Soglasje za piškotke UU PDP Indonezije: Vodnik za skladnost za založnike
Indonezija je četrto največje internetno tržišče na svetu. Za vsakega založnika, ki zagotavlja vsebino njenim 215 milijonom spletnih uporabnikov, je nacionalni Zakon o varstvu osebnih podatkov — Undang-Undang Pelindungan Data Pribadi, ali UU PDP — zdaj najpomembnejši vidik skladnosti, ki ga je treba pravilno urediti. Sprejet oktobra 2022 in v celoti izvršljiv od oktobra 2024 po zaprtju dveletnega prehodnega obdobja, UU PDP je tesno oblikovan po GDPR, vendar uvaja lastno specifično obliko soglasja, obveznosti upravljavca in sistem sankcij. Ta vodnik vodi založnike skozi zahteve UU PDP, kje se razlikuje od navad GDPR in kako konfigurirati pasico soglasja, ki zadovolji indonezijske regulatorje.
Kaj pokriva UU PDP in na koga se nanaša
UU PDP je prvi celovit indonezijski statut o varstvu osebnih podatkov. Pred njegovo sprejetjem so bila pravila o varstvu podatkov v Indoneziji razpršena po sektorskih predpisih — bančništvo, telekomunikacije, e-trgovina, elektronski sistemi. UU PDP jih združuje v en horizontalni režim, ki se nanaša na vsakega upravljavca ali obdelovalca, ki obdeluje osebne podatke indonezijskih posameznikov, ne glede na to, kje je upravljavec ustanovljen.
To eksteritorialno področje uporabe je najpomembnejše dejstvo za tuje založnike. Založnik s sedežem v ZDA, EU ali Singapurju, ki zagotavlja vsebino uporabnikom, ki se fizično nahajajo v Indoneziji, je zajet z UU PDP. Test prisotnosti je funkcionalen, ne formalen: če upravljavec cilja na indonezijske uporabnike — prek vsebine v Bahasa Indonesia, indonezijskih možnosti plačila ali geografsko ciljano oglaševanje — UU PDP velja v celoti.
Standard soglasja v skladu z Article 22
Article 22 UU PDP opredeljuje soglasje in je temelj vsake pasice s piškotki, namenjene indonezijskemu prometu. Člen zahteva, da je soglasje:
- Izrecno — tišina, vnaprej označena polja in nadaljevanje uporabe spletnega mesta ne pomenijo soglasja. Uporabnik mora opraviti pozitivno dejanje.
- Specifično — soglasje mora biti vezano na določen namen obdelave. En sam gumb Sprejmi vse, ki pokriva deset različnih namenov, je zelo ranljiv.
- Ozaveščeno — posameznik, na katerega se nanašajo osebni podatki, mora pred dajanjem soglasja prejeti istovetnost upravljavca, kategorije podatkov, namene, obdobje hrambe, prejemnike in njihove pravice.
- Dokumentirano pisno ali zabeleženo elektronsko — Article 22(3) zahteva, da upravljavec lahko dokaže soglasje. Dnevnik soglasij s časovnim žigom, preslikan na razpršeni identifikator uporabnika, izpolnjuje to zahtevo; nejasna trditev, da je uporabnik kliknil Sprejmi, ne zadostuje.
- Preklicljivo pod enakovrednimi pogoji — umik mora biti enako enostaven kot prvotna privolitev. Pot zavrnitve, ki zahteva tri klike, medtem ko sprejem zahteva enega, ni skladna.
Strokovnjaki bodo prepoznali te zahteve: skoraj ena-za-ena ustrezajo Article 7 GDPR. Razlike so v obsegu in izvrševanju, ne v konceptu.
Pravne podlage poleg soglasja
Kot GDPR tudi UU PDP za nekatere obdelave priznava pravne podlage, ki niso soglasje. Article 20 navaja šest pravnih podlag: soglasje, izvajanje pogodbe, zakonska obveznost, vitalni interes, javna naloga in zakoniti interes. Za večino dejavnosti s piškotki in sledenjem pa je realistično na voljo le soglasje, ker je izjema stroge nujnosti za piškotke, ki so bistveni za zagotavljanje storitve, ki jo je zahteval uporabnik, ozka in se ne razteza na oglaševanje ali analitiko.
Izjema stroge nujnosti
Sejni piškotki, piškotki za prijavo, piškotki jezikovnih nastavitev in piškotki nakupovalne košarice spadajo pod izvajanje pogodbe ali zakoniti interes z zelo nizkim tveganjem. Ne zahtevajo izrecnega soglasja, čeprav je treba njihove kategorije še vedno razkriti v obvestilu o zasebnosti. Vse ostalo — analitika, oglaševanje, ciljno oglaševanje, piksli tretjih oseb, prstni odtisi — zahteva soglasje po Article 22.
Podatki otrok
Article 25 zahteva starševsko soglasje za kakršno koli obdelavo posameznikov, mlajših od 18 let. To je strožje od privzete starosti za digitalno soglasje v GDPR, ki je 16 let (ki jo lahko države članice znižajo na 13). Založnik, ki vodi vsebino, namenjeno otrokom, v Bahasa Indonesia, bi moral šteti prag kot 18 let in konfigurirati postopek starševske preveritve, ne pa samoprijave z izbirnim poljem.
Čezmejni prenosi podatkov
Article 56 ureja prenos osebnih podatkov zunaj Indonezije. Upravljavec lahko prenese podatke v drugo državo samo, če je izpolnjen vsaj eden od treh pogojev: namembna država ima ustrezno raven varstva osebnih podatkov, primerljivo z UU PDP, so vzpostavljene ustrezne zaščitne ukrepe ali je posameznik, na katerega se nanašajo osebni podatki, dal izrecno soglasje za prenos.
Indonezijsko ministrstvo za komunikacije in informatiko (Kominfo) še ni objavilo seznama ustreznosti. V praksi se založniki, ki prenašajo podatke v jurisdikcije GDPR, v Združene države, v Singapur ali v Avstralijo, zanašajo na ustrezne zaščitne ukrepe — običajno standardne pogodbene klavzule, prilagojene UU PDP, z zavezujočo klavzulo, da nadaljnji podizvajalci spoštujejo pravice UU PDP. Za ponudnike oglaševalske tehnologije, ki delujejo iz več regij, mora vaša pogodba o obdelavi podatkov določiti, katere regije obdelujejo podatke indonezijskih uporabnikov in kateri zaščitni ukrepi se uporabljajo pri vsakem koraku.
Pravice posameznikov in 72-urno okno
UU PDP podeljuje indonezijskim posameznikom pravice, ki so tesno podobne pravicam iz GDPR: dostop, popravek, izbris, ugovor zoper obdelavo, prenosljivost podatkov in pravico do izpodbijanja avtomatiziranih odločitev. Za založnike sta pomembni dve posebnosti.
Prvič, Article 30 zahteva, da upravljavec odgovori na zahtevo za uveljavljanje pravic v razumnem roku, ki ga je izvedbena uredba določila na tri delovne dni za potrditev prejema in največ štirinajst delovnih dni za vsebinski odgovor. To je hitreje od privzetega enomesečnega roka GDPR.
Drugič, Article 46 zahteva obvestilo o kršitvi osebnih podatkov prizadetim posameznikom in organu za varstvo osebnih podatkov v roku 3 x 24 ur — to je 72 ur od takrat, ko je upravljavec izvedel za kršitev. Ura začne teči, ko je upravljavec potrdil kršitev, ne ko bi jo lahko zaznal.
Sankcije in nedavno izvrševanje
Sankcijski režim UU PDP ima več zob, kot je sprva prepoznalo veliko založnikov. Article 57 določa upravne sankcije do 2 % letnih prihodkov. Article 67 to 73 določa kazenske sankcije do šestih let zapora in glob do 6 milijard rupiah za najhujše kršitve, vključno z nezakonitim zbiranjem osebnih podatkov in nezakonitim razkritjem.
Skozi leto 2025 je bilo izvrševanje v fazi mehkega zagona, pri čemer je Kominfo izdajal opozorilna pisma in korektivne odredbe namesto glob. Ta faza se je zaključila v začetku leta 2026. Prva večja upravna kazen po UU PDP — izdana domačemu e-trgovinskemu operaterju marca 2026 za neustrezno obvestilo o kršitvi in manjkajoče starševsko soglasje za linijo izdelkov, namenjeno mladoletnikom — je jasno nakazala, da je izvrševanje zdaj aktivno.
Kako izgleda skladna pasica založnika
Za založnika, ki v letu 2026 streže indonezijskemu prometu, je praktična konfiguracija:
Lokalizirati pasico v Bahasa Indonesia
Zahteva po ozaveščenem soglasju iz Article 22 ni izpolnjena z angleško pasico, prikazano uporabniku, ki govori Bahasa. CMP mora zaznati indonezijske uporabnike — z geolokacijo, IP-jem ali glavo Accept-Language — in servirati pasico, obvestilo o zasebnosti ter podrobne kontrole v Bahasa Indonesia.
Soglasje obravnavati samo kot opt-in
Nobeni skripti za sledenje, oglaševanje ali analitiko se ne smejo izvajati, preden jih uporabnik ni izrecno sprejel. Vnaprej označene kategorije, implicitno soglasje iz nadaljevalnega brskanja in obvestila »z uporabo tega spletnega mesta se strinjate« so vse neskladne.
Vzdrževati dokumentirane dnevnike soglasij
Article 22(3) je izrecen: upravljavec mora biti sposoben predložiti dokaze. Dnevnik soglasij, ki poveže identifikator uporabnika s časovnim žigom, različico prikazane pasice in izborom, ki je bil narejen, je dokument, ki ga bo Kominfo zahteval pri vsakem revizijskem ali pritožbenem postopku.
Narediti umik resnično enakovreden
Trajna plavajoča ikona soglasja, zavrnitev z enim klikom na strani z nastavitvami zasebnosti ali jasno odjavljanje v katerem koli e-poštnem sporočilu o zbiranju podatkov — vsako je razumna implementacija. Skrita povezava v politiki zasebnosti z 4000 besedami ni.
Skupni zaključek
UU PDP ni klon GDPR, a je dovolj blizu, da lahko založniki z zrelimi evropskimi programi skladnosti razširijo obstoječo infrastrukturo soglasij na Indonezijo s ciljnimi prilagoditvami: lokalizacija Bahasa, starostna meja 18 let za starševsko soglasje, 72-urno obvestilo o kršitvi in standardne pogodbene klavzule, ki izrecno pokrivajo UU PDP. Založniki brez te infrastrukture bi morali UU PDP obravnavati kot sprožilec za njeno gradnjo. Indonezijsko izvrševanje je zdaj aktivno in stroški sanacije po začetku preiskave Kominfo so enotno višji od stroškov pravilne nastavitve pasice pred zagonom.