Sebuah aplikasi baru dibuka untuk pertama kali. Sebelum pengguna mencapai layanan yang dicari, muncul layar berisi penjelasan tentang data pribadi. Ada paragraf panjang dengan huruf kecil, beberapa tautan menuju dokumen lain, dan satu tombol berwarna terang bertuliskan “Saya Setujuâ€.
Pilihan yang lain tidak langsung terlihat.
Mungkin ada tombol “Kelola Pengaturan†dengan warna pucat. Mungkin pengguna harus menggulir sampai akhir, membuka beberapa menu, lalu mematikan izin satu per satu. Mungkin menolak berarti aplikasi tidak dapat digunakan sama sekali, meskipun sebagian data yang diminta tidak diperlukan untuk fungsi utamanya.
Beberapa detik kemudian, tombol terang ditekan. Sistem mencatat bahwa persetujuan telah diberikan.
Namun, apa sebenarnya yang baru saja disetujui?
Pertanyaan ini lebih sulit daripada kelihatannya. Dalam percakapan sehari-hari, persetujuan sering dipahami sebagai tindakan sederhana: seseorang ditanya, lalu menjawab ya atau tidak. Dalam layanan digital, keputusan itu dibentuk oleh arsitektur layar. Warna, ukuran tombol, urutan pilihan, bahasa, jumlah langkah, pengaturan awal, dan waktu kemunculan pesan dapat mengarahkan pengguna menuju hasil tertentu.
Karena itu, persetujuan tidak dapat dinilai hanya dari keberadaan tombol “Saya Setujuâ€. Kita perlu melihat bagaimana pilihan tersebut disajikan.
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi mensyaratkan bahwa persetujuan pemrosesan data diberikan secara eksplisit untuk satu atau beberapa tujuan tertentu yang telah disampaikan kepada subjek data. Pengendali data juga wajib memberikan informasi mengenai legalitas pemrosesan, tujuan, jenis dan relevansi data, masa retensi, rincian informasi yang dikumpulkan, jangka waktu pemrosesan, serta hak subjek data.
Undang-undang itu juga mengatur bentuk persetujuan. Persetujuan dapat disampaikan secara tertulis atau terekam, secara elektronik maupun nonelektronik, dan harus menggunakan bahasa yang sederhana, jelas, serta mudah dipahami dan diakses. Persetujuan yang memuat tujuan lain harus dapat dibedakan secara jelas dari hal-hal lainnya.
Prinsip tersebut menunjukkan bahwa persetujuan bukan sekadar bukti bahwa pengguna pernah menyentuh layar. Persetujuan adalah proses pemberian pilihan setelah informasi yang relevan benar-benar tersedia.
Masalah pertama muncul ketika informasi terlalu banyak tetapi tidak menjelaskan apa-apa. Kebijakan privasi dapat terdiri dari ribuan kata, memakai istilah hukum dan teknis, serta merujuk ke dokumen lain. Secara formal, informasinya tersedia. Secara praktis, pengguna diminta mengambil keputusan sebelum dapat memahami akibatnya.
Panjang bukan satu-satunya masalah. Penjelasan seperti “meningkatkan pengalaman penggunaâ€, “keperluan bisnisâ€, atau “menyediakan layanan yang dipersonalisasi†terdengar masuk akal tetapi terlalu luas. Pengguna tidak mengetahui data apa yang dipakai, dengan siapa data dibagikan, dan apa yang berubah bila ia menolak.
Bahasa yang jelas perlu menyebut tindakan nyata. Apakah aplikasi membaca lokasi setiap saat atau hanya ketika fitur peta digunakan? Apakah daftar kontak dikirim ke peladen perusahaan? Apakah aktivitas pengguna dipakai untuk memilih iklan? Apakah informasi dibagikan kepada mitra? Berapa lama data disimpan? Jawaban tersebut seharusnya muncul dekat dengan saat keputusan dibuat, bukan terkubur dalam dokumen yang jarang dibuka.
Masalah kedua terletak pada desain pilihan. Praktik desain yang mengarahkan, memanipulasi, atau menghambat pengguna agar mengambil keputusan yang mungkin tidak akan dipilih secara bebas sering disebut dark patterns atau deceptive patterns.
Bentuknya tidak selalu mencolok. Tombol menerima dapat dibuat besar dan berwarna cerah, sedangkan pilihan menolak menjadi tautan abu-abu. Pengaturan yang paling banyak mengumpulkan data dijadikan pilihan awal. Menyetujui cukup satu sentuhan, tetapi menolak membutuhkan lima layar. Pertanyaan dapat memakai kalimat yang membingungkan, misalnya tombol “Jangan nonaktifkan†untuk mempertahankan pelacakan. Permintaan yang telah ditolak juga dapat dimunculkan berulang kali sampai pengguna lelah.
Setiap unsur mungkin tampak sepele. Jika digabungkan, desain tersebut mengubah persetujuan menjadi ujian ketahanan. Perusahaan tidak melarang pengguna menolak; ia hanya membuat penolakan cukup merepotkan sehingga kebanyakan orang memilih jalan termudah.
OECD memasukkan praktik desain semacam itu dalam pembahasan tentang dark commercial patterns: antarmuka yang mengganggu atau melemahkan kemampuan konsumen membuat pilihan yang bebas dan terinformasi. Persoalannya bukan hanya estetika buruk. Desain dapat memanfaatkan keterbatasan perhatian, kecenderungan mengikuti pengaturan awal, dan keinginan segera menyelesaikan tugas.
Dalam konteks data pribadi, ketimpangan itu semakin besar karena perusahaan merancang seluruh lingkungan keputusan. Ia menentukan kapan permintaan muncul, informasi apa yang ditonjolkan, berapa banyak langkah yang harus ditempuh, dan apa yang terjadi setelah tombol ditekan. Pengguna hanya diberi beberapa detik di dalam ruang yang dibuat oleh pihak yang berkepentingan memperoleh persetujuan.
Masalah ketiga adalah kebebasan untuk menolak. Persetujuan sulit disebut bebas bila penolakan menghilangkan akses terhadap layanan yang sebenarnya tidak membutuhkan data tersebut.
Aplikasi kamera, misalnya, dapat memerlukan akses kamera agar fungsi utamanya bekerja. Aplikasi navigasi dapat membutuhkan lokasi saat pengguna meminta petunjuk. Hubungan antara data dan fungsi terlihat jelas. Namun, bila sebuah layanan meminta daftar kontak, mikrofon, lokasi terus-menerus, dan izin pemasaran untuk fungsi yang tidak berkaitan, pilihan “setuju atau tidak dapat menggunakan aplikasi†patut dipertanyakan.
Pemisahan tujuan menjadi penting. Pengguna mungkin bersedia memberikan alamat untuk pengiriman barang, tetapi tidak ingin alamat tersebut digunakan untuk membuat profil pemasaran. Ia mungkin mengizinkan lokasi ketika aplikasi sedang dipakai, tetapi tidak sepanjang hari. Ia mungkin menyetujui pemberitahuan transaksi, tetapi menolak promosi.
Satu tombol untuk semua tujuan menghapus perbedaan tersebut. Persetujuan berubah menjadi paket yang tidak dapat dinegosiasikan.
Desain yang baik seharusnya memakai pilihan terperinci hanya ketika pilihan itu memang bermakna, tanpa membebani pengguna dengan puluhan sakelar yang tidak dapat dipahami. Tujuan inti dan tujuan tambahan perlu dipisahkan. Pilihan awal untuk pemrosesan tambahan tidak seharusnya diasumsikan aktif. Menolak harus semudah menerima. Mengubah keputusan setelahnya juga harus dapat dilakukan melalui jalur yang jelas.
Undang-Undang PDP memberi subjek data hak untuk menarik kembali persetujuan pemrosesan. Hak ini penting karena keputusan dapat berubah. Pengguna mungkin baru memahami konsekuensi setelah memakai layanan, membaca informasi baru, atau melihat perubahan kebijakan. Jika persetujuan dapat diberikan dalam satu sentuhan tetapi pencabutannya membutuhkan surel, formulir, dan penantian panjang, keseimbangan itu hanya ada di atas kertas.
Pencabutan persetujuan juga perlu dibedakan dari penghapusan akun. Pengguna seharusnya dapat menghentikan pemrosesan tambahan tanpa selalu kehilangan seluruh layanan. Pengaturan privasi harus mudah ditemukan, memakai istilah yang sama dengan layar awal, serta menjelaskan akibat setiap perubahan.
Ada kekeliruan lain yang sering terjadi: menganggap seluruh pemrosesan data harus didasarkan pada persetujuan. UU PDP mengenal dasar pemrosesan lain, seperti pemenuhan kewajiban perjanjian, kewajiban hukum, pelindungan kepentingan vital, pelaksanaan tugas untuk kepentingan umum, dan kepentingan sah dengan memperhatikan keseimbangan dengan hak subjek data.
Keberadaan dasar lain justru memperjelas fungsi persetujuan. Perusahaan tidak seharusnya meminta pengguna “menyetujui†sesuatu yang sebenarnya wajib dilakukan berdasarkan hukum atau benar-benar diperlukan untuk menjalankan kontrak. Jika semua kegiatan dibungkus sebagai persetujuan, pengguna mendapat kesan palsu bahwa semuanya dapat dipilih, sementara perusahaan menghindari penjelasan tentang dasar dan batas pemrosesannya.
Kerangka Privasi NIST menempatkan komunikasi, pengelolaan preferensi, penilaian risiko, dan tata kelola sebagai bagian dari pengelolaan privasi. Pelajaran pentingnya adalah bahwa privasi tidak selesai pada layar awal. Antarmuka persetujuan harus terhubung dengan sistem internal: pencatatan tujuan, pembatasan akses, jadwal penghapusan, pengelolaan pihak ketiga, dan kemampuan menjalankan pilihan pengguna.
Tombol yang jujur tidak berguna bila sistem di belakangnya tidak dapat membedakan data menurut tujuan. Sebaliknya, sistem kepatuhan yang canggih tidak cukup bila pengguna diarahkan untuk menyetujui melalui layar manipulatif.
Pengujian desain persetujuan karena itu tidak boleh hanya dilakukan oleh tim hukum. Perancang produk perlu menguji apakah pengguna memahami pilihan, bukan sekadar berhasil menyelesaikan layar. Tim aksesibilitas perlu memastikan informasi dapat digunakan penyandang disabilitas. Tim keamanan dan privasi harus memeriksa apakah pilihan benar-benar diterapkan. Catatan keputusan desain perlu disimpan agar perusahaan dapat menjelaskan mengapa suatu tombol, pengaturan awal, atau urutan layar dipilih.
Regulator pun perlu menilai pengalaman nyata, bukan hanya teks kebijakan. Pemeriksaan dapat membandingkan jumlah langkah untuk menerima dan menolak, menguji bahasa pada layar, melihat pengaturan awal, serta memastikan pencabutan persetujuan bekerja. Bukti terbaik tentang validitas persetujuan bukan tangkapan layar satu tombol, melainkan keseluruhan perjalanan pengguna.
Pada akhirnya, layar persetujuan merupakan tempat kecil dengan konsekuensi besar. Di sana, hak yang abstrak diterjemahkan menjadi warna, kalimat, tombol, dan jalur navigasi. Desain dapat membantu seseorang menentukan pilihan atau secara halus mengambil pilihan itu darinya.
Pertanyaan yang tepat bukan lagi apakah pengguna menekan “Saya Setujuâ€. Pertanyaannya adalah apakah ia memahami apa yang diminta, dapat memilih setiap tujuan yang relevan, bebas menolak tanpa hukuman yang tidak semestinya, dan mudah mengubah keputusan.
Jika jawabannya tidak, tombol tersebut mungkin mencatat persetujuan. Tetapi ia belum tentu membuktikannya.
References
1. https://peraturan.bpk.go.id/Details/229798/uu-no-27-tahun-2022
2. https://www.dpr.go.id/dokjdih/document/uu/1814.pdf
3. https://www.oecd.org/en/publications/dark-commercial-patterns_44f5e846-en.html
4. https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
5. https://www.nist.gov/privacy-framework