Шта UU PDP Покрива и Ко је Обухваћен

UU PDP је први свеобухватни статут о заштити личних података у Индонезији. Пре његовог доношења, правила заштите података у Индонезији била су разбацана по секторским прописима — банкарство, телекомуникације, е-трговина, електронски системи. UU PDP их консолидује у јединствени хоризонтални режим који се примењује на сваког контролора или обрађивача који рукује личним подацима индонезијских субјеката података, без обзира на то где је контролор основан.

Ово екстериторијално деловање је најважнија чињеница за стране издаваче. Издавач са седиштем у САД, ЕУ или Сингапуру који опслужује кориснике физички лоциране у Индонезији обухваћен је UU PDP-ом. Тест присуства је функционалан, а не формалан: ако контролор циља индонезијске кориснике — путем Bahasa Indonesia садржаја, индонезијских опција плаћања или гео-циљаног оглашавања — UU PDP се примењује у потпуности.

Стандард Сагласности Prema Article 22

Article 22 UU PDP-а дефинише сагласност и темељ је сваког cookie банера намењеног индонезијском саобраћају. Члан захтева да сагласност буде:

• Изричита — ћутање, унапред означена поља и наставак коришћења сајта не представљају сагласност. Корисник мора да предузме позитивну радњу.
• Специфична — сагласност мора бити везана за дефинисану сврху обраде. Јединствено дугме Прихвати све које покрива десет различитих сврха је веома рањиво.
• Информисана — субјект података мора да прими, пре давања сагласности, идентитет контролора, категорије података, сврхе, период задржавања, примаоце и своја права.
• Документована у писаном облику или забележена електронски — Article 22(3) захтева да контролор може да докаже сагласност. Евиденција сагласности са временском ознаком која се пресликава на хеширани идентификатор корисника задовољава овај захтев; нејасна тврдња да је корисник кликнуо Прихвати не задовољава.
• Опозива под еквивалентним условима — повлачење мора бити исто тако лако као и оригинално давање. Пут одбијања који захтева три клика, а прихватање само један, није усклађено.

Практичари ће препознати ове захтеве: они се готово потпуно поклапају са Article 7 GDPR-а. Разлике су у домену и спровођењу, а не у концепту.

Законски Основи Ван Сагласности

Као и GDPR, UU PDP признаје законске основе осим сагласности за одређену обраду. Article 20 набраја шест правних основа: сагласност, извршење уговора, правна обавеза, витални интерес, јавни задатак и легитимни интерес. За већину активности са cookie-јевима и праћењем, међутим, само је сагласност реално доступна, јер је изузеће строге нужности за cookie-је неопходне за пружање услуге коју је корисник затражио уско и не протеже се на оглашавање или аналитику.

Изузеће строге нужности

Сесијски cookie-ји, cookie-ји за пријављивање, cookie-ји за језичке поставке и cookie-ји корпе за куповину спадају у извршење уговора или легитимни интерес са веома малим ризиком. Они не захтевају изричиту сагласност, иако њихове категорије морају и даље бити обелодањене у обавештењу о приватности. Све остало — аналитика, оглашавање, ретаргетинг, пиксели трећих страна, отисак прста — захтева сагласност у складу са Article 22.

Подаци деце

Article 25 захтева родитељску сагласност за сваку обраду субјеката података млађих од 18 година. Ово је строже од GDPR подразумеваног доба за дигиталну сагласност од 16 година (које државе чланице могу да снизе на 13). Издавач који пушта садржај намењен деци на Bahasa Indonesia треба да третира праг као 18 и конфигурише ток верификације родитеља, а не поље за самопријаву.

Прекогранична Преношења Података

Article 56 регулише пренос личних података ван Индонезије. Контролор може да пренесе податке у другу земљу само ако је испуњен барем један од три услова: одредишна земља има адекватан ниво заштите личних података упоредив са UU PDP, на снази су одговарајуће заштитне мере, или је субјект података дао изричиту сагласност за пренос.

Индонезијско Министарство комуникација и информатике (Kominfo) до сада није објавило листу адекватности. У пракси, издавачи који преносе податке у GDPR јурисдикције, у Сједињене Државе, Сингапур или Аустралију ослањају се на одговарајуће заштитне мере — обично стандардне уговорне клаузуле прилагођене UU PDP-у, са обавезујућом клаузулом да подобрађивачи узводно поштују права из UU PDP. За ad-tech добављаче који послују из више региона, ваш уговор о обради података мора да наведе које регионе рукују индонезијским корисничким подацима и које заштитне мере се примењују на свакој тачки.

Права Субјеката Података и 72-Часовни Прозор

UU PDP додељује индонезијским субјектима података права која блиско наликују правима из GDPR-а: приступ, исправка, брисање, приговор на обраду, преносивост података и право на оспоравање аутоматизованих одлука. Две специфичности су важне за издаваче.

Прво, Article 30 захтева да контролор одговори на захтев за права у разумном року, који је пратећа уредба поставила на три радна дана за потврду и максимум четрнаест радних дана за суштински одговор. Ово је брже од GDPR подразумеваног рока од месец дана.

Друго, Article 46 захтева обавештавање о повреди личних података погођених субјеката података и Органа за заштиту личних података у року од 3 x 24 hours — тј. 72 сата од тренутка када је контролор постао свестан повреде. Сат почиње да тиче када је контролор потврдио повреду, а не када је могао да је открије.

Казне и Недавно Спровођење

Режим казни UU PDP-а има оштрије зубе него што су многи издавачи у почетку схватили. Article 57 предвиђа административне санкције до 2% годишњих прихода. Article 67 to 73 предвиђају кривичне санкције до шест година затвора и новчане казне до 6 милијарди rupiah за најозбиљније прекршаје, укључујући незаконито прикупљање личних података и незаконито откривање.

Током 2025. спровођење је било у фази меког лансирања, са Kominfo-м који је издавао опомене и налоге за исправљање уместо новчаних казни. Та фаза је завршена почетком 2026. Прва велика административна казна по UU PDP-у — изречена домаћем оператеру е-трговине у марту 2026. за неадекватно обавештавање о повреди и недостатак родитељске сагласности на линији производа намењеној малолетницима — поставила је јасну ознаку да је спровођење сада активно.

Како Изгледа Усклађен Банер Издавача

За издавача који опслужује индонезијски саобраћај у 2026. практична конфигурација је:

Локализујте банер на Bahasa Indonesia

Захтев информисане сагласности из Article 22 није испуњен енглеским банером приказаним Bahasa кориснику. CMP мора да детектује индонезијске кориснике — геолокацијом, IP адресом или Accept-Language заглављем — и да сервира банер, обавештење о приватности и грануларне контроле на Bahasa Indonesia.

Третирајте сагласност само као opt-in

Ниједна скрипта за праћење, оглашавање или аналитику не сме да се покрене пре него што корисник изричито прихвати. Унапред означене категорије, подразумевана сагласност услед наставка прегледања и обавештења „коришћењем овог сајта сагласни сте" су сви несагласни.

Одржавајте документоване евиденције сагласности

Article 22(3) је изричит: контролор мора да буде у стању да производи доказе. Евиденција сагласности која пресликава идентификатор корисника на временску ознаку, верзију приказаног банера и учињене изборе је документ koji ће Kominfo затражити у свакој ревизији или истрази жалбе.

Учините повлачење заиста еквивалентним

Стална лебдећа икона сагласности, одбијање на један клик на страници поставки приватности или јасно одјављивање у свакој е-поруци за прикупљање података — свако је разумна имплементација. Закопана веза у политици приватности од 4000 речи није.

Спајање Свега Заједно

UU PDP није клон GDPR-а, али је довољно близак да издавачи са зрелим европским програмима усклађености могу да прошире своју постојећу инфраструктуру сагласности на Индонезију са циљаним прилагођавањима: Bahasa локализација, праг старосне доби 18 година за родитељску сагласност, 72-часовно обавештење о повреди и стандардне уговорне клаузуле које изричито покривају UU PDP. Издавачи без те инфраструктуре треба да третирају UU PDP као подстрек за изградњу. Индонезијско спровођење је сада активно, а трошак санације након почетка Kominfo истраге је у потпуности виши него трошак правилног постављања банера пре лансирања.