Indonesien UU PDP Cookie Consent: Efterlevnadsguide för utgivare
Indonesien är världens fjärde största internetmarknad. För varje utgivare som levererar innehåll till landets 215 miljoner onlineanvändare är landets personuppgiftsskyddslag — Undang-Undang Pelindungan Data Pribadi, eller UU PDP — nu den viktigaste efterlevnadsfrågan att hantera korrekt. Antagen i oktober 2022 och fullt verkställbar sedan oktober 2024 efter att den tvååriga övergångsperioden stängt, är UU PDP nära modellerad på GDPR men inför sitt eget specifika samtyckesformat, personuppgiftsansvarig skyldigheter och påföljdsregim. Den här guiden leder utgivare genom vad UU PDP kräver, var den avviker från GDPR-vanor och hur man konfigurerar en samtyckesbanderoll som satisfierar indonesiska tillsynsmyndigheter.
Vad UU PDP Täcker och Vem Som Berörs
UU PDP är Indonesiens första heltäckande stadga om personuppgiftsskydd. Innan den antogs var dataskyddsreglerna i Indonesien spridda över sektorsregler — bank, telekommunikation, e-handel, elektroniska system. UU PDP konsoliderar dessa till ett enda horisontellt regelverk som gäller för varje personuppgiftsansvarig eller personuppgiftsbiträde som hanterar personuppgifter om indonesiska registrerade, oavsett var den personuppgiftsansvarige är etablerad.
Denna extraterritoriella räckvidd är det viktigaste faktum för utländska utgivare. En utgivare med säte i USA, EU eller Singapore som levererar innehåll till användare fysiskt lokaliserade i Indonesien omfattas av UU PDP. Närvaro-testet är funktionellt, inte formellt: om den personuppgiftsansvarige riktar sig till indonesiska användare — via Bahasa Indonesia-innehåll, indonesiska betalningsalternativ eller geolokaliserad annonsering — gäller UU PDP fullt ut.
Samtyckesstandarden Under Article 22
Article 22 i UU PDP definierar samtycke och är grundstenen i varje cookie-banderoll riktad till indonesisk trafik. Artikeln kräver att samtycke ska vara:
- Uttryckligt — tystnad, förkryssade rutor och fortsatt webbplatsanvändning utgör inte samtycke. Användaren måste vidta en positiv åtgärd.
- Specifikt — samtycke måste vara knutet till ett definierat behandlingsändamål. En enda Acceptera allt-knapp som täcker tio olika ändamål är mycket sårbar.
- Informerat — den registrerade måste, innan samtycke lämnas, erhålla den personuppgiftsansvariges identitet, datakategorierna, ändamålen, lagringsperioden, mottagarna och sina rättigheter.
- Dokumenterat skriftligen eller registrerat elektroniskt — Article 22(3) kräver att den personuppgiftsansvarige ska kunna bevisa samtycke. En tidsstämplad samtyckeslogg mappad till ett hashat användaridentifierare uppfyller detta krav; ett vagt påstående att användaren klickade Acceptera gör det inte.
- Återkallbart på likvärdiga villkor — återkallelse måste vara lika enkelt som det ursprungliga godkännandet. En avslagsväg som tar tre klick medan godkännande tar ett är inte förenlig.
Praktiker känner igen dessa krav: de mappar nästan ett-till-ett till GDPR:s Article 7. Skillnaderna ligger i räckvidd och verkställighet, inte i konceptet.
Rättsliga Grunder Utöver Samtycke
Precis som GDPR erkänner UU PDP andra rättsliga grunder än samtycke för viss behandling. Article 20 listar sex rättsliga grunder: samtycke, avtalsfullgörande, rättslig förpliktelse, vitalt intresse, allmän uppgift och berättigat intresse. För de flesta cookie- och spårningsaktiviteter är dock bara samtycke realistiskt tillgängligt, eftersom undantaget för strikt nödvändighet för cookies som är väsentliga för att tillhandahålla en tjänst som användaren begärde är snävt och inte sträcker sig till annonsering eller analys.
Undantaget för strikt nödvändighet
Sessionscookies, inloggningscookies, språkpreferenscookies och varukorgscookies faller under avtalsfullgörande eller berättigat intresse med mycket låg risk. De kräver inte uttryckligt samtycke, även om deras kategorier fortfarande måste redovisas i integritetsmeddelandet. Allt annat — analys, annonsering, retargeting, tredjepartspixlar, fingeravtryck — kräver samtycke enligt Article 22.
Barns data
Article 25 kräver föräldrasamtycke för all behandling av registrerade under 18 år. Detta är strängare än GDPR:s standardålder för digitalt samtycke på 16 år (som medlemsländer kan sänka till 13). En utgivare som kör barnorienterat innehåll på Bahasa Indonesia bör behandla tröskeln som 18 och konfigurera ett föräldraverifiktionsflöde, inte en kryssruta för egna försäkringar.
Gränsöverskridande Dataöverföringar
Article 56 reglerar överföring av personuppgifter utanför Indonesien. En personuppgiftsansvarig får överföra data till ett annat land endast om minst ett av tre villkor är uppfyllt: destinationslandet har en adekvat nivå av personuppgiftsskydd som är jämförbar med UU PDP, det finns lämpliga skyddsåtgärder på plats, eller den registrerade har gett uttryckligt samtycke till överföringen.
Indonesiens kommunikations- och informationsministerium (Kominfo) har ännu inte publicerat en adekvansförteckning. I praktiken förlitar sig utgivare som överför data till GDPR-jurisdiktioner, till USA, Singapore eller Australien på lämpliga skyddsåtgärder — vanligtvis standardavtalsklausuler anpassade till UU PDP, med en bindande klausul om att nedströms underbiträden respekterar UU PDP-rättigheter. För ad-tech-leverantörer som verkar från flera regioner måste ditt personuppgiftsbiträdesavtal specificera vilka regioner som hanterar indonesiska användardata och vilka skyddsåtgärder som gäller vid varje steg.
De Registrerades Rättigheter och 72-Timmarsfönstret
UU PDP ger indonesiska registrerade rättigheter som nära liknar GDPR:s: tillgång, rättelse, radering, invändning mot behandling, dataportabilitet och rätten att ifrågasätta automatiserade beslut. Två specifika saker är viktiga för utgivare.
Först kräver Article 30 att den personuppgiftsansvarige svarar på en rättighetsförfrågan inom rimlig tid, vilket genomförandeförordningen har fastställt till tre arbetsdagar för bekräftelse och maximalt fjorton arbetsdagar för ett materiellt svar. Detta är snabbare än GDPR:s standardfrist på en månad.
För det andra kräver Article 46 anmälan om ett personuppgiftsbrott till de berörda registrerade och till Personuppgiftsskyddsmyndigheten inom 3 x 24 hours — det vill säga 72 timmar från det att den personuppgiftsansvarige fick kännedom om brottet. Klockan börjar gå när den personuppgiftsansvarige har bekräftat brottet, inte när den kunde ha upptäckt det.
Påföljder och Nyligen Verkställighet
UU PDP:s påföljdsregim har mer tänder än vad många utgivare inledningsvis insåg. Article 57 föreskriver administrativa sanktioner på upp till 2% av den årliga omsättningen. Article 67 to 73 föreskriver straffrättsliga sanktioner på upp till sex års fängelse och böter på upp till 6 miljarder rupiah för de allvarligaste överträdelserna, inklusive olaglig insamling av personuppgifter och olagligt röjande.
Under 2025 var verkställigheten i en mjuk uppstartsfas, där Kominfo utfärdade varningsbrev och korrigeringsorder snarare än böter. Den fasen avslutades i början av 2026. Den första stora administrativa påföljden enligt UU PDP — utfärdad till en inhemsk e-handelsoperatör i mars 2026 för otillräcklig incidentanmälan och avsaknad av föräldrasamtycke på en produktlinje riktad till minderåriga — satte ett tydligt märke om att verkställigheten nu är aktiv.
Hur en Förenlig Utgivarbanderoll Ser Ut
För en utgivare som betjänar indonesisk trafik 2026 är den praktiska konfigurationen:
Lokalisera banderollenill Bahasa Indonesia
Kravet på informerat samtycke i Article 22 uppfylls inte av en engelskspråkig banderoll som visas för en Bahasa-talande användare. CMP måste detektera indonesiska användare — via geolokalisering, IP eller Accept-Language-huvud — och servera banderollenintegritetssmeddelandet och de granulära kontrollerna på Bahasa Indonesia.
Behandla samtycke som enbart opt-in
Inga spårnings-, annonserings- eller analysskript får aktiveras innan användaren uttryckligen har accepterat. Förkryssade kategorier, underförstått samtycke från fortsatt surfande och meddelanden om att "du godkänner genom att använda den här webbplatsen" är alla icke-förenliga.
Upprätthåll dokumenterade samtyckesloggar
Article 22(3) är tydlig: den personuppgiftsansvarige måste kunna producera bevis. En samtyckeslogg som mappar ett användaridentifierare till en tidsstämpel, versionen av den visade banderollenoch de val som gjorts är det dokument Kominfo kommer att begära vid revision eller klagomålsutredning.
Gör återkallelse genuint likvärdig
En beständig flytande samtyckesikon, ett avvisande med ett klick på sidan för sekretessinställningar, eller en tydlig avregistrering i alla datainsamlande e-postmeddelanden — var och en är en rimlig implementering. En begravd länk i en 4000-ords integritetspolicy är det inte.
Sammanfattning
UU PDP är inte en GDPR-klon, men den är tillräckligt nära att utgivare med mogna europeiska efterlevnadsprogram kan utöka sin befintliga samtyckesinfrastruktur till Indonesien med riktade justeringar: Bahasa-lokalisering, en 18-årsgräns för föräldrasamtycke, 72-timmarsanmälan om dataintrång och standardavtalsklausuler som uttryckligen täcker UU PDP. Utgivare utan den infrastrukturen bör behandla UU PDP som triggers för att bygga den. Indonesisk verkställighet är nu aktiv, och kostnaden för åtgärdande efter att en Kominfo-utredning inletts är genomgående högre än kostnaden för att rätta till banderolleninnan lansering.