Banyak perusahaan mengira mereka sudah memiliki persetujuan pengguna cukup hanya dengan mencantumkan kotak centang di formulir pendaftaran. Padahal, UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) menetapkan standar yang jauh lebih ketat. Persetujuan yang tidak memenuhi syarat yang ditentukan dalam Pasal 20, 21, dan 22 dinyatakan batal demi hukum, artinya seluruh pemrosesan data yang bersandar pada persetujuan itu juga gugur secara hukum.
Konsekuensinya berat: pemrosesan data tanpa persetujuan yang sah bisa memicu sanksi administratif, pidana, hingga gugatan perdata. Memahami seperti apa mekanisme persetujuan yang benar-benar sah menurut hukum bukan sekadar soal formalitas — ini adalah fondasi keabsahan seluruh kegiatan pengelolaan data pribadi di bisnis Anda.
Mengapa Persetujuan Begitu Krusial dalam UU PDP?
Dasar pemrosesan data pribadi diatur dalam Pasal 20 ayat (1) UU PDP, yang mewajibkan setiap pengendali data memiliki dasar hukum yang sah sebelum memproses data pribadi siapa pun. Pasal 20 ayat (2) kemudian merinci enam dasar yang dapat digunakan, dan persetujuan eksplisit dari subjek data adalah yang pertama dan paling umum digunakan, khususnya oleh platform digital dan bisnis berbasis data.
Baca Juga: Memahami UU PDP: Dasar Hukum, Kewajiban, dan Sanksinya
Lima dasar lainnya mencakup: pemenuhan kewajiban perjanjian, pemenuhan kewajiban hukum pengendali, perlindungan kepentingan vital subjek data, pelaksanaan tugas kepentingan publik atau kewenangan pengendali, dan pemenuhan kepentingan sah lainnya. Namun bagi mayoritas bisnis digital yang tidak menjalankan fungsi publik, persetujuan adalah dasar utama yang wajib dipenuhi dengan benar.
Sebelum Meminta Persetujuan: Apa yang Wajib Disampaikan?
Sebelum meminta persetujuan, pengendali data wajib menyampaikan informasi yang memadai kepada subjek data. Kewajiban ini diatur dalam Pasal 21 UU PDP. Tanpa pemenuhan kewajiban informasi ini, persetujuan yang diperoleh tidak memiliki dasar yang sah karena pengguna tidak bisa memberikan persetujuan yang sungguh-sungguh tanpa memahami apa yang mereka setujui.
Informasi yang wajib disampaikan meliputi:
- Identitas pengendali data pribadi — nama dan kontak resmi pihak yang meminta dan akan memproses data
- Dasar kepentingan hukum — alasan hukum mengapa data pribadi tersebut dibutuhkan
- Tujuan pemrosesan — untuk keperluan apa data akan digunakan, secara spesifik dan tidak samar-samar
- Jenis data yang akan diproses — data apa saja yang akan dikumpulkan
- Jangka waktu pemrosesan dan penyimpanan — berapa lama data akan disimpan dan digunakan
- Hak-hak subjek data — termasuk hak mengakses, mengoreksi, menghapus, dan menarik persetujuan
Jika sewaktu-waktu terdapat perubahan atas informasi yang telah disampaikan, pengendali data wajib memberitahu subjek data sebelum perubahan itu berlaku.
Syarat Sah Persetujuan menurut Pasal 22 UU PDP
Setelah informasi yang memadai disampaikan, barulah persetujuan bisa diminta. Pasal 22 UU PDP mengatur secara rinci syarat-syarat yang harus dipenuhi agar persetujuan memiliki kekuatan hukum.
1. Harus Tertulis atau Terekam
Berdasarkan Pasal 22 ayat (1), persetujuan pemrosesan data pribadi harus dilakukan melalui persetujuan tertulis atau terekam. Persetujuan ini bisa disampaikan secara elektronik maupun nonelektronik, dan keduanya memiliki kekuatan hukum yang sama berdasarkan Pasal 22 ayat (3).
Penting untuk dipahami: persetujuan lisan dalam konteks tertentu secara teknis dimungkinkan, namun harus dapat dibuktikan. Dalam praktik, ini berarti setiap mekanisme persetujuan harus meninggalkan jejak yang dapat diverifikasi, baik berupa log sistem, rekaman, atau dokumen tertulis yang tersimpan.
2. Harus Eksplisit, Bukan Implisit atau Default
Pasal 22 ayat (4) menegaskan bahwa jika persetujuan memuat tujuan lain dari yang utama, permintaan persetujuan harus memenuhi tiga kondisi: dapat dibedakan secara jelas dengan hal lainnya, dibuat dengan format yang dapat dipahami dan mudah diakses, serta menggunakan bahasa yang sederhana dan jelas.
Implikasi praktisnya sangat signifikan. Kotak centang yang sudah terisi secara otomatis (pre-checked box), tombol ‘Lanjut’ yang menyiratkan persetujuan, atau klausul tersembunyi jauh di dalam syarat dan ketentuan, semua ini tidak memenuhi syarat eksplisit yang dimaksud UU PDP.
3. Wajib Dapat Dibuktikan
Pasal 22 ayat (6) mewajibkan pengendali data untuk menunjukkan bukti persetujuan yang telah diberikan oleh subjek data. Artinya, sistem pengelolaan data harus dirancang sedemikian rupa sehingga rekam jejak persetujuan tersimpan dengan baik: kapan diberikan, oleh siapa, untuk tujuan apa, dan dalam format apa.
4. Tidak Sah jika Mengandung Dark Pattern
Meskipun UU PDP belum secara eksplisit menyebutkan istilah dark pattern, syarat persetujuan yang sah secara implisit melarang praktik antarmuka yang memanipulasi pengguna. Praktik seperti menyembunyikan tombol penolakan, membuat proses menolak jauh lebih rumit dari proses menyetujui, atau memilihkan opsi default yang menguntungkan pengendali data, semuanya bertentangan dengan syarat persetujuan yang “dapat dibedakan secara jelas” dan menggunakan “bahasa yang sederhana dan jelas.”
Akibat Hukum jika Persetujuan Tidak Memenuhi Syarat
Pasal 22 ayat (5) UU PDP menegaskan: persetujuan yang tidak memenuhi ketentuan Pasal 22 ayat (1) dan ayat (4) dinyatakan batal demi hukum. Batal demi hukum berbeda dengan dapat dibatalkan, batal demi hukum berarti persetujuan tersebut dianggap tidak pernah ada sejak awal.
Selanjutnya, Pasal 24 UU PDP juga menyatakan bahwa klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan data pribadi tanpa persetujuan yang sah secara eksplisit juga dinyatakan batal demi hukum. Ini berarti seluruh ketentuan kontrak yang menyandarkan keabsahannya pada persetujuan cacat tersebut turut gugur.
Kesimpulan
Persetujuan yang sah bukan soal apakah pengguna sudah mengklik tombol setuju atau tidak. UU PDP menetapkan standar substantif: informasi yang memadai harus disampaikan terlebih dahulu, persetujuan harus eksplisit dan aktif, harus bisa dibuktikan, dan harus mudah ditarik kembali. Persetujuan yang tidak memenuhi syarat ini batal demi hukum beserta seluruh konsekuensi hukum yang mengikutinya.
Membangun mekanisme persetujuan yang benar bukan investasi yang mahal. Namun biaya yang harus dibayar jika tidak melakukannya, sanksi administratif, pidana, dan gugatan perdata, jauh lebih besar. Mulailah dari audit mekanisme persetujuan yang sudah ada sekarang.
Audit Mekanisme Persetujuan Anda Bersama Hukumku
Apakah formulir persetujuan Anda sudah memenuhi standar Pasal 20, 21, dan 22 UU PDP? Apakah sistem Anda sudah mencatat bukti persetujuan yang bisa ditunjukkan jika diminta lembaga pengawas? Konsultasikan kebutuhan kepatuhan data pribadi bisnis Anda bersama tim ahli Hukumku, mulai dari audit kebijakan privasi, perancangan mekanisme persetujuan, hingga pendampingan hukum jika terjadi sengketa data pribadi.
