Privacy Notice vs Privacy Policy: Transparansi atau Sekadar Persetujuan?

Isu pelindungan data pribadi semakin mendapat perhatian global seiring meningkatnya aktivitas masyarakat di ruang digital. Berbagai kasus kebocoran data, pengumpulan data tanpa persetujuan yang memadai, serta penggunaan data pengguna untuk kepentingan komersial memicu perdebatan mengenai batas pemrosesan data oleh perusahaan teknologi.

Pengawasan regulator terhadap praktik tersebut juga semakin meningkat. Pada tahun 2025, misalnya, otoritas persaingan di Polandia melakukan penyelidikan terhadap perusahaan teknologi global terkait implementasi kebijakan privasi yang dinilai berpotensi tidak transparan bagi pengguna. Peristiwa ini menunjukkan bahwa persoalan privasi tidak lagi sekadar isu teknis, tetapi telah berkembang menjadi persoalan hukum, tata kelola, dan perlindungan hak individu di era digital.

Dalam praktik penggunaan layanan digital, pengguna internet sering dihadapkan pada berbagai bentuk pemberitahuan mengenai pengolahan data pribadi, seperti privacy notice, privacy policy, maupun syarat dan ketentuan penggunaan layanan. Pemberitahuan tersebut umumnya muncul dalam bentuk pop-up yang meminta pengguna menekan tombol “setuju” sebelum dapat melanjutkan penggunaan aplikasi.

Sekilas, mekanisme tersebut terlihat sebagai bentuk transparansi. Namun, dalam praktiknya sering muncul persoalan mengenai kejelasan informasi yang diberikan kepada pengguna, perbedaan istilah antara privacy notice dan privacy policy, serta keabsahan persetujuan yang diberikan ketika akses layanan bersifat “take-it-or-leave-it”.

Dalam sistem hukum Indonesia, pelindungan data pribadi diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Pasal 1 UU PDP mendefinisikan data pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara langsung maupun tidak langsung.

Dalam konteks layanan digital, penyelenggara aplikasi bertindak sebagai Pengendali Data Pribadi, yaitu pihak yang menentukan tujuan dan mengendalikan pemrosesan data pribadi. Oleh karena itu, mereka memiliki kewajiban hukum untuk memastikan pemrosesan data dilakukan secara sah dan transparan.

Salah satu prinsip utama dalam UU PDP adalah transparansi. Pasal 21 ayat (1) mengatur bahwa Pengendali Data Pribadi wajib memberikan informasi mengenai dasar hukum pemrosesan, tujuan pemrosesan, jenis data yang diproses, jangka waktu penyimpanan, serta hak subjek data. Ketentuan ini mencerminkan konsep privacy notice, yaitu pemberitahuan kepada pengguna mengenai bagaimana data mereka diproses.

Dengan demikian, privacy notice merupakan instrumen informatif yang ditujukan kepada subjek data sebagai bentuk keterbukaan. Sebaliknya, privacy policy dalam praktik tata kelola perusahaan biasanya merujuk pada dokumen internal yang mengatur kebijakan dan prosedur perusahaan dalam mengelola data pribadi. Dokumen ini berfungsi sebagai pedoman kepatuhan internal, bukan sebagai instrumen persetujuan publik.

Namun dalam praktik digital, kedua istilah tersebut sering digunakan secara bergantian. Hal ini berpotensi menimbulkan kekeliruan konseptual. Jika dokumen yang sebenarnya hanya berisi pemberitahuan diberi label policy, pengguna dapat mengira bahwa mereka sedang menyetujui seperangkat ketentuan sepihak, bukan sekadar menerima informasi mengenai pemrosesan data.

Persoalan lain muncul ketika privacy notice disertai persetujuan wajib sebagai syarat akses layanan. Padahal, menurut Pasal 20 ayat (2) UU PDP, pemrosesan data pribadi tidak selalu harus didasarkan pada persetujuan. Pemrosesan juga dapat dilakukan berdasarkan kewajiban kontraktual, kewajiban hukum, atau kepentingan yang sah (legitimate interest).

Selain itu, persetujuan harus diberikan secara sah, eksplisit, dan dapat dibuktikan. UU PDP juga memberikan hak kepada subjek data untuk menarik kembali persetujuan kapan saja. Ketentuan ini menunjukkan bahwa persetujuan harus diberikan secara bebas (freely given).

Apabila pengguna tidak dapat mengakses layanan kecuali menyetujui seluruh pemrosesan data, maka terdapat indikasi bahwa persetujuan tersebut tidak diberikan secara bebas. Praktik ini dikenal sebagai forced consent atau bundled consent.

Dari perspektif perlindungan konsumen, praktik tersebut juga berpotensi bermasalah. Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen memberikan hak kepada konsumen untuk memperoleh informasi yang benar, jelas, dan jujur mengenai barang atau jasa yang digunakan. Jika pemberitahuan privasi disusun dengan cara yang membingungkan, hak atas informasi yang jelas dapat terlanggar.

Selain itu, Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) juga menegaskan bahwa penggunaan data pribadi melalui media elektronik harus dilakukan atas persetujuan pihak yang bersangkutan, kecuali ditentukan lain oleh peraturan perundang-undangan. Persetujuan tersebut harus didasarkan pada pemahaman yang memadai dan pilihan yang nyata.

Dalam praktik tata kelola data yang lebih baik, pemberitahuan dan persetujuan seharusnya dipisahkan. Privacy notice perlu disajikan sebagai informasi yang jelas dan mudah dipahami mengenai pemrosesan data. Persetujuan baru diminta secara terpisah untuk aktivitas tambahan, seperti pengiriman materi pemasaran, personalisasi berbasis perilaku, atau pembagian data kepada pihak ketiga.

Pendekatan ini sejalan dengan prinsip akuntabilitas dalam UU PDP yang mewajibkan pemrosesan data pribadi dilakukan secara bertanggung jawab. Dengan pemisahan yang jelas antara pemberitahuan dan persetujuan, pelaku usaha tidak hanya meningkatkan kepatuhan hukum, tetapi juga memperkuat kepercayaan publik terhadap ekosistem digital.

Pada akhirnya, perbedaan antara privacy notice dan privacy policy bukan sekadar persoalan istilah. Perbedaan tersebut berkaitan dengan transparansi informasi, keabsahan persetujuan, dan perlindungan hak subjek data dalam penggunaan layanan digital.

Referensi:

• Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi;
• Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 1 Tahun 2024;
• Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen;
• Reuters (2025);
• Tirto.id (2025).