah používateľom fyzicky sa nachádzajúcim v Indonézii, podlieha UU PDP. Test prítomnosti je funkčný, nie formálny: ak prevádzkovateľ cieli na indonézskych používateľov — prostredníctvom obsahu v Bahasa Indonesia, indonézskych možností platby alebo geograficky cielenej reklamy — UU PDP sa uplatňuje v plnom rozsahu.

Štandard súhlasu podľa Article 22

Article 22 UU PDP definuje súhlas a je základným kameňom každého banera so súbormi cookie zameraného na indonézsku prevádzku. Článok vyžaduje, aby súhlas bol:

• Výslovný — ticho, vopred zaškrtnuté políčka a nepretržité používanie stránky nepredstavujú súhlas. Používateľ musí vykonať pozitívny úkon.
• Konkrétny — súhlas musí byť viazaný na definovaný účel spracúvania. Jediné tlačidlo Prijať všetko pokrývajúce desať rôznych účelov je veľmi zraniteľné.
• Informovaný — dotknutá osoba musí pred udelením súhlasu obdržať totožnosť prevádzkovateľa, kategórie údajov, účely, dobu uchovávania, príjemcov a ich práva.
• Zdokumentovaný písomne alebo zaznamenaný elektronicky — Article 22(3) vyžaduje, aby prevádzkovateľ vedel preukázať súhlas. Denník súhlasov s časovou pečiatkou priradený k zahashovanému identifikátoru používateľa spĺňa túto požiadavku; vágne tvrdenie, že používateľ klikol na Prijať, nestačí.
• Odvolateľný za rovnocenných podmienok — stiahnutie musí byť rovnako ľahké ako pôvodné udelenie. Cesta odmietnutia vyžadujúca tri kliknutia, keď akceptácia vyžaduje jedno, nie je v súlade.

Odborníci tieto požiadavky spoznajú: zodpovedajú takmer jeden k jednému Article 7 GDPR. Rozdiely sú v rozsahu a presadzovaní, nie v koncepcii.

Právne základy mimo súhlasu

Rovnako ako GDPR, UU PDP uznáva iné právne základy ako súhlas pre niektoré spracúvanie. Article 20 uvádza šesť právnych základov: súhlas, plnenie zmluvy, zákonná povinnosť, životné záujmy, verejná úloha a oprávnené záujmy. Pre väčšinu aktivít so súbormi cookie a sledovaním je však realisticky dostupný iba súhlas, pretože výnimka prísnej nevyhnutnosti pre súbory cookie, ktoré sú nevyhnutné na poskytovanie služby, ktorú používateľ požadoval, je úzka a nevzťahuje sa na reklamu ani analytiku.

Výnimka prísnej nevyhnutnosti

Súbory cookie relácie, prihlasovacie súbory cookie, súbory cookie jazykových preferencií a súbory cookie nákupného košíka patria pod plnenie zmluvy alebo oprávnené záujmy s veľmi nízkym rizikom. Nevyžadujú výslovný súhlas, hoci ich kategórie musia byť naďalej zverejnené v oznámení o ochrane súkromia. Všetko ostatné — analytika, reklama, retargeting, pixely tretích strán, odtlačky prstov — vyžaduje súhlas podľa Article 22.

Údaje detí

Article 25 vyžaduje rodičovský súhlas pre akékoľvek spracúvanie dotknutých osôb mladších ako 18 rokov. To je prísnejšie ako predvolený vek digitálneho súhlasu GDPR 16 rokov (ktorý členské štáty môžu znížiť na 13). Vydavateľ prevádzkujúci obsah orientovaný na deti v Bahasa Indonesia by mal považovať hranicu za 18 rokov a nakonfigurovať overovací postup rodičovského súhlasu, nie začiarkavacie políčko vlastného prehlásenia.

Cezhraničné prenosy údajov

Article 56 upravuje prenos osobných údajov mimo Indonéziu. Prevádzkovateľ môže prenášať údaje do inej krajiny iba vtedy, keď je splnená aspoň jedna z troch podmienok: cieľová krajina má primeranú úroveň ochrany osobných údajov porovnateľnú s UU PDP, sú zavedené vhodné záruky alebo dotknutá osoba dala výslovný súhlas s prenosom.

Indonézske Ministerstvo komunikácií a informatiky (Kominfo) zatiaľ nezverejnilo zoznam primeranosti. V praxi sa vydavatelia prenášajúci údaje do jurisdikcií GDPR, do Spojených štátov, do Singapuru alebo do Austrálie spoliehajú na vhodné záruky — zvyčajne štandardné zmluvné doložky prispôsobené UU PDP, s záväznou doložkou, že následní sub-sprostredkovatelia rešpektujú práva UU PDP. Pre dodávateľov reklamných technológií pôsobiacich z viacerých regiónov musí vaša zmluva o spracúvaní údajov špecifikovať, ktoré regióny spracúvajú údaje indonézskych používateľov a aké záruky sa uplatňujú na každom stupni.

Práva dotknutých osôb a 72-hodinové okno

UU PDP udeľuje indonézskym dotknutým osobám práva, ktoré sa veľmi podobajú právam GDPR: prístup, oprava, vymazanie, námietka voči spracúvaniu, prenosnosť údajov a právo namietať automatizované rozhodnutia. Dva konkrétne aspekty sú dôležité pre vydavateľov.

Po prvé, Article 30 vyžaduje, aby prevádzkovateľ odpovedal na žiadosť o práva v primeranej lehote, ktorú vykonávací predpis stanovil na tri pracovné dni pre potvrdenie prijatia a maximálne štrnásť pracovných dní pre vecnú odpoveď. To je rýchlejšie ako predvolená mesačná lehota GDPR.

Po druhé, Article 46 vyžaduje oznámenie o porušení osobných údajov dotknutým dotknutým osobám a orgánu ochrany osobných údajov v lehote 3 x 24 hodín — teda 72 hodín od momentu, keď si prevádzkovateľ porušenia uvedomí. Čas začína plynúť, keď prevádzkovateľ potvrdil porušenie, nie keď ho mohol odhaliť.

Sankcie a nedávne presadzovanie

Sankčný režim UU PDP má viac zubov, ako mnohí vydavatelia spočiatku uznávali. Article 57 stanovuje správne sankcie až do výšky 2 % ročných príjmov. Article 67 to 73 stanovuje trestné sankcie až do šiestich rokov odňatia slobody a pokuty až do 6 miliárd rupiah za najzávažnejšie porušenia vrátane nezákonného zberu osobných údajov a nezákonného zverejnenia.

Počas roka 2025 bolo presadzovanie v mäkkej spúšťacej fáze, pričom Kominfo vydávalo varovné listy a nápravné príkazy namiesto pokút. Táto fáza sa skončila začiatkom roka 2026. Prvá veľká správna sankcia podľa UU PDP — vydaná domácemu prevádzkovateľovi elektronického obchodu v marci 2026 za nedostatočné oznámenie porušenia a chýbajúci rodičovský súhlas na produktovej línii zameranej na maloletých — nastavila jasný ukazovateľ, že presadzovanie je teraz aktívne.

Ako vyzerá vyhovujúci vydavateľský banner

Pre vydavateľa obsluhujúceho indonézsku prevádzku v roku 2026 je praktická konfigurácia:

Lokalizovať banner do Bahasa Indonesia

Požiadavka informovaného súhlasu podľa Article 22 nie je splnená anglickým bannerom zobrazeným používateľovi hovoriacemu Bahasa. CMP musí detekovať indonézskych používateľov — prostredníctvom geolokácie, IP adresy alebo hlavičky Accept-Language — a poskytovať banner, oznámenie o ochrane súkromia a podrobné ovládacie prvky v Bahasa Indonesia.

Zaobchádzať so súhlasom iba ako s opt-in

Žiadne sledovacie, reklamné ani analytické skripty sa nesmú spustiť pred tým, ako používateľ výslovne neprijme. Vopred zaškrtnuté kategórie, implicitný súhlas z nepretržitého prehliadania a oznámenia typu „používaním tejto stránky súhlasíte" sú všetky nevyhovujúce.

Udržiavať zdokumentované denníky súhlasov

Article 22(3) je explicitný: prevádzkovateľ musí byť schopný predložiť dôkazy. Denník súhlasov, ktorý priradí identifikátor používateľa k časovej pečiatke, verzii zobrazeného banera a uskutočneným voľbám, je dokument, ktorý Kominfo bude požadovať pri každom audite alebo vyšetrovaní sťažnosti.

Urobiť stiahnutie skutočne rovnocenným

Trvalá plávajúca ikona súhlasu, odmietnutie jedným kliknutím na stránke predvolieb ochrany súkromia alebo jasné odhlásenie v akejkoľvek e-mailovej správe zbierajúcej údaje — každé z toho je rozumnou implementáciou. Skrytý odkaz v 4000-slovnej politike ochrany súkromia nie je.

Zhrnutie

UU PDP nie je klonom GDPR, ale je dostatočne blízky, aby vydavatelia s vyspelými európskymi programami dodržiavania predpisov mohli rozšíriť svoju existujúcu infraštruktúru súhlasov na Indonéziu s cielenými úpravami: lokalizácia Bahasa, veková hranica 18 rokov pre rodičovský súhlas, 72-hodinové oznámenie o porušení a štandardné zmluvné doložky, ktoré výslovne pokrývajú UU PDP. Vydavatelia bez tejto infraštruktúry by mali považovať UU PDP za impulz na jej vybudovanie. Indonézske presadzovanie je teraz aktívne a náklady na nápravu po začatí vyšetrovania Kominfo sú jednotne vyššie ako náklady na správne nastavenie banera pred spustením.