تعمیل14 جون 2026 | FlexyConsent

Indonesia UU PDP Cookie Consent: پبلشرز کے لیے تعمیل کی رہنمائی

انڈونیشیا دنیا کی چوتھی سب سے بڑی انٹرنیٹ مارکیٹ ہے۔ اپنے 215 ملین آن لائن صارفین کو مواد فراہم کرنے والے ہر پبلشر کے لیے، ملک کا ذاتی ڈیٹا تحفظ قانون — Undang-Undang Pelindungan Data Pribadi، یا UU PDP — اب تعمیل کا سب سے اہم حصہ ہے جسے صحیح طریقے سے نمٹانا ضروری ہے۔ اکتوبر 2022 میں نافذ کیا گیا اور دو سالہ منتقلی ونڈو بند ہونے کے بعد اکتوبر 2024 سے مکمل طور پر قابل نفاذ، UU PDP قریب سے GDPR پر ماڈل کیا گیا ہے لیکن اپنی مخصوص رضامندی فارمیٹ، کنٹرولر کی ذمہ داریاں، اور جرمانے کا نظام متعارف کرواتا ہے۔ یہ رہنما پبلشرز کو UU PDP کی ضروریات، GDPR کی عادات سے اختلاف کے مقامات، اور انڈونیشیائی ریگولیٹرز کو مطمئن کرنے والے رضامندی بینر کی ترتیب کے طریقے سے گزرتا ہے۔

UU PDP کیا کور کرتا ہے اور کون اس کے دائرے میں آتا ہے

UU PDP انڈونیشیا کا پہلا جامع ذاتی ڈیٹا تحفظ قانون ہے۔ اس کے نافذ ہونے سے پہلے، انڈونیشیا میں ڈیٹا تحفظ کے قواعد شعبہ جاتی ضوابط — بینکنگ، ٹیلی کام، ای کامرس، الیکٹرانک سسٹمز — میں بکھرے ہوئے تھے۔ UU PDP انہیں ایک واحد افقی نظام میں ضم کرتا ہے جو کسی بھی کنٹرولر یا پروسیسر پر لاگو ہوتا ہے جو انڈونیشیائی ڈیٹا سبجیکٹس کے ذاتی ڈیٹا کو ہینڈل کرتا ہے، قطع نظر اس کے کہ کنٹرولر کہاں قائم ہے۔

یہ ماورائے علاقہ دائرہ اختیار غیر ملکی پبلشرز کے لیے سب سے اہم حقیقت ہے۔ امریکا، یورپی یونین، یا سنگاپور میں مقیم پبلشر جو انڈونیشیا میں جسمانی طور پر موجود صارفین کو مواد فراہم کرتا ہے، UU PDP کے دائرے میں آتا ہے۔ موجودگی کا ٹیسٹ فعال ہے، رسمی نہیں: اگر کنٹرولر انڈونیشیائی صارفین کو نشانہ بناتا ہے — Bahasa Indonesia مواد، انڈونیشیائی ادائیگی کے اختیارات، یا جغرافیائی ہدف بنائی گئی اشتہاری کے ذریعے — تو UU PDP مکمل طور پر لاگو ہوتا ہے۔

Article 22 کے تحت رضامندی کا معیار

UU PDP کا Article 22 رضامندی کی تعریف کرتا ہے اور انڈونیشیائی ٹریفک کے لیے کسی بھی cookie بینر کی بنیادی کلید ہے۔ آرٹیکل کا تقاضا ہے کہ رضامندی ہو:

پریکٹیشنرز ان ضروریات کو پہچانیں گے: یہ GDPR کے Article 7 سے تقریباً ایک سے ایک میل کھاتی ہیں۔ فرق دائرہ کار اور نفاذ میں ہے، تصور میں نہیں۔

رضامندی سے پرے قانونی بنیادیں

GDPR کی طرح، UU PDP بعض پروسیسنگ کے لیے رضامندی کے علاوہ دیگر قانونی بنیادوں کو تسلیم کرتا ہے۔ Article 20 چھ قانونی بنیادیں درج کرتا ہے: رضامندی، معاہدے کی تکمیل، قانونی ذمہ داری، اہم مفاد، عوامی کام، اور جائز مفاد۔ تاہم زیادہ تر cookie اور ٹریکنگ سرگرمیوں کے لیے، صرف رضامندی ہی حقیقی طور پر دستیاب ہے، کیونکہ ان cookie کے لیے سخت ضرورت کا استثناء جو صارف کی درخواست کردہ سروس فراہم کرنے کے لیے ضروری ہیں، تنگ ہے اور اشتہاری یا تجزیات تک نہیں پھیلتا۔

سخت ضرورت کا استثناء

سیشن کوکیز، لاگ ان کوکیز، زبان کی ترجیح کوکیز، اور شاپنگ کارٹ کوکیز بہت کم خطرے کے ساتھ معاہدے کی تکمیل یا جائز مفاد کے تحت آتی ہیں۔ انہیں واضح رضامندی کی ضرورت نہیں، اگرچہ ان کی کیٹیگریز پرائیویسی نوٹس میں ابھی بھی ظاہر کی جانی چاہئیں۔ باقی سب کچھ — تجزیات، اشتہاری، ری ٹارگٹنگ، تھرڈ پارٹی پکسلز، فنگر پرنٹنگ — Article 22 رضامندی کا تقاضا کرتے ہیں۔

بچوں کا ڈیٹا

Article 25 کا تقاضا ہے کہ 18 سال سے کم عمر ڈیٹا سبجیکٹس کی کسی بھی پروسیسنگ کے لیے والدین کی رضامندی لی جائے۔ یہ GDPR کی ڈیجیٹل رضامندی کی ڈیفالٹ عمر 16 سال سے سخت ہے (جسے رکن ریاستیں 13 تک کم کر سکتی ہیں)۔ Bahasa Indonesia میں بچوں کی طرف مبنی مواد چلانے والا پبلشر حد کو 18 سمجھے اور والدین کی تصدیق کا بہاؤ ترتیب دے، نہ کہ خود اعلامیہ چیک باکس۔

سرحد پار ڈیٹا منتقلی

Article 56 انڈونیشیا سے باہر ذاتی ڈیٹا کی منتقلی کو کنٹرول کرتا ہے۔ کنٹرولر ڈیٹا کسی دوسرے ملک میں صرف اسی صورت منتقل کر سکتا ہے جب تین میں سے کم از کم ایک شرط پوری ہو: منزل ملک میں UU PDP سے قابل موازنہ ذاتی ڈیٹا تحفظ کی کافی سطح ہو، مناسب حفاظتی اقدامات موجود ہوں، یا ڈیٹا سبجیکٹ نے منتقلی کے لیے واضح رضامندی دی ہو۔

انڈونیشیا کی وزارت مواصلات اور انفارمیٹکس (Kominfo) نے ابھی تک کوئی مناسبیت کی فہرست شائع نہیں کی۔ عملی طور پر، GDPR دائرہ اختیار، امریکا، سنگاپور، یا آسٹریلیا کو ڈیٹا منتقل کرنے والے پبلشرز مناسب حفاظتوں پر انحصار کرتے ہیں — عام طور پر UU PDP کے مطابق ڈھالی گئی معیاری معاہداتی شقیں، ایک پابند شق کے ساتھ کہ ڈاؤن اسٹریم سب پروسیسرز UU PDP حقوق کا احترام کرتے ہیں۔ متعدد خطوں سے کام کرنے والے ad-tech وینڈرز کے لیے، آپ کے ڈیٹا پروسیسنگ معاہدے کو بتانا ضروری ہے کہ کون سے خطے انڈونیشیائی صارف ڈیٹا کو ہینڈل کرتے ہیں اور ہر مرحلے پر کیا حفاظتیں لاگو ہوتی ہیں۔

ڈیٹا سبجیکٹ کے حقوق اور 72 گھنٹے کی ونڈو

UU PDP انڈونیشیائی ڈیٹا سبجیکٹس کو GDPR جیسے حقوق دیتا ہے: رسائی، اصلاح، حذف، پروسیسنگ پر اعتراض، ڈیٹا پورٹیبلٹی، اور خودکار فیصلوں کو چیلنج کرنے کا حق۔ دو مخصوص باتیں پبلشرز کے لیے اہم ہیں۔

پہلا، Article 30 کا تقاضا ہے کہ کنٹرولر ایک معقول وقت کے اندر حقوق کی درخواست کا جواب دے، جسے نفاذی ضابطے نے تصدیق کے لیے تین کاروباری دن اور خاطر خواہ جواب کے لیے زیادہ سے زیادہ چودہ کاروباری دن مقرر کیا ہے۔ یہ GDPR کے ایک ماہ کی ڈیفالٹ سے تیز ہے۔

دوسرا، Article 46 کا تقاضا ہے کہ ذاتی ڈیٹا کی خلاف ورزی کا نوٹیفکیشن متاثر ڈیٹا سبجیکٹس اور ذاتی ڈیٹا تحفظ اتھارٹی کو 3 x 24 hours کے اندر — یعنی کنٹرولر کو خلاف ورزی کا علم ہونے کے 72 گھنٹوں کے اندر — دیا جائے۔ گھڑی اس وقت شروع ہوتی ہے جب کنٹرولر نے خلاف ورزی کی تصدیق کر لی ہو، نہ کہ جب وہ اسے دریافت کر سکتا تھا۔

جرمانے اور حالیہ نفاذ

UU PDP کے جرمانوں کے نظام کے دانت بہت سے پبلشرز کی ابتدائی سمجھ سے زیادہ ہیں۔ Article 57 سالانہ آمدنی کے 2 فیصد تک انتظامی پابندیاں فراہم کرتا ہے۔ Article 67 to 73 سب سے سنگین خلاف ورزیوں کے لیے چھ سال تک قید اور 6 ارب rupiah تک جرمانے کی مجرمانہ پابندیاں فراہم کرتے ہیں، بشمول ذاتی ڈیٹا کی غیر قانونی جمع اور غیر قانونی افشاء۔

2025 کے دوران نفاذ ایک نرم آغاز کے مرحلے میں تھا، جس میں Kominfo جرمانوں کی بجائے وارننگ خطوط اور اصلاحی احکامات جاری کر رہا تھا۔ وہ مرحلہ 2026 کے اوائل میں ختم ہو گیا۔ UU PDP کے تحت پہلا بڑا انتظامی جرمانہ — مارچ 2026 میں نابالغوں کو نشانہ بنانے والی پروڈکٹ لائن پر ناکافی خلاف ورزی نوٹیفکیشن اور والدین کی رضامندی غائب ہونے پر ایک مقامی ای کامرس آپریٹر کو جاری کیا گیا — نے واضح نشان قائم کر دیا کہ نفاذ اب فعال ہے۔

تعمیل یافتہ پبلشر بینر کیسا دکھتا ہے

2026 میں انڈونیشیائی ٹریفک کو خدمات فراہم کرنے والے پبلشر کے لیے عملی ترتیب یہ ہے:

بینر کو Bahasa Indonesia میں لوکلائز کریں

Article 22 کی باخبر رضامندی کی ضرورت Bahasa بولنے والے صارف کو دکھائے گئے انگریزی زبان کے بینر سے پوری نہیں ہوتی۔ CMP کو انڈونیشیائی صارفین کا پتہ لگانا ضروری ہے — جیولوکیشن، IP، یا Accept-Language ہیڈر کے ذریعے — اور بینر، پرائیویسی نوٹس، اور دانے دار کنٹرولز Bahasa Indonesia میں فراہم کرنے چاہئیں۔

رضامندی کو صرف opt-in سمجھیں

کوئی بھی ٹریکنگ، اشتہاری، یا تجزیاتی اسکرپٹ اس سے پہلے نہیں چل سکتے جب تک صارف نے واضح طور پر قبول نہ کیا ہو۔ پہلے سے چیک کی گئی کیٹیگریز، جاری براؤزنگ سے ضمنی رضامندی، اور "اس سائٹ کا استعمال کرتے ہوئے آپ متفق ہیں" نوٹسز سب غیر تعمیل ہیں۔

دستاویز شدہ رضامندی لاگز برقرار رکھیں

Article 22(3) واضح ہے: کنٹرولر کو ثبوت پیش کرنے کے قابل ہونا ضروری ہے۔ ایک رضامندی لاگ جو صارف شناخت کنندہ کو ٹائم اسٹامپ، دکھائے گئے بینر کے ورژن، اور کیے گئے انتخاب سے جوڑتا ہے وہ دستاویز ہے جو Kominfo کسی بھی آڈٹ یا شکایت کی تحقیقات میں طلب کرے گا۔

واپسی کو حقیقی طور پر مساوی بنائیں

ایک مستقل تیرتی رضامندی آئیکن، پرائیویسی ترجیحات صفحے پر ایک کلک سے رد، یا کسی بھی ڈیٹا اکٹھا کرنے والی ای میل میں واضح ان سبسکرائب — ہر ایک ایک معقول نفاذ ہے۔ 4000 لفظ کی پرائیویسی پالیسی میں دفن لنک نہیں ہے۔

سب کچھ یکجا کرنا

UU PDP GDPR کا کلون نہیں ہے، لیکن یہ کافی قریب ہے کہ پختہ یورپی تعمیل پروگراموں والے پبلشرز اپنے موجودہ رضامندی بنیادی ڈھانچے کو ہدفی ایڈجسٹمنٹ کے ساتھ انڈونیشیا تک بڑھا سکتے ہیں: Bahasa لوکلائزیشن، والدین کی رضامندی کے لیے 18 سال کی عمر کی حد، 72 گھنٹے کی خلاف ورزی نوٹیفکیشن، اور معیاری معاہداتی شقیں جو واضح طور پر UU PDP کو کور کرتی ہیں۔ اس بنیادی ڈھانچے کے بغیر پبلشرز کو UU PDP کو اسے بنانے کی ترغیب کے طور پر دیکھنا چاہیے۔ انڈونیشیائی نفاذ اب فعال ہے، اور Kominfo تحقیقات شروع ہونے کے بعد تدارک کی لاگت لانچ سے پہلے بینر کو درست کرنے کی لاگت سے یکساں طور پر زیادہ ہے۔

← بdelays delays سب پڑھیں →