Indonesia UU PDP Cookie Consent: Udhëzues Pajtueshmërie për Botuesit
Indonezia është tregu i katërt më i madh i internetit në botë. Për çdo botues që u shërben 215 milionë përdoruesve të saj online, Ligji i Mbrojtjes së të Dhënave Personale të vendit — Undang-Undang Pelindungan Data Pribadi, ose UU PDP — është tani pjesa më e rëndësishme e pajtueshmërisë për t'u realizuar siç duhet. I miratuar në tetor 2022 dhe plotësisht i zbatueshëm që nga tetori 2024 pasi u mbyll dritarja e tranzicionit dyvjeçar, UU PDP është modeluar ngushtësisht sipas GDPR por prezanton formatin e tij specifik të pëlqimit, detyrimet e kontrolluesit dhe regjimin e gjobave. Ky udhëzues i shpjegon botuesve çfarë kërkon UU PDP, ku ndryshon nga zakonet GDPR dhe si të konfigurojnë një baner pëlqimi që kënaq rregullatorët indonezianë.
Çfarë Mbulon UU PDP dhe Kush Preket
UU PDP është statuti i parë gjithëpërfshirës i mbrojtjes së të dhënave personale të Indonezisë. Para miratimit të tij, rregullat e mbrojtjes së të dhënave në Indonezi ishin të shpërndara nëpër rregullore sektoriale — bankat, telekomunikimet, tregtia elektronike, sistemet elektronike. UU PDP i konsolidon këto në një regjim horizontal të vetëm që zbatohet për çdo kontrollues ose përpunues që trajtojnë të dhënat personale të subjekteve indoneziane të të dhënave, pavarësisht se ku është i vendosur kontrollori.
Ky shtrirje ekstraterritoriale është fakti më i rëndësishëm për botuesit e huaj. Një botues me bazë në SHBA, BE ose Singapor që u shërben përdoruesve të vendosur fizikisht në Indonezi preket nga UU PDP. Testi i pranisë është funksional, jo formal: nëse kontrolluesi synon përdoruesit indonezianë — nëpërmjet përmbajtjes Bahasa Indonesia, opsioneve indoneziane të pagesës ose reklamave të synuara gjeografikisht — UU PDP zbatohet plotësisht.
Standardi i Pëlqimit Sipas Article 22
Article 22 e UU PDP përcakton pëlqimin dhe është guri i themelit i çdo baneri cookie të synuar për trafikun indonezian. Neni kërkon që pëlqimi të jetë:
- Eksplicit — heshtja, kutitë e pre-zgjiedhura dhe vazhdimi i përdorimit të sajtit nuk përbëjnë pëlqim. Përdoruesi duhet të ndërrmarrë një veprim pozitiv.
- Specifik — pëlqimi duhet të jetë i lidhur me një qëllim të përcaktuar përpunimi. Një buton i vetëm Prano-Gjithçka që mbulon dhjetë qëllime të ndryshme është shumë i cenueshëm.
- I informuar — subjekti i të dhënave duhet të marrë, para dhënies së pëlqimit, identitetin e kontrolluesit, kategoritë e të dhënave, qëllimet, periudhën e ruajtjes, marrësit dhe të drejtat e tyre.
- I dokumentuar me shkrim ose i regjistruar elektronikisht — Article 22(3) kërkon që kontrolluesi të jetë në gjendje të provojë pëlqimin. Një regjistër pëlqimi me vulë kohore i hartëzuar me një identifikues të fshehur të përdoruesit e plotëson këtë kërkesë; një pretendim i vagëlt se përdoruesi klikoi Prano nuk e plotëson.
- I revokueshëm në kushte ekuivalente — tërheqja duhet të jetë po aq e lehtë sa dhënia origjinale. Një shteg refuzimi që merr tre klikime ndërsa pranimi merr një nuk është i pajtuar.
Praktikantët do t'i njohin këto kërkesa: ato hartëzohen pothuajse njëkrah-me-njëkrah me Article 7 të GDPR. Ndryshimet janë në fushë dhe zbatim, jo në koncept.
Bazat Ligjore Përtej Pëlqimit
Si GDPR, UU PDP njeh baza ligjore të ndryshme nga pëlqimi për disa përpunime. Article 20 liston gjashtë baza ligjore: pëlqimi, ekzekutimi i kontratës, detyrimi ligjor, interesi vital, detyra publike dhe interesi legjitim. Për shumicën e aktiviteteve me cookie dhe gjurmim, megjithatë, vetëm pëlqimi është realisht i disponueshëm, sepse përjashtimi i nevojës strikte për cookie-t që janë thelbësore për ofrimin e një shërbimi të kërkuar nga përdoruesi është i ngushtë dhe nuk shtrihet në reklamë ose analitikë.
Përjashtimi i nevojës strikte
Cookie-t e sesionit, cookie-t e hyrjes, cookie-t e preferencës gjuhësore dhe cookie-t e shportës së blerjeve bien nën ekzekutimin e kontratës ose interesin legjitim me rrezik shumë të ulët. Ato nuk kërkojnë pëlqim eksplicit, megjithëse kategoritë e tyre duhet të jenë ende të zbuluara në njoftimin e privatësisë. Gjithçka tjetër — analitika, reklamimi, retargeting, pikselat e palëve të treta, gjurmimi — kërkon pëlqim sipas Article 22.
Të dhënat e fëmijëve
Article 25 kërkon pëlqimin prindëror për çdo përpunim të subjekteve të të dhënave nën 18 vjeç. Kjo është më strikte se mosha e parazgjedhur e GDPR-së për pëlqim dixhital prej 16 vjetësh (të cilën shtetet anëtare mund ta ulin në 13). Një botues që publikon përmbajtje të orientuara drejt fëmijëve në Bahasa Indonesia duhet ta trajtojë pragun si 18 vjeç dhe të konfigurojë një rrjedhë verifikimi prindëror, jo një kuti kontrolli vetë-deklarimi.
Transfertat Ndërkufitare të të Dhënave
Article 56 rregullon transferimin e të dhënave personale jashtë Indonezisë. Një kontrollues mund të transferojë të dhëna në një vend tjetër vetëm nëse plotësohet të paktën një nga tre kushtet: vendi i destinacionit ka një nivel të duhur mbrojtjeje të të dhënave personale të krahasueshëm me UU PDP, janë vendosur mbrojtje të përshtatshme, ose subjekti i të dhënave ka dhënë pëlqim eksplicit për transferin.
Ministria Indoneziane e Komunikimit dhe Informatikës (Kominfo) nuk ka publikuar ende një listë të adequacy. Në praktikë, botuesit që transferojnë të dhëna në juridiksionet GDPR, në Shtetet e Bashkuara, në Singapor ose në Australi mbështeten në mbrojtje të përshtatshme — zakonisht klauzola standarde kontraktuale të adaptuara për UU PDP, me një klauzolë detyruese që nënprocesuesit downstream respektojnë të drejtat e UU PDP. Për shitësit e ad-tech që operojnë nga rajonet e shumta, marrëveshja juaj e përpunimit të të dhënave duhet të specifikojë cilat rajone trajtojnë të dhënat e përdoruesve indonezianë dhe çfarë mbrojtjesh zbatohen në çdo hap.
Të Drejtat e Subjekteve të të Dhënave dhe Dritarja 72-Orëshe
UU PDP u jep subjekteve indoneziane të të dhënave të drejta shumë të ngjashme me ato të GDPR-së: qasja, korrigjimi, fshirja, kundërshtimi ndaj përpunimit, portabiliteti i të dhënave dhe e drejta për të sfiduar vendimet e automatizuara. Dy specifikime kanë rëndësi për botuesit.
Së pari, Article 30 kërkon që kontrolluesi t'i përgjigjet një kërkese për të drejta brenda një kohe të arsyeshme, të cilën rregulloret zbatuese e kanë caktuar në tre ditë pune për njohje dhe maksimumi katërmbëdhjetë ditë pune për përgjigje thelbësore. Kjo është më e shpejtë se parazgjedhja e GDPR-së e një muaji.
Së dyti, Article 46 kërkon njoftimin e një shkelje të të dhënave personale tek subjektet e të dhënave të prekura dhe tek Autoriteti i Mbrojtjes së të Dhënave Personale brenda 3 x 24 hours — domethënë, 72 orë nga momenti kur kontrolluesi ka bërë të vetëdijshëm shkeljen. Ora fillon kur kontrolluesi ka konfirmuar shkeljen, jo kur mund ta kishte zbuluar.
Gjobat dhe Zbatimi i Fundit
Regjimi i gjobave të UU PDP ka më shumë dhëmbë sesa shumë botues kuptuan fillimisht. Article 57 parashikon sanksione administrative deri në 2% të të ardhurave vjetore. Article 67 to 73 parashikojnë sanksione penale deri në gjashtë vjet burgim dhe gjoba deri në 6 miliardë rupiah për shkeljet më të rënda, duke përfshirë mbledhjen e paligjshme të të dhënave personale dhe zbulimin e paligjshëm.
Gjatë 2025-s zbatimi ishte në fazën e lançimit të butë, me Kominfo që lëshonte letra paralajmëruese dhe urdhra korrigjuese në vend të gjobave. Ajo fazë mbaroi në fillim të 2026-s. Gjoba e parë kryesore administrative sipas UU PDP — lëshuar ndaj një operatori vendas të tregtisë elektronike në mars 2026 për njoftim të pamjaftueshëm të shkeljes dhe mungesën e pëlqimit prindëror në një linjë produkti të synuar ndaj të miturve — vendosi një shenjë të qartë se zbatimi është tani aktiv.
Si Duket Baneri i Pajtuar i Botuesit
Për një botues që u shërben trafikut indonezian në 2026, konfigurimi praktik është:
Lokalizoni banerin në Bahasa Indonesia
Kërkesa e informimit-para-pëlqimit e Article 22 nuk plotësohet nga një baner në gjuhën angleze i treguar një përdoruesi që flet Bahasa. CMP duhet të zbulojë përdoruesit indonezianë — me gjeolokalizim, IP ose header Accept-Language — dhe t'u shërbejë banerin, njoftimin e privatësisë dhe kontrollet granulare në Bahasa Indonesia.
Trajtojeni pëlqimin si vetëm opt-in
Asnjë skript gjurmimi, reklamimi ose analitike nuk mund të aktivizohet para se përdoruesi të ketë pranuar eksplicitisht. Kategoritë e pre-zgjiedhura, pëlqimi i nënkuptuar nga shfletimi i vazhdueshëm dhe njoftimet "duke përdorur këtë sajt ju jeni dakord" janë të gjitha të papajtuar.
Mbani regjistrat e dokumentuara të pëlqimit
Article 22(3) është eksplicit: kontrolluesi duhet të jetë në gjendje të prodhojë prova. Një regjistër pëlqimi që harton një identifikues përdoruesi me një vulë kohore, versionin e banerit të treguar dhe zgjedhjet e bëra është dokumenti që Kominfo do të kërkojë në çdo auditim ose hetim ankese.
Bëjeni tërheqjen vërtet ekuivalente
Një ikonë e vazhdueshme e lëvizshme e pëlqimit, një refuzim me një klikim në faqen e preferencave të privatësisë ose çabonomim i qartë në çdo email mbledhës të dhënash — secili është një implementim i arsyeshëm. Një lidhje e fshehur në një politikë privatësie me 4000 fjalë nuk është.
Duke I Bashkuar Gjithçka
UU PDP nuk është klon i GDPR, por është mjaft i afërt që botuesit me programe të pjekura të pajtueshmërisë europiane mund t'i shtendosin infrastrukturën e tyre ekzistuese të pëlqimit në Indonezi me rregullime të synuara: lokalizim Bahasa, prag moshe 18 vjeçar për pëlqimin prindëror, njoftimi i shkeljes 72-orëshe dhe klauzolat standarde kontraktuale që mbulojnë eksplicitisht UU PDP. Botuesit pa atë infrastrukturë duhet ta trajtojnë UU PDP si shkakun për ta ndërtuar atë. Zbatimi indonezian është tani aktiv dhe kostoja e remediimit pasi të fillojë një hetim Kominfo është uniformisht më e lartë sesa kostoja e rregullimit të banerit para lançimit.