Indonesia UU PDP Cookie Consent: Mwongozo wa Uzingatiaji kwa Wachapishaji
Indonesia ni soko la nne kubwa zaidi la intaneti duniani. Kwa kila mchapishaji anayetoa maudhui kwa watumiaji wake 215 milioni wa mtandaoni, Sheria ya Ulinzi wa Data Binafsi ya nchi — Undang-Undang Pelindungan Data Pribadi, au UU PDP — sasa ni kipande muhimu zaidi cha uzingatiaji cha kushughulikia vizuri. Ilipitishwa Oktoba 2022 na inatekelezwa kikamilifu tangu Oktoba 2024 baada ya dirisha la mpito la miaka miwili kufungwa, UU PDP imejengwa karibu na GDPR lakini inaanzisha muundo wake maalum wa kibali, wajibu wa kidhibiti, na utaratibu wa adhabu. Mwongozo huu unaongoza wachapishaji kupitia kile UU PDP kinachohitaji, mahali inapotofautiana na tabia za GDPR, na jinsi ya kusanidi bango la kibali linaloiridhisha mamlaka ya udhibiti ya Indonesia.
Kinachofunikwa na UU PDP na Wanaonaswa
UU PDP ni sheria ya kwanza ya kina ya ulinzi wa data binafsi ya Indonesia. Kabla ya kupitishwa kwake, sheria za ulinzi wa data nchini Indonesia zilikuwa zimetawanywa katika kanuni za sekta — benki, mawasiliano, biashara ya mtandaoni, mifumo ya kielektroniki. UU PDP inazijumuisha katika utaratibu mmoja wa usawa ambao unatumika kwa kila kidhibiti au mchakataji anayeshughulikia data binafsi za masomo ya data ya Indonesia, bila kujali kidhibiti kinakoanzishwa wapi.
Ufikio huu wa nje ya mipaka ni ukweli muhimu zaidi kwa wachapishaji wa kigeni. Mchapishaji anayeishi Marekani, EU, au Singapore anayetoa maudhui kwa watumiaji waliopatikana kimwili nchini Indonesia amezingatiwa na UU PDP. Jaribio la uwepo ni la kiutendaji, si rasmi: ikiwa kidhibiti kinalenga watumiaji wa Indonesia — kupitia maudhui ya Bahasa Indonesia, chaguo za malipo za Indonesia, au utangazaji unaolenga kijiografia — UU PDP inatumika kikamilifu.
Kiwango cha Kibali Chini ya Article 22
Article 22 ya UU PDP inafafanua kibali na ni msingi wa kila bango la cookie inayolenga trafiki ya Indonesia. Kifungu kinahitaji kibali kiwe:
- Wazi — ukimya, visanduku vilivyowekwa alama mapema, na kuendelea kutumia tovuti havijumuishi kibali. Mtumiaji lazima achukue hatua chanya.
- Maalum — kibali lazima kishirikishwe na madhumuni ya usindikaji yaliyofafanuliwa. Kitufe kimoja cha Kubali-Yote kinachofunika madhumuni kumi tofauti ni hatarishi sana.
- Chenye taarifa — somo la data lazima lipokee, kabla ya kutoa kibali, utambulisho wa kidhibiti, makundi ya data, madhumuni, kipindi cha uhifadhi, wapokeaji, na haki zao.
- Kiliorekodiwa kwa maandishi au kurekodi kwa njia ya kielektroniki — Article 22(3) inahitaji kidhibiti kiweze kuthibitisha kibali. Kumbukumbu ya kibali yenye muhuri wa wakati iliyooanishwa na kitambulisho cha mtumiaji kilichofichwa inakidhi hitaji hili; dai lisilo wazi kwamba mtumiaji alibofya Kubali halikidhi.
- Inayoweza kufutwa kwa masharti sawa — uondoaji lazima uwe rahisi kama ilivyokuwa kutoa kibali asili. Njia ya kukataa inayohitaji mibofyo mitatu huku kukubali kuhitaji moja si sawa na kanuni.
Wataalamu watatambua mahitaji haya: yanaoana karibu moja-kwa-moja na Article 7 ya GDPR. Tofauti ziko katika upeo na utekelezaji, si katika dhana.
Misingi ya Kisheria Zaidi ya Kibali
Kama GDPR, UU PDP inakubali misingi ya kisheria isipokuwa kibali kwa usindikaji fulani. Article 20 inaorodhesha misingi sita ya kisheria: kibali, utekelezaji wa mkataba, wajibu wa kisheria, maslahi ya muhimu, kazi ya umma, na maslahi halali. Kwa shughuli nyingi za cookie na ufuatiliaji, hata hivyo, kibali pekee ndio kinachoweza kupatikana kwa kweli, kwa sababu kipengele cha hitaji kali la cookie zinazohitajika kutoa huduma iliyoombwa na mtumiaji ni nyembamba na haijumuishi utangazaji au uchanganuzi.
Kipengele cha hitaji kali
Vidakuzi vya kikao, vidakuzi vya kuingia, vidakuzi vya mapendeleo ya lugha, na vidakuzi vya kikapu cha manunuzi vipo chini ya utekelezaji wa mkataba au maslahi halali wenye hatari ndogo sana. Havihitaji kibali wazi, ingawa makundi yao lazima bado yafichukwe katika taarifa ya faragha. Kila kitu kingine — uchanganuzi, utangazaji, ulengo upya, pikseli za wahusika wengine, kuchukua alama ya kidole — zinahitaji kibali kulingana na Article 22.
Data za watoto
Article 25 inahitaji kibali cha mzazi kwa usindikaji wowote wa masomo ya data walio chini ya miaka 18. Hii ni kali zaidi kuliko kiwango cha chaguo-msingi cha GDPR cha umri wa kibali cha kidijitali cha miaka 16 (ambacho nchi wanachama zinaweza kupunguza hadi 13). Mchapishaji anayoendesha maudhui yanayolenga watoto kwa Bahasa Indonesia anapaswa kuzingatia kizingiti kama miaka 18 na kusanidi mtiririko wa uthibitishaji wa mzazi, si kisanduku cha kutangaza mwenyewe.
Uhamishaji wa Data wa Kimataifa
Article 56 inasimamia uhamishaji wa data binafsi nje ya Indonesia. Kidhibiti kinaweza kuhamisha data kwenda nchi nyingine tu ikiwa angalau moja ya masharti matatu inakidhiwa: nchi ya lengo ina kiwango cha kutosha cha ulinzi wa data binafsi kinachoweza kulinganishwa na UU PDP, kuna ulinzi unaofaa mahali pake, au somo la data limetoa kibali wazi kwa uhamishaji.
Wizara ya Mawasiliano na Taarifa ya Indonesia (Kominfo) bado haijachapisha orodha ya kutosha. Kwa vitendo, wachapishaji wanaohamisha data kwenda maeneo ya GDPR, Marekani, Singapore, au Australia wanategemea ulinzi unaofaa — kwa kawaida vifungu vya mkataba vya kawaida vilivyorekebishwa kwa UU PDP, na kifungu cha lazima kwamba wasindikaji wa chini wanazingatia haki za UU PDP. Kwa wauzaji wa ad-tech wanaofanya kazi kutoka mikoa mingi, makubaliano yako ya usindikaji wa data lazima yabainishe mikoa gani inashughulikia data za watumiaji wa Indonesia na ulinzi gani unatumika kwa kila hatua.
Haki za Masomo ya Data na Dirisha la Saa 72
UU PDP inawapa masomo ya data ya Indonesia haki zinazofanana sana na za GDPR: ufikiaji, urekebishaji, ufutaji, pingamizi la usindikaji, ubebaji wa data, na haki ya kupinga maamuzi ya kiotomatiki. Mambo mawili maalum ni muhimu kwa wachapishaji.
Kwanza, Article 30 inahitaji kwamba kidhibiti kiijibu ombi la haki ndani ya muda unaofaa, ambao kanuni ya utekelezaji imeweka siku tatu za kufanya kazi kwa uthibitisho na kiwango cha juu cha siku kumi na nne za kufanya kazi kwa jibu la msingi. Hii ni ya haraka zaidi kuliko chaguo-msingi la GDPR la mwezi mmoja.
Pili, Article 46 inahitaji taarifa ya uvunjaji wa data binafsi kwa masomo ya data yaliyoathirika na kwa Mamlaka ya Ulinzi wa Data Binafsi ndani ya 3 x 24 hours — yaani, saa 72 kutoka wakati kidhibiti kilipojua uvunjaji. Saa inaanza mara kidhibiti kinapouhakikisha uvunjaji, si mara kingeweza kuugundua.
Adhabu na Utekelezaji wa Hivi Karibuni
Utaratibu wa adhabu wa UU PDP una meno zaidi kuliko wachapishaji wengi walivyotambua mwanzoni. Article 57 inatoa vikwazo vya kiutawala hadi asilimia 2 ya mapato ya kila mwaka. Article 67 to 73 zinatoa vikwazo vya jinai hadi miaka sita ya kifungo na faini hadi bilioni 6 rupiah kwa ukiukwaji mkubwa zaidi, ikiwa ni pamoja na ukusanyaji haramu wa data binafsi na ufichuzi haramu.
Kupitia 2025 utekelezaji ulikuwa katika awamu ya uzinduzi laini, huku Kominfo ikitoa barua za onyo na amri za kurekebisha badala ya faini. Awamu hiyo iliisha mwanzoni mwa 2026. Adhabu ya kwanza kubwa ya kiutawala chini ya UU PDP — iliyotolewa kwa opereta wa ndani wa biashara ya mtandaoni Machi 2026 kwa taarifa ya kutosha ya uvunjaji na kukosekana kwa kibali cha mzazi kwenye mstari wa bidhaa unaolenga watoto — iliweka alama wazi kwamba utekelezaji sasa ni hai.
Bango la Mchapishaji Linalozingatia Linaonekana Vipi
Kwa mchapishaji anayehudumia trafiki ya Indonesia mwaka 2026, usanidi wa vitendo ni:
Localize bango kwa Bahasa Indonesia
Hitaji la kibali chenye taarifa la Article 22 halidhihirishwi na bango la lugha ya Kiingereza linaloonyeshwa kwa mtumiaji anayezungumza Bahasa. CMP lazima igundua watumiaji wa Indonesia — kupitia eneo la kijiografia, IP, au kichwa cha Accept-Language — na kutoa bango, taarifa ya faragha, na udhibiti wa kina kwa Bahasa Indonesia.
Tibu kibali kama opt-in pekee
Hati za ufuatiliaji, utangazaji, au uchanganuzi haziwezi kuwashwa kabla mtumiaji hajakubali wazi. Makundi yaliyowekwa alama mapema, kibali kilichoashiriwa kutoka kwa kuvinjari kuendelea, na matangazo ya "kwa kutumia tovuti hii unakubali" yote hayazingatii kanuni.
Dumisha kumbukumbu za kibali zilizorekodiwa
Article 22(3) ni wazi: kidhibiti lazima kiweze kutoa ushahidi. Kumbukumbu ya kibali inayooandisha kitambulisho cha mtumiaji kwa muhuri wa wakati, toleo la bango lililonyeshwa, na chaguo zilizofanywa ni hati ambayo Kominfo itaomba katika ukaguzi wowote au uchunguzi wa malalamiko.
Fanya uondoaji kuwa sawa kweli kweli
Ikoni ya kudumu ya kibali inayoelea, kukataa kwa bofyo moja katika ukurasa wa mapendeleo ya faragha, au kujiondoa wazi katika barua pepe yoyote ya kukusanya data — kila moja ni utekelezaji unaofaa. Kiungo kilichofichwa katika sera ya faragha ya maneno 4000 si utekelezaji unaofaa.
Kuleta Yote Pamoja
UU PDP si nakala ya GDPR, lakini ni karibu vya kutosha kwamba wachapishaji wenye programu za uzingatiaji wa Ulaya zilizostawi wanaweza kupanua miundombinu yao ya kibali iliyopo kwenda Indonesia na marekebisho yanayolengwa: Bahasa localization, kizingiti cha umri wa miaka 18 kwa kibali cha mzazi, taarifa ya uvunjaji ya saa 72, na vifungu vya mkataba vya kawaida vinavyofunika wazi UU PDP. Wachapishaji wasio na miundombinu hiyo wanapaswa kuzingatia UU PDP kama kichocheo cha kuijenga. Utekelezaji wa Indonesia sasa ni hai, na gharama ya uimarishaji baada ya uchunguzi wa Kominfo kuanza ni wa juu zaidi bila usawa kuliko gharama ya kurekebisha bango vizuri kabla ya uzinduzi.