Pada tahun 2013, sebuah kasus muncul antara Planet49, situs game online, dan Federasi Asosiasi Pusat Konsumen dan Asosiasi Konsumen Federal di Jerman. Planet49 mengadakan lotere promosi online yang mengharuskan peserta untuk mengunjungi halaman web dan memberikan informasi pribadi.

Persetujuan dicapai melalui dua kotak centang, salah satunya telah dicentang sebelumnya oleh sistem Planet49, yang dianggap sebagai bentuk persetujuan implisit. (Curia, 2019).

Atas dasar itu lah Federasi Asosiasi Pusat Konsumen dan Asosiasi Konsumen Federal Jerman meminta CJEU selaku otoritas kehakiman Uni Eropa untuk membantu menyelesaikan permasalahan terkait dengan apakah persetujuan melalui kotak yang telah dicentang sebelumnya merupakan bentuk persetujuan yang sah secara umum di seluruh Uni Eropa.

Kronologi

Pada tanggal 24 September 2013, Planet49 menggelar undian promosi di situs www.dein-macbook.de. Proses pendaftaran lotere mengharuskan pengguna internet untuk memasukkan kode pos, mengikuti langkah-langkah berikutnya di halaman web, termasuk pemilihan kotak centang.

Pada salah satu kotak centang, sudah diisi secara otomatis oleh sistem dari Planet49. Kotak tersebut berisi perizinan layanan analisis web Remintrex menggunakan cookie.

“I agree to the web analytics service Remintrex being used for me. This has the consequence that, following registration for the lottery, the lottery organiser, [Planet49], sets cookies, which enables Planet49 to evaluate my surfing and use behaviour on websites of advertising partners and thus enables advertising by Remintrex that is based on my interests. I can delete the cookies at any time. You can read more about this here.’

Atas hal tersebut, Federasi mengajukan tuntutan untuk memerintahkan Planet49 berhenti menggunakan deklarasi tersebut dan membayarnya sebesar EUR 214 ditambah bunga. Namun Pengadilan Regional, Frankfurt am Main menyatakan bahwa tuntutan Federasi tidak beralasan, mengingat pengguna dapat membatalkan pilihan centang dan informasi tentang cookie disajikan dengan jelas. Atas putusan tersebut, Federasi mengajukan kasasi ke Pengadilan Federal, Jerman.

Keputusan CJEU

Dalam pertimbangannya, Pengadilan menggunakan Pasal 4 ayat (11) General Data Protection Regulation (GDPR) yang menyatakan bahwa persetujuan harus diberikan melalui tindakan yang jelas dan afirmatif yang menetapkan indikasi persetujuan subjek data yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu terhadap pemrosesan data pribadi yang berkaitan dengannya (Curia, 2019).

“……the wording of Article 4(11) of Regulation 2016/679, which defines the ‘data subject’s consent’ for the purposes of that regulation and, in particular, of Article 6(1)(a) thereof, to which Question 1(c) refers, appears even more stringent than that of Article 2(h) of Directive 95/46 in that it requires a ‘freely given, specific, informed and unambiguous’ indication of the data subject’s wishes in the form of a statement or of ‘clear affirmative action’ signifying agreement to the processing of the personal data relating to him or her.”

Berdasarkan ketentuan pasal tersebut, maka Pengadilan menilai bahwa GDPR mengharuskan persetujuan diberikan secara aktif, bukan secara pasif. Sehingga kotak yang dicentang sebelumnya atau ketidakaktifan tidak boleh dianggap sebagai persetujuan (Lexology, 2019).

“Active consent is thus now expressly laid down in Regulation 2016/679. It should be noted in that regard that, according to recital 32 thereof, giving consent could include ticking a box when visiting an internet website. On the other hand, that recital expressly precludes ‘silence, pre-ticked boxes or inactivity’ from constituting consent.”

Bagaimana Di Indonesia?

Di Indonesia, hal tersebut diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). UU tersebut merupakan payung hukum yang harus dipatuhi oleh para pengendali dan pemroses data dalam mengumpulkan, memproses dan menyimpan data pribadi miliki orang lain. Pengendali wajib memiliki dasar pemrosesan Data Pribadi sebagaimana yang tercantum dalam Pasal 20 ayat (1) UU PDP. Dasar pemrosesan yang dimaksud dalam hal ini salah satunya yakni terkait dengan persetujuan.

Apabila kembali menilik pada kasus di atas yang mana Planet46 meminta persetujuan dengan cara implisit, maka hal ini bertentangan dengan Pasal 20 ayat (2) huruf a yang menyatakan bahwa pengendali wajib memiliki dasar pemrosesan data pribadi dengan memperoleh persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi.

Dalam hal ini, persetujuan eksplisit yang dimaksud ialah persetujuan yang diberikan secara tegas, jelas dan aktif kepada pengguna sehingga pengguna dapat dengan kesadarannya menyetujui permintaan persetujuan tersebut baik dengan cara membubuhkan tanda tangan ataupun mencentang kotak persetujuan. Sehingga menghapus centang yang telah diaktifkan sebelumnya tidak dapat dianggap sebagai bentuk persetujuan yang eksplisit, karena hal tersebut dapat dimaknai bahwa pengguna/Subjek Data Pribadi secara tidak langsung diarahkan menyetujui pernyataan persetujuan tersebut.

Writer:

Intan Reffina, S.H

Source:

Asosiasi Penyelenggara Jasa Internet Indonesia. 2023. “Survei APJII Pengguna Internet di Indonesia Tembus 215 Juta Orang”. Diakses melalui laman https://apjii.or.id/berita/d/survei-apjii-pengguna-internet-di-indonesia-tembus-215-juta-orang

JUDGMENT OF THE COURT (Grand Chamber) In Case C‑673/17. CURIA - Documents (europa.eu)

Lexology. 2019. “Pre-Checked Boxes Do Not Constitute Valid Consent Under GDPR”, diakses melalui https://www.lexology.com/library/detail.aspx?g=e84736dd-c7e0-4c5b-99d2-c7a928d65ede.

Muhammad Fajar Sidiq, Muhammad Nur Faiz. 2019. “Review Tools Web Browser Forensics untuk Mendukung Pencarian Bukti Digital”. Jurnal Edukasi dan Penelitian Informatika. Vol.5/No.1.

Muhammad Fikri, Shelvi Rusdiana. 2023. “Ruan Lingkup Perlindungan Data Pribadi: Kajian Hukum Positif Indonesia”, Ganesha Law Review. Vol.5/No.1

SecureTask.2022. “Muncul Cookies di Website Sebenarnya Berbahaya atau Tidak?”. Diakses melalui laman https://www.securetasks.co.id/blog/muncul-cookies-di-website-sebenarnya-berbahaya-atau-tidak.