Setiap kali seseorang membuka aplikasi belanja, riwayat pencariannya dicatat, produk yang dilihat direkam, waktu browsing-nya dipantau, dan pola pembeliannya dianalisis. Data-data ini bukan sekadar angka operasional bagi platform digital, mereka adalah data pribadi yang dilindungi hukum. Namun, tidak semua pelaku usaha digital menyadarinya.
Dua regulasi yang saat ini berlaku menjadikan hal ini bukan sekadar wacana: UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dan PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Keduanya bersama-sama membentuk kerangka kewajiban hukum yang mengikat platform digital dalam mengelola data perilaku pengguna mereka. Memahami kerangka ini adalah langkah awal sebelum bisnis digital bisa beroperasi dengan aman secara hukum.
Apa Itu Data Perilaku Belanja?
Data perilaku belanja atau behavioral data adalah kumpulan informasi yang dihasilkan dari interaksi pengguna dengan platform digital, meliputi produk yang dicari, halaman yang dikunjungi, durasi kunjungan, barang yang ditambahkan ke keranjang, riwayat pembelian, metode pembayaran yang digunakan, hingga pola pembatalan transaksi.
Secara individu, setiap jejak aktivitas ini mungkin tampak tidak berarti. Namun ketika digabungkan dan dianalisis, data ini membentuk profil konsumen yang sangat detail, mencerminkan preferensi, kebiasaan, kondisi keuangan, bahkan potensi kondisi kesehatan seseorang. Inilah yang menjadikan data perilaku belanja bernilai tinggi secara komersial sekaligus sensitif secara hukum.
Mengapa Data Perilaku Belanja Termasuk Data Pribadi?
Banyak platform digital yang beranggapan bahwa data perilaku pengguna bukanlah data pribadi karena tidak secara langsung menyebut nama atau nomor identitas seseorang. Anggapan ini keliru secara hukum.
Berdasarkan Pasal 1 angka 1 UU PDP, data pribadi didefinisikan sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung. Kata kunci di sini adalah “dapat diidentifikasi” dan “dikombinasi.”
Ketika data riwayat pembelian, lokasi pengiriman, metode pembayaran, dan pola pencarian digabungkan dalam satu akun pengguna, data tersebut dengan mudah dapat digunakan untuk mengidentifikasi individu secara spesifik. Ini memenuhi definisi data pribadi dalam UU PDP.
Definisi yang sama juga diadopsi dalam PP No. 71 Tahun 2019, yang mendefinisikan data pribadi sebagai setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik.
Kerangka Hukum yang Berlaku
Ada dua regulasi utama yang secara bersamaan mengatur kewajiban platform digital dalam mengelola data perilaku pengguna di Indonesia.
1. UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi
UU PDP adalah regulasi utama dan berlaku penuh sejak 17 Oktober 2024. Ia mengatur secara komprehensif hak subjek data, kewajiban pengendali dan prosesor data, serta sanksi atas pelanggaran. Dalam konteks platform digital, UU PDP menetapkan bahwa setiap kegiatan pengumpulan, penyimpanan, penggunaan, dan pengungkapan data pribadi, termasuk data perilaku belanja, harus memiliki dasar hukum yang sah.
Berdasarkan Pasal 20 sampai Pasal 30 UU PDP, kewajiban utama pengendali data mencakup: memperoleh persetujuan dari subjek data sebelum memproses datanya, menjelaskan tujuan pemrosesan secara transparan, membatasi penggunaan data sesuai tujuan yang dinyatakan, menjaga keamanan data, dan memenuhi hak-hak subjek data termasuk hak mengakses, mengoreksi, dan menghapus data mereka.
2. PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
PP No. 71 Tahun 2019 adalah peraturan pelaksana dari UU ITE yang menggantikan PP No. 82 Tahun 2012. Peraturan ini berlaku bagi semua Penyelenggara Sistem Elektronik (PSE), termasuk seluruh platform e-commerce, marketplace, dan aplikasi belanja digital yang beroperasi di Indonesia.
PP ini mewajibkan setiap PSE lingkup privat untuk mendaftarkan sistemnya ke Kementerian Komunikasi dan Digital sebelum beroperasi. Selain itu, PSE diwajibkan memastikan keamanan data pengguna, menghapus data pribadi yang tidak relevan atas permintaan pemilik data, serta menerapkan standar keamanan sesuai ketentuan.
Apa yang Harus Dipenuhi?
Dari dua regulasi di atas, ada lima kelompok kewajiban konkret yang harus dipenuhi platform digital dalam mengelola data perilaku pengguna.
1. Persetujuan yang Jelas dan Spesifik
Platform tidak bisa mengumpulkan dan menggunakan data perilaku belanja hanya berdasarkan asumsi bahwa pengguna “sudah menyetujui” dengan mendaftar ke platform. Berdasarkan Pasal 21 UU PDP, persetujuan harus diberikan secara eksplisit, spesifik, dan dapat dibuktikan. Pengguna harus tahu data apa yang dikumpulkan, untuk tujuan apa, dan kepada siapa data itu akan dibagikan.
2. Transparansi Kebijakan Privasi
Platform wajib menyediakan kebijakan privasi yang jelas, mudah diakses, dan ditulis dalam bahasa yang dapat dipahami oleh pengguna awam. Kebijakan ini harus secara eksplisit menjelaskan bagaimana data perilaku belanja dikumpulkan, diproses, disimpan, dan apakah dibagikan kepada pihak ketiga untuk keperluan pemasaran atau analitik.
3. Pembatasan Tujuan Pemrosesan
Data perilaku belanja yang dikumpulkan untuk tujuan tertentu, misalnya untuk memproses transaksi, tidak boleh digunakan untuk tujuan lain seperti penargetan iklan kepada pihak ketiga tanpa persetujuan tambahan dari pengguna. Prinsip pembatasan tujuan ini diatur dalam Pasal 16 huruf b UU PDP dan menjadi salah satu prinsip fundamental perlindungan data pribadi.
4. Keamanan Data dan Respons Insiden
Baik UU PDP maupun PP No. 71 Tahun 2019 mewajibkan platform untuk menerapkan langkah-langkah keamanan teknis dan organisasional yang memadai untuk melindungi data pengguna dari akses tidak sah, kebocoran, atau penyalahgunaan. Jika terjadi kebocoran data, platform wajib memberitahu lembaga pengawas dan subjek data dalam batas waktu yang ditentukan.
5. Pemenuhan Hak Subjek Data
UU PDP memberikan sejumlah hak kepada pengguna atas data mereka sendiri, termasuk hak mengakses data yang telah dikumpulkan, hak mengoreksi data yang tidak akurat, hak meminta penghapusan data, dan hak untuk menarik persetujuan yang telah diberikan. Platform digital wajib menyediakan mekanisme yang memungkinkan pengguna menjalankan hak-hak ini.
Praktik yang Sering Kali Melanggar Tanpa Disadari
Dalam praktik sehari-hari, banyak platform digital yang secara tidak sadar melanggar ketentuan perlindungan data pribadi. Beberapa praktik yang paling umum antara lain:
- Pelacakan perilaku lintas platform — menggunakan cookie atau pixel tracking untuk memantau pengguna di luar platform sendiri tanpa persetujuan eksplisit
- Penjualan atau berbagi data dengan pengiklan — menyerahkan data perilaku pengguna kepada pihak ketiga untuk penargetan iklan tanpa pemberitahuan yang jelas
- Formulir persetujuan yang menyesatkan — menggunakan desain antarmuka yang mendorong pengguna menyetujui pengumpulan data secara default, tanpa pilihan untuk menolak
- Retensi data tanpa batas waktu — menyimpan data perilaku pengguna selamanya tanpa kebijakan retensi yang jelas, bahkan setelah pengguna menutup akun
- Tidak menyediakan mekanisme penghapusan data — tidak memiliki fitur atau prosedur yang memungkinkan pengguna meminta agar datanya dihapus.
Dengan mematuhi peraturan yang tertuang dalam UU PDP, perusahaan platform e-commerce akan meningkatkan kepercayaan ke konsumennya dalam jangka panjang dan membangun reputasi.
“Perlindungan data bukan hanya kewajiban hukum, melainkan juga menjadi bagian dari strategi bisnis dan reputasi perusahaan. Platform e-commerce yang transparan dalam pengelolaan data pribadi konsumen akan membangun kepercayaan jangka panjang yang lebih kuat.” Imbuh Dr. Sinta Dewi Rosadi, S.H., LL.M., Guru Besar Hukum Pelindungan Data Pribadi Universitas Padjadjaran, seperti dilansir dari pikiranrakyat.
Sanksi yang Mengancam jika Tidak Patuh
Pelanggaran terhadap kewajiban perlindungan data pribadi membawa konsekuensi hukum yang berlapis. Berdasarkan UU PDP, platform digital bisa dikenai:
- Sanksi administratif — berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan data, hingga denda administratif paling tinggi 2% dari pendapatan tahunan
- Sanksi pidana — pidana penjara hingga 6 tahun dan/atau denda hingga Rp6 miliar untuk pelanggaran serius seperti penggunaan atau pengungkapan data tanpa hak
- Denda berlipat bagi korporasi — jika pelanggaran dilakukan oleh badan hukum, denda dapat dikenakan 10 kali lipat dari denda pidana yang berlaku untuk perorangan
- Gugatan perdata — pengguna yang dirugikan berhak menuntut ganti rugi secara perdata, yang dalam kasus kebocoran data massal bisa melibatkan jutaan pengguna sekaligus
Selain sanksi dari UU PDP, PP No. 71 Tahun 2019 juga memberikan kewenangan kepada Kementerian Komunikasi dan Digital untuk menjatuhkan sanksi administratif berupa teguran, denda, penghentian sementara layanan, hingga pemblokiran akses terhadap PSE yang melanggar.
Baca Juga: Sanksi Pelanggar Data Pribadi Menurut UU PDP
Kesimpulan
Data perilaku belanja bukan sekadar aset bisnis, ia adalah data pribadi yang dilindungi hukum. UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi dan PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik sama-sama berlaku dan mengikat seluruh platform digital yang beroperasi di Indonesia.
Platform yang mengumpulkan, menganalisis, dan memanfaatkan data perilaku pengguna tanpa memenuhi kewajiban hukum ini tidak hanya menanggung risiko sanksi yang berat, tapi juga kehilangan kepercayaan pengguna yang semakin sadar akan hak-hak digital mereka. Kepatuhan terhadap regulasi data pribadi bukan lagi pilihan, ia adalah syarat operasional bisnis digital yang berkelanjutan.
Pastikan Platform Digital Anda Sudah Patuh
Apakah kebijakan privasi platform Anda sudah mencakup data perilaku pengguna? Apakah mekanisme persetujuan Anda sudah memenuhi standar UU PDP? Konsultasikan kebutuhan kepatuhan data pribadi bisnis Anda bersama mitra advokat Hukumku.
