UU PDP'nin Kapsamı ve Kimlerin Etkilendiği

UU PDP, Endonezya'nın ilk kapsamlı kişisel veri koruma kanunudur. Yürürlüğe girmeden önce Endonezya'daki veri koruma kuralları sektörel düzenlemelere — bankacılık, telekomünikasyon, e-ticaret, elektronik sistemler — dağılmış durumdaydı. UU PDP, bunları, veri sorumlusunun nerede kurulu olduğundan bağımsız olarak Endonezya veri sahiplerinin kişisel verilerini işleyen her veri sorumlusu veya veri işleyene uygulanan tek bir yatay rejim altında birleştirmektedir.

Bu toprak dışı etki, yabancı yayıncılar için en önemli olgudur. Fiziksel olarak Endonezya'da bulunan kullanıcılara içerik sunan ABD, AB veya Singapur merkezli bir yayıncı UU PDP kapsamına girmektedir. Varlık testi, biçimsel değil işlevseldir: veri sorumlusu, Bahasa Indonesia içeriği, Endonezya ödeme seçenekleri veya coğrafi hedefli reklamcılık yoluyla Endonezya kullanıcılarını hedef alıyorsa UU PDP tam anlamıyla uygulanmaktadır.

Article 22 Kapsamındaki Onay Standardı

UU PDP'nin Article 22'si onayı tanımlamakta ve Endonezya trafiğine yönelik her cookie banner'ının temel taşını oluşturmaktadır. Bu madde, onayın şu şekilde olmasını gerektirmektedir:

• Açık — sessizlik, önceden işaretlenmiş kutular ve site kullanımının sürdürülmesi onay oluşturmaz. Kullanıcı olumlu bir eylem gerçekleştirmelidir.
• Spesifik — onay, belirlenmiş bir işleme amacına bağlı olmalıdır. On farklı amacı kapsayan tek bir Tümünü Kabul Et düğmesi son derece savunmasızdır.
• Bilgilendirilmiş — veri sahibi, onay vermeden önce veri sorumlusunun kimliğini, veri kategorilerini, amaçları, saklama süresini, alıcıları ve haklarını almalıdır.
• Yazılı olarak belgelenmiş veya elektronik olarak kayıt altına alınmış — Article 22(3), veri sorumlusunun onayı ispat edebilmesini gerektirmektedir. Karma bir kullanıcı tanımlayıcısıyla eşleştirilmiş zaman damgalı onay kaydı bu gereksinimi karşılar; kullanıcının Kabul Et'e tıkladığına dair belirsiz bir iddia karşılamaz.
• Eşdeğer koşullarda geri alınabilir — geri alma, ilk verme kadar kolay olmalıdır. Kabul etmek bir tık alırken reddetmek üç tık gerektiriyorsa bu uyumlu değildir.

Uygulayıcılar bu gereksinimleri tanıyacaktır: bunlar GDPR'ın Article 7'siyle neredeyse bire bir örtüşmektedir. Farklılıklar kavramda değil, kapsam ve uygulamadadır.

Onayın Ötesindeki Yasal Dayanaklar

GDPR gibi UU PDP da bazı işlemler için onay dışındaki yasal dayanakları tanımaktadır. Article 20, altı yasal dayanağı listelemektedir: onay, sözleşmenin ifası, yasal yükümlülük, hayati çıkar, kamu görevi ve meşru çıkar. Ancak çoğu cookie ve izleme faaliyeti için, yalnızca onay gerçekçi biçimde kullanılabilir durumdadır; çünkü kullanıcının talep ettiği hizmeti sunmak için zorunlu olan cookie'lere ilişkin katı gereklilik istisnası dardır ve reklamcılık veya analitiğe uzanmamaktadır.

Katı gereklilik istisnası

Oturum cookie'leri, giriş cookie'leri, dil tercihi cookie'leri ve alışveriş sepeti cookie'leri çok düşük riskle sözleşmenin ifası veya meşru çıkar kapsamına girmektedir. Açık onay gerektirmezler; ancak kategorilerinin gizlilik bildiriminde yine de açıklanması gerekir. Diğer her şey — analitik, reklamcılık, yeniden hedefleme, üçüncü taraf pikselleri, parmak izi alma — Article 22 kapsamında onay gerektirir.

Çocuklara ait veriler

Article 25, 18 yaş altı veri sahiplerinin herhangi bir şekilde işlenmesi için ebeveyn onayı gerektirmektedir. Bu, GDPR'ın dijital onay için varsayılan 16 yaşından (üye devletlerin 13'e indirebileceği) daha katıdır. Bahasa Indonesia'da çocuklara yönelik içerik yayınlayan bir yayıncı, eşiği 18 olarak ele almalı ve kendi kendini beyan onay kutusu değil, ebeveyn doğrulama akışı yapılandırmalıdır.

Sınır Ötesi Veri Aktarımları

Article 56, kişisel verilerin Endonezya dışına aktarılmasını düzenlemektedir. Bir veri sorumlusu, verileri yalnızca üç koşuldan en az birinin karşılanması durumunda başka bir ülkeye aktarabilir: hedef ülkenin UU PDP ile karşılaştırılabilir yeterli düzeyde kişisel veri korumasına sahip olması, uygun güvencelerin mevcut olması ya da veri sahibinin aktarım için açık onay vermiş olması.

Endonezya İletişim ve Bilişim Bakanlığı (Kominfo) henüz bir yeterlilik listesi yayınlamamıştır. Uygulamada, verileri GDPR yargı bölgelerine, Amerika Birleşik Devletleri'ne, Singapur'a veya Avustralya'ya aktaran yayıncılar uygun güvencelere dayanmaktadır — genellikle UU PDP'ye uyarlanmış standart sözleşme hükümleri ve aşağı akış alt-işleyicilerinin UU PDP haklarına uyacağına dair bağlayıcı bir hüküm. Birden fazla bölgeden faaliyet gösteren reklam teknolojisi satıcıları için veri işleme sözleşmeniz, hangi bölgelerin Endonezya kullanıcı verilerini işlediğini ve her adımda hangi güvencelerin uygulandığını belirtmelidir.

Veri Sahiplerinin Hakları ve 72 Saatlik Pencere

UU PDP, Endonezya veri sahiplerine GDPR'ınkilere yakın haklara benzer haklar tanımaktadır: erişim, düzeltme, silme, işlemeye itiraz, veri taşınabilirliği ve otomatik kararlara itiraz hakkı. İki özel durum yayıncılar açısından önem taşımaktadır.

Birincisi, Article 30, veri sorumlusunun makul bir süre içinde bir hak talebine yanıt vermesini gerektirmektedir; uygulama yönetmeliği bu süreyi kabul için üç iş günü ve esasa ilişkin yanıt için en fazla on dört iş günü olarak belirlemiştir. Bu, GDPR'ın bir aylık varsayılan süresinden daha hızlıdır.

İkincisi, Article 46, kişisel veri ihlalinin etkilenen veri sahiplerine ve Kişisel Veri Koruma Kurumuna 3 x 24 hours — yani 72 saat içinde bildirilmesini gerektirmektedir. Saat, veri sorumlusunun ihlali tespit edebileceği zamandan değil, ihlali teyit ettiği andan itibaren başlar.

Cezalar ve Son Zamanlardaki Uygulama

UU PDP ceza rejimi, pek çok yayıncının başlangıçta fark ettiğinden daha güçlüdür. Article 57, yıllık gelirin yüzde 2'sine kadar idari yaptırımlar öngörmektedir. Article 67 to 73, kişisel verilerin yasadışı toplanması ve yasadışı ifşası dahil olmak üzere en ağır ihlaller için altı yıla kadar hapis cezası ve 6 milyar rupiah'a kadar para cezası içeren cezai yaptırımlar öngörmektedir.

2025 yılı boyunca uygulama, Kominfo'nun para cezası yerine uyarı mektubu ve düzeltici kararlar yayınladığı yumuşak bir başlangıç aşamasındaydı. Bu aşama 2026'nın başında sona erdi. UU PDP kapsamındaki ilk büyük idari ceza — yetersiz ihlal bildirimi ve küçüklere yönelik bir ürün hattında ebeveyn onayının eksikliği nedeniyle Mart 2026'da yerli bir e-ticaret operatörüne verilen — uygulamanın artık aktif olduğuna dair açık bir işaret koydu.

Uyumlu Bir Yayıncı Banner'ı Nasıl Görünür

2026 yılında Endonezya trafiğine hizmet veren bir yayıncı için pratik yapılandırma şöyledir:

Banner'ı Bahasa Indonesia'ya yerelleştirin

Article 22'nin bilgilendirilmiş onay gereksinimi, Bahasa konuşan bir kullanıcıya gösterilen İngilizce bir banner ile karşılanmaz. CMP, Endonezya kullanıcılarını coğrafi konum, IP veya Accept-Language başlığı aracılığıyla tespit etmeli ve banner'ı, gizlilik bildirimini ve ayrıntılı kontrolleri Bahasa Indonesia'da sunmalıdır.

Onayı yalnızca opt-in olarak ele alın

Kullanıcı açıkça kabul etmeden önce hiçbir izleme, reklamcılık veya analitik komut dosyası çalışmamalıdır. Önceden işaretlenmiş kategoriler, süregelen gezinmeden zımni onay ve "bu siteyi kullanarak kabul etmiş olursunuz" bildirimleri uyumsuz sayılır.

Belgelenmiş onay kayıtlarını muhafaza edin

Article 22(3) açıktır: veri sorumlusu kanıt üretebilmelidir. Bir kullanıcı tanımlayıcısını zaman damgasıyla, gösterilen banner sürümüyle ve yapılan tercihlerle eşleştiren onay kaydı, Kominfo'nun her denetim veya şikayet soruşturmasında talep edeceği belgedir.

Geri almayı gerçek anlamda eşdeğer kılın

Kalıcı yüzen bir onay simgesi, gizlilik tercihleri sayfasında tek tıklamayla ret veya veri toplayan her e-postada açık bir abonelik iptali — her biri makul bir uygulamadır. 4000 kelimelik bir gizlilik politikasına gömülü bir bağlantı ise değildir.

Her Şeyi Bir Araya Getirmek

UU PDP bir GDPR klonu değildir, ancak olgun Avrupa uyumluluk programlarına sahip yayıncıların mevcut onay altyapılarını hedeflenmiş düzenlemelerle Endonezya'ya genişletebilecekleri kadar benzerdir: Bahasa yerelleştirmesi, ebeveyn onayı için 18 yaş eşiği, 72 saatlik ihlal bildirimi ve açıkça UU PDP'yi kapsayan standart sözleşme hükümleri. Bu altyapıya sahip olmayan yayıncılar UU PDP'yi bunu inşa etmek için bir tetikleyici olarak görmelidir. Endonezya'daki uygulama artık aktiftir ve Kominfo soruşturması başladıktan sonra yapılacak iyileştirmenin maliyeti, banner'ı başlatmadan önce doğru yapmanın maliyetinden her zaman daha yüksektir.