การปฏิบัติตาม14 มิถุนายน 2569 | FlexyConsent

Indonesia UU PDP Cookie Consent: คู่มือการปฏิบัติตามกฎหมายสำหรับผู้เผยแพร่

อินโดนีเซียเป็นตลาดอินเทอร์เน็ตที่ใหญ่เป็นอันดับสี่ของโลก สำหรับผู้เผยแพร่ทุกรายที่ให้บริการเนื้อหาแก่ผู้ใช้ออนไลน์ 215 ล้านคนของประเทศ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศ — Undang-Undang Pelindungan Data Pribadi หรือ UU PDP — ถือเป็นข้อกำหนดการปฏิบัติตามที่สำคัญที่สุดที่ต้องดำเนินการให้ถูกต้อง ได้รับการตราขึ้นในเดือนตุลาคม 2022 และมีผลบังคับใช้เต็มรูปแบบตั้งแต่เดือนตุลาคม 2024 หลังจากช่วงเปลี่ยนผ่านสองปีสิ้นสุดลง UU PDP ถูกสร้างแบบมาจาก GDPR อย่างใกล้ชิด แต่มีรูปแบบความยินยอมเฉพาะของตนเอง ภาระผูกพันของผู้ควบคุมข้อมูล และระบอบบทลงโทษ คู่มือนี้จะพาผู้เผยแพร่ผ่านสิ่งที่ UU PDP กำหนด จุดที่แตกต่างจากแนวปฏิบัติ GDPR และวิธีกำหนดค่าแบนเนอร์ความยินยอมที่ตอบสนองความต้องการของหน่วยงานกำกับดูแลของอินโดนีเซีย

สิ่งที่ UU PDP ครอบคลุมและใครที่ได้รับผลกระทบ

UU PDP เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับครอบคลุมฉบับแรกของอินโดนีเซีย ก่อนที่จะมีการตราขึ้น กฎเกณฑ์การคุ้มครองข้อมูลในอินโดนีเซียกระจัดกระจายอยู่ในกฎระเบียบเฉพาะภาคส่วน ได้แก่ การธนาคาร โทรคมนาคม พาณิชย์อิเล็กทรอนิกส์ ระบบอิเล็กทรอนิกส์ UU PDP รวบรวมสิ่งเหล่านี้ไว้ในระบอบแนวนอนระบอบเดียวที่ใช้กับผู้ควบคุมหรือผู้ประมวลผลทุกรายที่จัดการข้อมูลส่วนบุคคลของเจ้าของข้อมูลชาวอินโดนีเซีย โดยไม่คำนึงว่าผู้ควบคุมตั้งอยู่ที่ใด

การบังคับใช้นอกอาณาเขตนี้เป็นข้อเท็จจริงที่สำคัญที่สุดสำหรับผู้เผยแพร่ต่างประเทศ ผู้เผยแพร่ที่ตั้งอยู่ในสหรัฐอเมริกา สหภาพยุโรป หรือสิงคโปร์ที่ให้บริการเนื้อหาแก่ผู้ใช้ที่อยู่ในอินโดนีเซียทางกายภาพจะอยู่ภายใต้บังคับ UU PDP การทดสอบการปรากฏตัวเป็นเชิงหน้าที่ ไม่ใช่เชิงรูปแบบ: หากผู้ควบคุมมุ่งเป้าไปที่ผู้ใช้ชาวอินโดนีเซีย ผ่านเนื้อหา Bahasa Indonesia ตัวเลือกการชำระเงินของอินโดนีเซีย หรือการโฆษณาตามพื้นที่ UU PDP จะใช้บังคับอย่างเต็มรูปแบบ

มาตรฐานความยินยอมภายใต้ Article 22

Article 22 ของ UU PDP กำหนดความยินยอมและเป็นรากฐานของแบนเนอร์ cookie ทุกตัวที่มุ่งเป้าไปยังการรับส่งข้อมูลของอินโดนีเซีย มาตราดังกล่าวกำหนดให้ความยินยอมต้องเป็น:

ผู้ปฏิบัติงานจะรู้จักข้อกำหนดเหล่านี้: มันสอดคล้องกับ Article 7 ของ GDPR เกือบหนึ่งต่อหนึ่ง ความแตกต่างอยู่ที่ขอบเขตและการบังคับใช้ ไม่ใช่แนวคิด

ฐานทางกฎหมายนอกเหนือจากความยินยอม

เช่นเดียวกับ GDPR UU PDP รับรองฐานทางกฎหมายอื่นนอกเหนือจากความยินยอมสำหรับการประมวลผลบางอย่าง Article 20 ระบุฐานทางกฎหมายหกประการ ได้แก่ ความยินยอม การปฏิบัติตามสัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์สำคัญ หน้าที่สาธารณะ และผลประโยชน์ที่ชอบด้วยกฎหมาย อย่างไรก็ตาม สำหรับกิจกรรม cookie และการติดตามส่วนใหญ่ มีเพียงความยินยอมเท่านั้นที่สามารถใช้ได้จริง เพราะข้อยกเว้นความจำเป็นอย่างเข้มงวดสำหรับ cookie ที่จำเป็นต้องใช้ในการให้บริการที่ผู้ใช้ร้องขอนั้นแคบและไม่ครอบคลุมถึงการโฆษณาหรือการวิเคราะห์

ข้อยกเว้นความจำเป็นอย่างเข้มงวด

Cookie เซสชัน cookie การเข้าสู่ระบบ cookie การตั้งค่าภาษา และ cookie ตะกร้าสินค้าอยู่ภายใต้การปฏิบัติตามสัญญาหรือผลประโยชน์ที่ชอบด้วยกฎหมายที่มีความเสี่ยงต่ำมาก ไม่ต้องการความยินยอมอย่างชัดแจ้ง แม้ว่าหมวดหมู่ของมันยังคงต้องถูกเปิดเผยในประกาศความเป็นส่วนตัว สิ่งอื่นๆ ทั้งหมด ได้แก่ การวิเคราะห์ การโฆษณา การกำหนดเป้าหมายซ้ำ พิกเซลของบุคคลที่สาม การระบุลายนิ้วมือ ต้องการความยินยอมตาม Article 22

ข้อมูลของเด็ก

Article 25 กำหนดให้ต้องได้รับความยินยอมจากผู้ปกครองสำหรับการประมวลผลข้อมูลของเจ้าของข้อมูลที่อายุต่ำกว่า 18 ปี ซึ่งเข้มงวดกว่าอายุเริ่มต้นสำหรับความยินยอมดิจิทัลของ GDPR ที่ 16 ปี (ซึ่งประเทศสมาชิกสามารถลดลงเป็น 13 ปีได้) ผู้เผยแพร่ที่เผยแพร่เนื้อหาสำหรับเด็กใน Bahasa Indonesia ควรกำหนดเกณฑ์เป็น 18 ปี และกำหนดค่าขั้นตอนการยืนยันของผู้ปกครอง ไม่ใช่กล่องกาเครื่องหมายการประกาศตนเอง

การโอนข้อมูลข้ามพรมแดน

Article 56 ควบคุมการโอนข้อมูลส่วนบุคคลออกนอกอินโดนีเซีย ผู้ควบคุมอาจโอนข้อมูลไปยังประเทศอื่นได้ก็ต่อเมื่อเป็นไปตามเงื่อนไขอย่างน้อยหนึ่งในสามประการ ได้แก่ ประเทศปลายทางมีระดับการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอเทียบได้กับ UU PDP มีมาตรการป้องกันที่เหมาะสม หรือเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดแจ้งสำหรับการโอน

กระทรวงการสื่อสารและสารสนเทศของอินโดนีเซีย (Kominfo) ยังไม่ได้เผยแพร่รายชื่อประเทศที่มีความเพียงพอ ในทางปฏิบัติ ผู้เผยแพร่ที่โอนข้อมูลไปยังเขตอำนาจศาล GDPR สหรัฐอเมริกา สิงคโปร์ หรือออสเตรเลีย อาศัยมาตรการป้องกันที่เหมาะสม ซึ่งโดยทั่วไปจะเป็นข้อสัญญามาตรฐานที่ปรับให้เข้ากับ UU PDP พร้อมข้อผูกมัดว่าผู้ประมวลผลย่อยปลายน้ำเคารพสิทธิ์ UU PDP สำหรับผู้ขาย ad-tech ที่ดำเนินงานจากหลายภูมิภาค ข้อตกลงการประมวลผลข้อมูลของคุณต้องระบุภูมิภาคใดที่จัดการข้อมูลผู้ใช้ชาวอินโดนีเซียและมาตรการป้องกันใดที่ใช้ในแต่ละขั้นตอน

สิทธิ์ของเจ้าของข้อมูลและกรอบเวลา 72 ชั่วโมง

UU PDP มอบสิทธิ์แก่เจ้าของข้อมูลชาวอินโดนีเซียที่คล้ายกับ GDPR อย่างใกล้ชิด ได้แก่ การเข้าถึง การแก้ไข การลบ การคัดค้านการประมวลผล การพกพาข้อมูล และสิทธิ์ในการโต้แย้งการตัดสินใจอัตโนมัติ ผู้เผยแพร่ควรสังเกตรายละเอียดสองประการ

ประการแรก Article 30 กำหนดให้ผู้ควบคุมต้องตอบสนองต่อคำขอสิทธิ์ภายในเวลาที่เหมาะสม ซึ่งกฎการปฏิบัติกำหนดไว้ที่สามวันทำการสำหรับการรับทราบและสูงสุดสิบสี่วันทำการสำหรับการตอบสนองในเนื้อหา ซึ่งเร็วกว่าค่าเริ่มต้นหนึ่งเดือนของ GDPR

ประการที่สอง Article 46 กำหนดให้ต้องแจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลที่ได้รับผลกระทบและต่อหน่วยงานคุ้มครองข้อมูลส่วนบุคคลภายใน 3 x 24 hours นั่นคือ 72 ชั่วโมงนับจากที่ผู้ควบคุมรับรู้ถึงการละเมิด นาฬิกาเริ่มเดินเมื่อผู้ควบคุมยืนยันการละเมิด ไม่ใช่เมื่อสามารถตรวจพบได้

บทลงโทษและการบังคับใช้ล่าสุด

ระบอบบทลงโทษของ UU PDP มีความเข้มข้นมากกว่าที่ผู้เผยแพร่หลายรายตระหนักในตอนแรก Article 57 บัญญัติให้มีการคว่ำบาตรทางปกครองสูงสุด 2% ของรายได้ประจำปี Article 67 to 73 บัญญัติให้มีการลงโทษทางอาญาสูงสุดหกปีจำคุกและค่าปรับสูงสุด 6 พันล้าน rupiah สำหรับการละเมิดที่ร้ายแรงที่สุด รวมถึงการรวบรวมข้อมูลส่วนบุคคลโดยมิชอบและการเปิดเผยโดยมิชอบ

ตลอดปี 2025 การบังคับใช้อยู่ในช่วงเริ่มต้นอย่างนุ่มนวล โดย Kominfo ออกจดหมายเตือนและคำสั่งแก้ไขแทนการปรับ ช่วงนั้นสิ้นสุดลงในต้นปี 2026 บทลงโทษทางปกครองครั้งใหญ่ครั้งแรกภายใต้ UU PDP ซึ่งออกให้กับผู้ประกอบการอีคอมเมิร์ซในประเทศในเดือนมีนาคม 2026 สำหรับการแจ้งเตือนการละเมิดที่ไม่เพียงพอและขาดความยินยอมของผู้ปกครองในสายผลิตภัณฑ์ที่มุ่งเป้าไปที่ผู้เยาว์ ได้สร้างเครื่องหมายที่ชัดเจนว่าการบังคับใช้กำลังดำเนินการอยู่

แบนเนอร์ผู้เผยแพร่ที่สอดคล้องมีลักษณะอย่างไร

สำหรับผู้เผยแพร่ที่ให้บริการการรับส่งข้อมูลของอินโดนีเซียในปี 2026 การกำหนดค่าเชิงปฏิบัติคือ:

แปลงแบนเนอร์เป็น Bahasa Indonesia

ข้อกำหนดความยินยอมที่ได้รับข้อมูลของ Article 22 ไม่ได้รับการตอบสนองโดยแบนเนอร์ภาษาอังกฤษที่แสดงต่อผู้ใช้ที่พูด Bahasa CMP ต้องตรวจจับผู้ใช้ชาวอินโดนีเซีย ผ่านการระบุตำแหน่ง IP หรือส่วนหัว Accept-Language และให้บริการแบนเนอร์ ประกาศความเป็นส่วนตัว และการควบคุมแบบละเอียดใน Bahasa Indonesia

ปฏิบัติต่อความยินยอมเป็น opt-in เท่านั้น

สคริปต์การติดตาม การโฆษณา หรือการวิเคราะห์ใดๆ ต้องไม่ทำงานก่อนที่ผู้ใช้จะยอมรับอย่างชัดแจ้ง หมวดหมู่ที่ทำเครื่องหมายล่วงหน้า ความยินยอมโดยนัยจากการท่องเว็บต่อเนื่อง และประกาศ "การใช้เว็บไซต์นี้คุณยอมรับ" ล้วนไม่สอดคล้อง

ดูแลรักษาบันทึกความยินยอมที่จัดทำเป็นเอกสาร

Article 22(3) ชัดเจน: ผู้ควบคุมต้องสามารถแสดงหลักฐานได้ บันทึกความยินยอมที่จับคู่ตัวระบุผู้ใช้กับการประทับเวลา เวอร์ชันของแบนเนอร์ที่แสดง และตัวเลือกที่เลือก คือเอกสารที่ Kominfo จะขอในการตรวจสอบหรือการสอบสวนข้อร้องเรียน

ทำให้การถอนความยินยอมเทียบเท่าอย่างแท้จริง

ไอคอนความยินยอมแบบลอยตัวถาวร การปฏิเสธด้วยคลิกเดียวในหน้าการตั้งค่าความเป็นส่วนตัว หรือการยกเลิกสมัครรับข้อมูลที่ชัดเจนในอีเมลเก็บข้อมูลทุกฉบับ แต่ละอย่างเป็นการนำไปใช้ที่สมเหตุสมผล ลิงก์ที่ฝังอยู่ในนโยบายความเป็นส่วนตัว 4000 คำนั้นไม่ใช่

สรุปทั้งหมด

UU PDP ไม่ใช่สำเนาของ GDPR แต่ใกล้เคียงพอที่ผู้เผยแพร่ที่มีโปรแกรมการปฏิบัติตามในยุโรปที่บรรลุผลแล้วสามารถขยายโครงสร้างพื้นฐานความยินยอมที่มีอยู่ไปยังอินโดนีเซียได้ด้วยการปรับแต่งที่มุ่งเป้า ได้แก่ การปรับให้เข้ากับภาษา Bahasa เกณฑ์อายุ 18 ปีสำหรับความยินยอมของผู้ปกครอง การแจ้งเตือนการละเมิด 72 ชั่วโมง และข้อสัญญามาตรฐานที่ครอบคลุม UU PDP อย่างชัดแจ้ง ผู้เผยแพร่ที่ไม่มีโครงสร้างพื้นฐานนั้นควรมองว่า UU PDP เป็นตัวกระตุ้นในการสร้างมัน การบังคับใช้ของอินโดนีเซียกำลังดำเนินการอยู่ และค่าใช้จ่ายในการแก้ไขหลังจากการสอบสวน Kominfo เริ่มต้นนั้นสูงกว่าค่าใช้จ่ายในการทำให้แบนเนอร์ถูกต้องก่อนการเปิดตัวอย่างสม่ำเสมอ

← บล็อก อ่านทั้งหมด →