Konsep Persetujuan yang Sah
Pasal 21 UU PDP mendefinisikan persetujuan sebagai "pernyataan kehendak yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu oleh pemegang data pribadi, sebagai manifestasi dari kehendak bebas untuk menyetujui pemrosesan data pribadi yang dilakukan terhadap dirinya." Keempat elemen ini—bebas, spesifik, terinformasi, dan tidak ambigu—harus hadir secara bersamaan untuk membuat persetujuan itu sah. Ketiadaan salah satu elemen akan membuat persetujuan dianggap tidak sah, dan dengan demikian pemrosesan yang didasarkan padanya melanggar UU PDP.
Elemen 1: Bebas (Freely Given)
Persetujuan harus diberikan secara bebas tanpa paksaan, intimidasi, atau pengaruh yang tidak wajar. Pasal 22 UU PDP secara tegas melarang bundling persetujuan—yaitu, menghubungkan persetujuan untuk pemrosesan data dengan penyediaan layanan atau produk yang tidak membutuhkan data tersebut. Contoh pelanggaran: syarat wajib mengaktifkan pelacakan lokasi untuk mendapatkan diskon di aplikasi belanja, atau mewajibkan followers membaca newsletter marketing untuk akses konten eksklusif. Organisasi tidak boleh membuat persetujuan sebagai prasyarat untuk menerima layanan dasar, tetapi dapat membuat persetujuan untuk layanan tambahan (opt-in for extra features).
Elemen 2: Spesifik (Specific)
Persetujuan harus diberikan untuk tujuan atau kegiatan pemrosesan yang jelas dan terbatas. Tidak dapat menggunakan satu persetujuan blanket untuk semua tujuan pemrosesan. Jika organisasi ingin memproses data untuk pemasaran, analitik, dan pengiriman pihak ketiga, harus ada persetujuan terpisah untuk masing-masing tujuan atau setidaknya persetujuan yang dengan jelas menguraikan setiap tujuan secara individual. Persetujuan yang mengatakan "Anda setuju bahwa data Anda dapat digunakan untuk tujuan apapun yang kami perlukan" jelas tidak memenuhi standar spesifisitas dan karena itu tidak sah.
Elemen 3: Terinformasi (Informed)
Sebelum memberikan persetujuan, subjek data harus menerima informasi lengkap tentang pemrosesan data, termasuk: identitas pengendali data, tujuan pemrosesan yang jelas, jenis data yang akan diproses, penerima data (jika ada), periode penyimpanan data, hak-hak subjek data (akses, koreksi, penghapusan, portabilitas), dan konsekuensi jika tidak memberikan persetujuan (misalnya, layanan tidak dapat disediakan). Informasi ini harus diberikan dengan cara yang mudah dipahami dan tidak tersembunyi dalam lampiran atau dokumen yang panjang. Mengkubur pernyataan penting tentang pemrosesan di halaman 47 dari Terms of Service bukanlah praktik memberikan informasi yang terinformasi.
Elemen 4: Tidak Ambigu (Unambiguous)
Persetujuan harus diwujudkan melalui tindakan nyata yang positif dan jelas, bukan melalui keheningan, inaktivitas, atau pre-ticked boxes. Pasal 21 ayat (2) secara tegas melarang penggunaan pre-checked checkboxes atau opt-out mechanisms sebagai bentuk persetujuan—hanya opt-in yang eksplisit yang sah. Contoh tindakan yang sah: mengklik tombol "Saya setuju," menandatangani dokumen, atau memilih pilihan dalam antarmuka. Contoh yang tidak sah: pre-checked kotak di halaman signup, silence atau failure to object, atau mengasumsikan persetujuan dari previous interaction.
| KONSEP KUNCI | Keempat elemen persetujuan—bebas, spesifik, terinformasi, dan tidak ambigu—tidak dapat dipisahkan. Jika salah satu elemen hilang, seluruh persetujuan dianggap tidak sah. Pengendali data harus mampu membuktikan kehadiran keempat elemen tersebut dengan dokumentasi dan bukti teknis (audit log untuk capture consent, screenshot dari consent form pada waktu pemberian consent, dll). |
Persetujuan Eksplisit untuk Data Spesifik
Selain empat elemen dasar, UU PDP memberlakukan persyaratan tambahan untuk kategori data tertentu yang dianggap sangat sensitif. Pasal 4 mendefinisikan "data pribadi yang bersifat spesifik" termasuk data kesehatan, biometrik, genetika, data anak, data keuangan, dan data yang terkait dengan keyakinan agama atau pandangan politik. Untuk semua kategori ini, Pasal 20(a) mensyaratkan not just regular consent tetapi explicit consent (persetujuan eksplisit).
Explicit consent memiliki standar yang lebih tinggi daripada regular consent. Selain empat elemen dasar, explicit consent harus:
(1) diberikan secara afirmatif melalui tindakan yang spesifik untuk data spesifik tersebut (tidak dapat dibundling dengan kategori data lain),
(2) didokumentasikan dengan sangat hati-hati dengan timestamp dan bukti bahwa tindakan afirmatif telah dilakukan, dan
(3) tidak dapat diasumsikan dari konteks umum atau implicit agreement. Contoh explicit consent: mengklik "Saya memahami bahwa data kesehatan saya akan digunakan untuk riset medis" bukan "Saya setuju untuk penggunaan data saya."
Usia Persetujuan dan Persetujuan Orang Tua untuk Anak
Pasal 26 UU PDP menetapkan bahwa anak berusia 17 tahun ke atas dianggap mampu memberikan persetujuan atas nama diri sendiri. Di bawah usia 17 tahun, persetujuan harus diberikan oleh orang tua atau wali sah. Organisasi yang memproses data anak di bawah 17 tahun harus:
(1) memverifikasi umur,
(2) mendapatkan persetujuan dari orang tua atau wali (bukan dari anak sendiri), dan
(3) mendokumentasikan proses verifikasi orang tua dengan hati-hati.
Praktik verifikasi orang tua yang memadai termasuk: meminta copy kartu identitas orang tua, email dari akun email yang terdaftar atas nama orang tua, atau SMS ke nomor telepon yang terdaftar. Praktik yang tidak memadai: hanya menanyakan "Apakah Anda di atas 17 tahun?" atau menerima persetujuan dari email yang terlihat seperti email orang tua tanpa verifikasi lebih lanjut. Organisasi yang gagal melakukan verifikasi orang tua yang memadai berisiko dianggap melakukan pemrosesan tanpa persetujuan yang sah.
| PENTING | Persetujuan orang tua untuk anak di bawah 17 tahun merupakan salah satu area compliance yang paling sulit dalam praktik, terutama untuk layanan digital yang menarik bagi anak (social media, gaming, educational apps). Organisasi harus mengimplementasikan mekanisme verifikasi orang tua yang robust dan terdokumentasi, bukan hanya bertanya-tanya apakah seseorang adalah orang tua tanpa bukti. Kegagalan ini telah menjadi fokus enforcement utama di berbagai yurisdiksi (misalnya, GDPR enforcement di Eropa). |
Penarikan Persetujuan dan Mekanisme Penolakan
Pasal 24 UU PDP memberikan subjek data hak untuk menarik persetujuan kapan saja tanpa perlu memberikan alasan. Penarikan persetujuan harus semudah memberikan persetujuan—jika persetujuan diberikan melalui satu klik, penarikan juga harus dapat dilakukan dengan satu klik. Organisasi harus menyediakan mekanisme penarikan persetujuan yang mudah diakses, transparan, dan segera efektif.
Saat persetujuan ditarik, pemrosesan data harus dihentikan segera setelah organisasi menerima notifikasi penarikan. Namun, data yang telah diproses sebelum penarikan (misalnya, transaksi yang sudah selesai) dapat tetap dipertahankan untuk memenuhi kewajiban hukum lain (misalnya, pembukuan akuntansi 5 tahun). Organisasi harus mengidentifikasi dengan jelas mana bagian dari pemrosesan yang tergantung pada persetujuan dan mana yang tidak, sehingga dapat dengan akurat menghentikan hanya bagian yang tergantung pada persetujuan yang ditarik.
Dokumentasi dan Beban Pembuktian Persetujuan
Pasal 26 meletakkan beban pembuktian (burden of proof) kepada pengendali data untuk menunjukkan bahwa persetujuan yang sah telah diperoleh. Ini berarti bahwa jika terjadi sengketa atau investigasi, pengendali harus mampu membuktikan—bukan subjek data yang harus membuktikan bahwa tidak ada persetujuan. Dokumentasi persetujuan harus mencakup:
(1) Bukti bahwa persetujuan diberikan—screenshot dari consent form pada saat ditandatangani, audit log dari sistem, email confirmation, atau dokumen fisik yang ditandatangani.
(2) Konten persetujuan—teks persis dari apa yang diminta persetujuan untuk itu, apa informasi yang diberikan sebelum persetujuan, dan tanggal/waktu persetujuan diajukan.
(3) Untuk anak di bawah 17 tahun—bukti verifikasi usia dan verifikasi orang tua.
(4) Untuk penarikan—bukti kapan penarikan diberitahukan dan kapan pemrosesan dihentikan.
(5) Informasi tentang penyimpanan dan keamanan dokumen persetujuan itu sendiri.
Tabel berikut menunjukkan standar dokumentasi persetujuan untuk berbagai skenario:
| Skenario | Jenis Persetujuan | Bukti Dokumentasi | Masa Retensi |
|---|---|---|---|
| Signup web untuk layanan SaaS | Regular consent (spesifik tapi tidak data spesifik) | Screenshot consent form + audit log + email confirmation | Selama customer active + 3 tahun setelah cease |
| Capture data biometrik di HR system | Explicit consent (data spesifik) | Signed document + form HR + employee identification + timestamp | Selama employment + 3 tahun post-employment |
| Daftar newsletter marketing | Regular consent (single purpose) | Email confirmation + click tracking log + IP address | Selama subscribed + 1 tahun setelah unsubscribe |
| Anak menggunakan learning platform | Parental consent (usia di bawah 17) | Parental email confirmation + age verification + copy parent ID + timestamp | Selama child active + 5 tahun setelah account closed |
| Consent withdrawal (subjek data) | Penarikan consent | Email/form withdrawal + timestamp + internal record of processing halt | Selamanya (audit trail) |
| Cookie banner di website | Regular consent (marketing cookies) | Browser consent cookie + server-side log + consent text version | Selama cookie retention period |
Persetujuan dalam Konteks Digital dan Mobile
Dalam konteks aplikasi mobile, website, dan layanan digital, persetujuan harus ditangani dengan cermat untuk menghindari dark patterns atau mekanisme yang memanfaatkan pengguna. Cookie banner di website harus mematuhi prinsip persetujuan UU PDP: tombol "Terima semua" dan tombol penolakan harus sama-sama menonjol (tidak boleh tombol penolakan lebih kecil atau tersembunyi), pilihan untuk mengelola cookie preferensi harus mudah diakses, dan pre-checked categories harus dibatasi hanya pada cookies yang essential.
Untuk mobile apps, permission request system harus jelas menunjukkan kepada pengguna apa yang diakses (lokasi, kontak, kamera, mikrofon) dan untuk tujuan apa. Jangan minta semua permissions sekaligus pada startup aplikasi—minta pada waktu fitur akan digunakan (contextual request). Push notification permissions harus opt-in, bukan opt-out. Email capture di form signup harus memiliki checkbox terpisah untuk newsletter, bukan pre-checked.
Konten Informasi yang Harus Diberikan Sebelum Consent
Pasal 23 UU PDP memerlukan bahwa informasi tertentu harus diberikan kepada subjek data sebelum persetujuan diminta. Informasi ini disebut "privacy information" atau "data protection information." Organisasi harus memberikan (dalam bahasa yang jelas dan mudah dipahami):
(1) Identitas pengendali data dan kontak (nama, alamat, email).
(2) Tujuan pemrosesan yang jelas dan spesifik.
(3) Jenis data pribadi yang akan diproses.
(4) Penerima data atau kategori penerima (jika ada).
(5) Periode penyimpanan data.
(6) Hak-hak subjek data: akses, koreksi, penghapusan, pembatasan, portabilitas, keberatan.
(7) Informasi tentang automated decision-making jika ada.
(8) Informasi tentang transfer lintas batas jika akan terjadi.
(9) Informasi tentang sumber data jika data tidak dikumpulkan langsung dari subjek data.
Tabel berikut menunjukkan good practice untuk delivery informasi privacy di berbagai channel:
| Channel | Format Optimal | Persyaratan Khusus | Bukti Compliance |
|---|---|---|---|
| Signup form web | Privacy notice link + checkbox + terms in readable font | Font minimal 12pt, contrast ratio accessible, readable dalam 30 detik | Screenshot + page speed audit + font size certificate |
| Mobile app | In-app privacy policy + permission-specific explanation | Link harus visible before installation, permission explanation sebelum OS request | App store listing + in-app log + permission dialog screenshot |
| Email newsletter | Linked privacy policy + clear double-opt-in | Must be in welcome email, link tidak boleh broken | Email headers + link audit + bounce tracking |
| Offline/paper form | Privacy notice printed atau lamaran terpisah | Same information level dengan digital, harus ditandatangani | Scanned copy + storage audit |
| Phone verification (consent) | SMS + follow-up email dengan privacy notice | Privacy info harus dikirim sebelum or langsung setelah voice consent | Call recording transcript + SMS log + email confirmation |
| Third-party integration (SSO) | Provider privacy policy + data usage explanation | Clear bahwa org bukan Google/Facebook, link ke provider policy | Screenshot + redirect tracking + policy version control |
| WAWASAN BITLION | Dalam audit compliance kami, kami menemukan bahwa 70% organisasi tidak memiliki bukti dokumentasi persetujuan yang memadai—mereka menyimpan consent tetapi tanpa timestamp, tanpa snapshot privacy notice pada saat consent, atau tanpa verification of consent delivery. Sistem consent management yang robust (Consent Management Platform atau CMP) dapat secara signifikan meningkatkan dokumentasi dan mengurangi risiko compliance. Investasi dalam CMP atau custom consent logging system adalah investasi dalam evidence untuk pertahanan hukum. |
Consent Bundling: Apa yang Dilarang dan Apa yang Diperbolehkan
Pasal 22 UU PDP melarang "bundling" persetujuan—menghubungkan persetujuan untuk satu kegiatan pemrosesan dengan penyediaan layanan atau akses ke produk yang tidak memerlukan pemrosesan tersebut. Contoh bundling yang dilarang: "Untuk menggunakan aplikasi belanja kami, Anda harus mengaktifkan tracking lokasi untuk rekomendasi produk," ketika lokasi tracking bukan strictly necessary untuk pemenuhan perjanjian. Namun, bundling yang diperbolehkan adalah menghubungkan beberapa persetujuan untuk pemrosesan yang semua diperlukan untuk satu layanan, selama masing-masing dapat dipilih secara terpisah dan menaruh checkbox terpisah.
Praktik terbaik adalah menggunakan "granular consent" atau "checkbox-per-purpose" approach, di mana setiap tujuan pemrosesan memiliki checkbox terpisah yang dapat dicheck/unchecked secara independen. Jangan menggunakan tombol "Accept All" dan "Reject All" saja—sediakan granular control untuk setiap purpose atau setiap pihak ketiga yang menerima data.