Що Охоплює UU PDP і Хто Підпадає Під Нього

UU PDP є першим всеосяжним статутом Індонезії щодо захисту персональних даних. До його прийняття правила захисту даних в Індонезії були розпорошені по галузевих нормативних актах — банківська справа, телекомунікації, електронна комерція, електронні системи. UU PDP консолідує їх у єдиний горизонтальний режим, що застосовується до будь-якого контролера або оператора, що обробляє персональні дані індонезійських суб'єктів даних, незалежно від того, де встановлено контролера.

Це екстериторіальне охоплення є найважливішим фактом для іноземних видавців. Видавець із США, ЄС або Сінгапуру, що обслуговує користувачів, фізично розташованих в Індонезії, підпадає під дію UU PDP. Тест присутності є функціональним, а не формальним: якщо контролер орієнтується на індонезійських користувачів — через контент Bahasa Indonesia, індонезійські варіанти оплати або геоцільову рекламу — UU PDP застосовується в повному обсязі.

Стандарт Згоди Відповідно до Article 22

Article 22 UU PDP визначає згоду і є наріжним каменем будь-якого cookie-банера, орієнтованого на індонезійський трафік. Стаття вимагає, щоб згода була:

• Явною — мовчання, попередньо відмічені прапорці та продовження використання сайту не є згодою. Користувач повинен вжити позитивних дій.
• Конкретною — згода повинна бути пов'язана з визначеною метою обробки. Єдина кнопка Прийняти все, що охоплює десять різних цілей, є надзвичайно вразливою.
• Інформованою — суб'єкт даних повинен отримати до надання згоди ідентифікацію контролера, категорії даних, цілі, термін зберігання, одержувачів та свої права.
• Задокументованою у письмовій формі або зафіксованою електронно — Article 22(3) вимагає, щоб контролер міг довести згоду. Журнал згоди з позначкою часу, прив'язаний до хешованого ідентифікатора користувача, задовольняє цю вимогу; розпливчасте твердження, що користувач натиснув Прийняти, не задовольняє.
• Відкличною на рівних умовах — відкликання повинно бути таким же простим, як і первісне надання. Шлях відмови, що займає три кліки, тоді як прийняття займає один, є невідповідним.

Практики впізнають ці вимоги: вони майже один до одного відповідають Article 7 GDPR. Відмінності полягають у сфері застосування та виконанні, а не в концепції.

Правові Підстави Поза Згодою

Як і GDPR, UU PDP визнає правові підстави, крім згоди, для деяких видів обробки. Article 20 перераховує шість правових підстав: згода, виконання договору, юридичний обов'язок, життєво важливий інтерес, публічне завдання та законний інтерес. Однак для більшості дій із cookie та відстеженням лише згода є реально доступною, оскільки виняток суворої необхідності для cookie, що є необхідними для надання послуги, яку запросив користувач, є вузьким і не поширюється на рекламу або аналітику.

Виняток суворої необхідності

Сесійні cookie, cookie входу в систему, cookie мовних налаштувань та cookie кошика для покупок підпадають під виконання договору або законний інтерес із дуже низьким ризиком. Вони не потребують явної згоди, хоча їхні категорії все одно мають бути розкриті в повідомленні про конфіденційність. Все інше — аналітика, реклама, ретаргетинг, пікселі третіх сторін, зняття відбитків пальців — потребує згоди відповідно до Article 22.

Дані дітей

Article 25 вимагає батьківської згоди для будь-якої обробки суб'єктів даних, молодших 18 років. Це суворіше, ніж стандартний вік цифрової згоди GDPR — 16 років (який держави-члени можуть знизити до 13). Видавець, що публікує дитячий контент на Bahasa Indonesia, повинен трактувати поріг як 18 років і налаштувати потік перевірки батьків, а не прапорець самодекларації.

Транскордонні Передачі Даних

Article 56 регулює передачу персональних даних за межі Індонезії. Контролер може передавати дані в іншу країну лише за умови дотримання принаймні однієї з трьох умов: країна призначення має належний рівень захисту персональних даних, порівнянний із UU PDP, є відповідні гарантії або суб'єкт даних надав явну згоду на передачу.

Міністерство зв'язку та інформації Індонезії (Kominfo) ще не опублікувало список адекватності. На практиці видавці, що передають дані до юрисдикцій GDPR, у США, Сінгапур або Австралію, покладаються на відповідні гарантії — як правило, стандартні договірні положення, адаптовані до UU PDP, із зобов'язальним положенням про те, що нижчестоящі субобробники дотримуються прав UU PDP. Для постачальників рекламних технологій, що працюють із кількох регіонів, ваша угода про обробку даних повинна вказувати, які регіони обробляють дані індонезійських користувачів і які гарантії застосовуються на кожному етапі.

Права Суб'єктів Даних та 72-Годинне Вікно

UU PDP надає індонезійським суб'єктам даних права, близькі до прав GDPR: доступ, виправлення, видалення, заперечення проти обробки, перенесення даних і право оскаржувати автоматизовані рішення. Два конкретні аспекти є важливими для видавців.

По-перше, Article 30 вимагає від контролера відповісти на запит щодо прав у розумний строк, який виконавчий регламент встановив у три робочі дні для підтвердження та максимум чотирнадцять робочих днів для суттєвої відповіді. Це швидше, ніж стандартний строк GDPR в один місяць.

По-друге, Article 46 вимагає повідомлення про порушення персональних даних постраждалих суб'єктів даних та Органу захисту персональних даних протягом 3 x 24 hours — тобто 72 годин з моменту, коли контролер дізнався про порушення. Відлік починається, коли контролер підтвердив порушення, а не коли міг його виявити.

Штрафи та Нещодавнє Правозастосування

Режим штрафів UU PDP є жорсткішим, ніж спочатку усвідомили багато видавців. Article 57 передбачає адміністративні санкції до 2% річного доходу. Article 67 to 73 передбачають кримінальні санкції у вигляді до шести років позбавлення волі та штрафів до 6 мільярдів rupiah за найсерйозніші порушення, включаючи незаконний збір персональних даних та незаконне розголошення.

Протягом 2025 року правозастосування перебувало у м'якій стартовій фазі, коли Kominfo надсилав попереджувальні листи та приписи, а не накладав штрафи. Ця фаза завершилася на початку 2026 року. Перший великий адміністративний штраф за UU PDP — накладений на вітчизняного оператора електронної комерції у березні 2026 року за неналежне повідомлення про порушення та відсутність батьківської згоди на лінії продуктів, орієнтованій на неповнолітніх — встановив чіткий орієнтир того, що правозастосування тепер є активним.

Як Виглядає Сумісний Банер Видавця

Для видавця, що обслуговує індонезійський трафік у 2026 році, практична конфігурація є наступною:

Локалізуйте банер на Bahasa Indonesia

Вимога до інформованої згоди Article 22 не виконується банером англійською мовою, показаним користувачу, що розмовляє Bahasa. CMP повинен виявляти індонезійських користувачів — за геолокацією, IP або заголовком Accept-Language — і надавати банер, повідомлення про конфіденційність та деталізовані елементи керування на Bahasa Indonesia.

Розглядайте згоду лише як opt-in

Жодні скрипти відстеження, реклами або аналітики не можуть спрацьовувати до того, як користувач явно прийняв. Попередньо відмічені категорії, мається на увазі згода внаслідок продовження перегляду та повідомлення «використовуючи цей сайт, ви погоджуєтесь» — всі вони є невідповідними.

Ведіть задокументовані журнали згоди

Article 22(3) є чітким: контролер повинен мати можливість надати докази. Журнал згоди, що зіставляє ідентифікатор користувача з позначкою часу, версією відображеного банера і зробленими виборами, є документом, який Kominfo буде запитувати під час будь-якого аудиту або розслідування скарг.

Зробіть відкликання справді рівноцінним

Постійна плаваюча іконка згоди, відмова одним кліком на сторінці налаштувань конфіденційності або чітке відписання в будь-якому листі, що збирає дані, — кожне є обґрунтованою реалізацією. Прихований посилання в 4000-словній політиці конфіденційності таким не є.

Підбиваємо Підсумки

UU PDP не є клоном GDPR, але достатньо близький до нього, щоб видавці із зрілими Європейськими програмами відповідності могли розширити наявну інфраструктуру згоди на Індонезію з цільовими коригуваннями: локалізація Bahasa, 18-річний віковий поріг для батьківської згоди, 72-годинне повідомлення про порушення та стандартні договірні положення, що прямо охоплюють UU PDP. Видавці без такої інфраструктури повинні розглядати UU PDP як поштовх для її побудови. Індонезійське правозастосування тепер є активним, і вартість усунення порушень після початку розслідування Kominfo є незмінно вищою, ніж вартість правильного налаштування банера до запуску.