Apakah WhatsApp Blast ke Nomor Pelanggan Melanggar UU PDP? Memahami Legalitas dan Risiko Hukumnya

Banyak perusahaan rutin mengirim WhatsApp blast ke ribuan pelanggan setiap minggu. Isinya promo diskon, launching produk baru, reminder event, atau penawaran kerja sama. Karena nomor tersebut berasal dari pelanggan sendiri, praktik ini sering dianggap aman secara otomatis.

Padahal, dalam konteks UU PDP, status “pelanggan” tidak otomatis membuat perusahaan bebas mengirim pesan promosi kapan saja.

Masalah utamanya bukan sekadar apakah perusahaan memiliki nomor telepon tersebut, tetapi bagaimana nomor itu diperoleh, untuk tujuan apa dikumpulkan, apakah ada consent yang jelas, dan apakah pelanggan diberi hak untuk berhenti menerima pesan.

Di banyak kasus, perusahaan sebenarnya tidak sadar bahwa aktivitas marketing yang selama ini dianggap normal justru berpotensi melanggar prinsip perlindungan data pribadi.

Apakah WhatsApp Blast Legal?

Tidak WhatsApp blast pada dasarnya bukan aktivitas yang otomatis ilegal. Banyak perusahaan menggunakan WhatsApp untuk mengirim promo, pengingat pembayaran, notifikasi transaksi, hingga informasi layanan pelanggan.

Namun, legalitasnya tidak ditentukan oleh platform yang digunakan, melainkan oleh cara perusahaan memperoleh dan menggunakan data pelanggan tersebut.

Jika nomor dikumpulkan secara sah, pelanggan memberikan persetujuan untuk menerima komunikasi, dan perusahaan menyediakan mekanisme opt-out, maka WhatsApp blast umumnya dapat dilakukan secara legal.

Sebaliknya, jika pesan dikirim ke nomor yang diperoleh tanpa izin, digunakan di luar tujuan awal pengumpulan data, atau terus dikirim meskipun penerima keberatan, praktik tersebut dapat menimbulkan risiko pelanggaran regulasi perlindungan data pribadi.

Regulasi Apa Saja yang Relevan untuk WhatsApp Blast di Indonesia?

WhatsApp Blast, atau broadcasting WhatsApp di Indonesia tidak diatur oleh satu regulasi tunggal. Ada beberapa lapisan aturan yang saling berkaitan, baik dari sisi perlindungan data pribadi maupun penggunaan platform komunikasi digital.

1. UU Perlindungan Data Pribadi (UU PDP)

UU Perlindungan Data Pribadi (UU No. 27 Tahun 2022) menjadi kerangka utama yang perlu diperhatikan sebelum WhatsApp Blast. Pasal-pasal tentang persetujuan (consent), pembatasan tujuan pemrosesan, dan hak subjek data langsung relevan dengan aktivitas broadcast marketing.

• Pasal 20 tentang persetujuan (consent): setiap pemrosesan data untuk tujuan pemasaran harus berdasarkan persetujuan eksplisit dari pemilik nomor.
• Pasal 16 tentang pembatasan tujuan: nomor yang dikumpulkan untuk pengiriman barang tidak otomatis sah digunakan untuk promosi.
• Pasal 9 dan 40 tentang hak subjek data: setiap penerima pesan berhak menarik persetujuan kapan saja, dan wajib dihormati.

Tidak ada pengecualian khusus untuk WhatsApp. Baik blast melalui API maupun dari ponsel biasa, UU PDP tetap berlaku sepenuhnya.

2. GDPR (General Data Protection Regulation)

Di tingkat global, praktik WhatsApp blast tanpa persetujuan juga menjadi perhatian serius dalam regulasi perlindungan data seperti GDPR di Uni Eropa. Regulasi ini menekankan bahwa perusahaan tidak boleh menggunakan data pribadi untuk kepentingan pemasaran tanpa dasar hukum yang jelas, terutama consent dari pemilik data.

Dalam konteks marketing communication, GDPR mengharuskan perusahaan memiliki persetujuan yang spesifik, jelas, dan dapat dibuktikan sebelum mengirim pesan promosi kepada pengguna.

Contoh: perusahaan mengirim blast promo mingguan ke nomor pelanggan yang diperoleh dari formulir registrasi, tetapi tidak pernah meminta izin khusus untuk pengiriman materi marketing. Dalam skema GDPR, praktik seperti ini dapat dianggap sebagai pemrosesan data pribadi tanpa lawful basis yang memadai.

Karena itu, perusahaan perlu memastikan bahwa pelanggan benar-benar memberikan persetujuan untuk menerima komunikasi promosi, serta memiliki opsi yang mudah untuk berhenti berlangganan (opt-out).

3. Kebijakan Platform WhatsApp Sendiri

Kebijakan WhatsApp sendiri sering diabaikan, padahal konsekuensinya langsung terasa (misal, diban). WhatsApp Business API mewajibkan pengguna untuk:

• Mendokumentasikan persetujuan eksplisit dari setiap penerima sebelum mengirim pesan template marketing.
• Menyediakan mekanisme opt-out yang berfungsi.
• Tidak menggunakan nomor yang diimpor dari sumber tanpa consent yang valid.

Pelanggaran terhadap kebijakan ini dapat berakibat pemblokiran nomor bisnis, penangguhan akun WhatsApp Business, atau penghapusan akses ke API. Banyak bisnis skala menengah kehilangan akses WhatsApp Business API setelah dilaporkan karena blast tanpa persetujuan yang jelas.

Ketiga regulasi ini bekerja secara bersamaan. Mematuhi salah satu tidak otomatis membebaskan dari dua lainnya.

Poin Penting dalam Menilai Legalitas WhatsApp Blast

Legal atau tidaknya WhatsApp blast tidak bisa dinilai hanya dari fakta bahwa pesan promosi dikirim ke banyak nomor sekaligus.

Dalam praktiknya, ada beberapa aspek yang menjadi penentu utama, mulai dari asal data pelanggan, ada tidaknya persetujuan (consent), hingga apakah penggunaan data tersebut masih sesuai dengan tujuan awal pengumpulannya.

1. Nomor: Dari Mana Sumbernya?

Dalam praktik UU PDP, asal-usul nomor telepon adalah faktor paling menentukan untuk menilai apakah WhatsApp blast dapat dibenarkan secara hukum atau tidak.

Sebagai contoh, nomor yang terlihat “sama-sama pelanggan” bisa memiliki status hukum yang sangat berbeda tergantung bagaimana data tersebut diperoleh.

Nomor dari Transaksi atau Pengisian Form

Nomor yang diberikan pelanggan saat membeli produk, mengisi formulir pengiriman, atau melakukan pendaftaran layanan memiliki posisi yang kuat secara hukum jika dikumpulkan dengan benar.

Konsumen memberikan nomornya karena memang diperlukan untuk memproses transaksi. Namun perlu diingat: izin untuk transaksi bukan berarti izin untuk promosi.

Jika sejak awal tidak ada pemberitahuan bahwa nomor akan digunakan untuk promosi via WhatsApp, maka penggunaan untuk blast marketing dapat dipersoalkan.

Nomor yang Dikumpulkan dari Event atau Pameran

Di banyak event bisnis, pengunjung sering diminta scan QR, mengisi buku tamu, atau menaruh kartu nama untuk mendapatkan katalog atau mengikuti undian.

Situasi seperti ini sering dianggap sebagai “izin otomatis” untuk melakukan follow-up marketing jangka panjang. Padahal belum tentu.

Jika form hanya menyebut “untuk kebutuhan registrasi acara”, lalu nomor digunakan untuk blast promo produk selama berbulan-bulan, maka ada potensi ketidaksesuaian tujuan pemrosesan data.

Semakin minim informasi yang diberikan saat pengumpulan data, semakin tinggi risikonya.

Nomor yang Dibeli dari Pihak Ketiga atau Diambil dari Grup WhatsApp

Ini termasuk kategori paling berisiko.

Tidak ada hubungan langsung antara pemilik nomor dengan perusahaan yang melakukan blast. UU PDP mensyaratkan persetujuan dari subjek data untuk pengumpulan awal. Tanpa persetujuan itu, seluruh rantai pemrosesan data sejak awal sudah cacat hukum.

Dalam konteks UU PDP, perusahaan tidak bisa berlindung dengan alasan “datanya beli dari vendor,” “nomornya tersedia publik,” atau “semua kompetitor juga melakukan.”

Ketika perusahaan menggunakan data pribadi untuk kepentingan marketing, tanggung jawab tetap berada pada pihak yang memproses data tersebut.

Nomor Lama yang Dikumpulkan Sebelum UU PDP Berlaku

Banyak perusahaan memiliki database yang dikumpulkan bertahun-tahun lalu, bahkan sebelum ada regulasi perlindungan data yang lebih ketat. Ini menciptakan area abu-abu yang cukup sering terjadi.

UU PDP tidak memiliki efek retroaktif, tetapi pengelolaan data yang dikumpulkan sebelum undang-undang berlaku tetap harus disesuaikan dengan ketentuan baru. Perusahaan wajib melakukan penyesuaian paling lambat dua tahun setelah UU diundangkan (Oktober 2024).

Artinya, database lama pun harus dievaluasi ulang:

• apakah consent lama masih relevan,
• apakah pelanggan pernah diberi pilihan opt-out,
• dan apakah penggunaan datanya masih sesuai dengan konteks awal pengumpulan.

Database lama bukan berarti bebas digunakan tanpa evaluasi ulang.

2. Consent: Ada atau Tidak?

Dalam konteks UU PDP, consent bukan formalitas administratif. Consent menentukan apakah perusahaan memiliki dasar yang sah untuk menggunakan data pribadi untuk aktivitas marketing.

Pertanyaan pertama yang harus dijawab adalah: apakah sejak awal pengguna diberi tahu bahwa nomor mereka akan dipakai untuk promosi via WhatsApp?

Kalau jawabannya tidak jelas, maka dasar penggunaan datanya juga lemah. Persetujuan juga harus diberikan melalui tindakan yang jelas, misalnya mencentang kotak yang secara spesifik menyebut “saya setuju menerima promo melalui WhatsApp.”

Yang sering terjadi adalah praktik bundled consent. Sebagai contoh: “dengan mendaftar, Anda menyetujui syarat dan ketentuan yang berlaku.”

Di dalam syarat dan ketentuan yang panjang, terselip satu kalimat tentang pemasaran. Ini bukan consent yang valid untuk WhatsApp blast. Subjek data tidak secara sadar dan spesifik memberikan izin untuk aktivitas pemasaran.

UU PDP Pasal 20 ayat 2 (1) menyebutkan bahwa persetujuan harus diberikan melalui pernyataan atau tindakan yang eksplisit. Artiny, klausul tersembunyi dalam dokumen legal tidak memenuhi standar ini.

Namun, ada pengecualian. Ada situasi di mana WhatsApp blast tidak membutuhkan consent baru jika memenuhi prinsip compatibility of purpose, yakni tujuan pemrosesan masih sesuai dengan alasan awal pengumpulan. Namun standar ini sangat ketat dan jarang terpenuhi untuk aktivitas promosi.

3. Tujuan Pemrosesan: Apa Penggunaan Datanya Masih Sesuai?

UU PDP mengenal prinsip purpose limitation, yaitu data pribadi hanya boleh digunakan sesuai tujuan awal saat data dikumpulkan. Prinsip ini mengikat perusahaan untuk tidak menggunakan data di luar tujuan yang telah diinformasikans aat pengumpulan.

Contohnya: pelanggan memberikan nomor telepon saat membeli sepatu online. Tujuan yang diinformasikan saat checkout adalah “pengiriman notifikasi pesanan dan pengiriman barang.” Dua minggu kemudian, perusahaan mengirim blast WhatsApp promo koleksi sepatu terbaru.

Secara teknis, nomor tersebut dikumpulkan secara sah dengan persetujuan untuk tujuan transaksional. Namun blast promo adalah tujuan pemasaran, kategori yang berbeda secara fundamental. Tanpa persetujuan terpisah untuk tujuan pemasaran, tindakan ini melanggar prinsip purpose limitation.

Kondisi akan berbeda jika sejak awal formulir pengumpulan data mencantumkan dua tujuan secara eksplisit: “nomor akan digunakan untuk pengiriman pesanan dan pengiriman promo via WhatsApp.” Dalam skenario ini, kedua tujuan sudah diinformasikan dan mendapatkan persetujuan sejak awal.

Perusahaan sering berasumsi bahwa hubungan pelanggan otomatis mencakup izin pemasaran. Asumsi ini salah dan tidak berdasar dalam UU PDP.

4. Hak Opt-Out dan Kewajiban Perusahaan

Dalam UU PDP pasal 9 tentang hak subjek data, subjek data memiliki hak untuk menarik consent dan menghentikan pemrosesan data tertentu, termasuk untuk kebutuhan marketing.

Artinya, setiap WhatsApp blast wajib menyediakan mekanisme berhenti berlangganan yang jelas dan mudah diakses.

Mekanisme opt-out yang memadai berarti:

• Instruksi berhenti yang ditulis dalam bahasa yang mudah dipahami
• Proses yang tidak membutuhkan lebih dari dua langkah (misalnya membalas dengan kata “STOP”)
• Konfirmasi bahwa penghentian telah diproses
• Penghapusan nomor dari database marketing dalam waktu yang wajar, maksimal 14 hari

Lebih dari itu, jika subjek data meminta penghapusan total dari database dan perusahaan tetap menyimpan nomor untuk blast berikutnya, ini masuk kategori pelanggaran serius. UU PDP memberikan kewenangan kepada subjek data untuk menghapus data pribadinya tanpa syarat yang memberatkan.

Dalam praktik, banyak perusahaan mengabaikan permintaan berhenti karena alasan teknis seperti nomor tersimpan di tiga sistem berbeda, tim marketing tidak berkomunikasi dengan tim IT, atau tidak ada prosedur baku. Argumen operasional tidak menghapus kewajiban hukum tersebut.

WhatsApp Business API vs Blast Manual: Apakah Ada Bedanya Secara Hukum?

Secara teknis operasional, WhatsApp Business API berbeda dengan blast manual dari ponsel biasa. Namun secara hukum, perbedaan ini tidak mengubah kewajiban perlindungan data pribadi. Yang berubah adalah rantai tanggung jawab.

Ketika perusahaan menggunakan WhatsApp Business API melalui third-party provider (seperti WATI, BSP, atau penyedia resmi Meta lainnya), ada dua entitas yang terlibat dalam pemrosesan data: perusahaan sebagai data controller dan penyedia layanan sebagai data processor.

UU PDP mewajibkan adanya Perjanjian Pemrosesan Data (DPA) antara kedua pihak.

Pertanyaan kritis yang harus dijawab adalah:

• Di mana data pelanggan disimpan oleh provider?
• Apakah data keluar dari wilayah yurisdiksi Indonesia?
• Bagaimana provider menangani permintaan penghapusan data?
• Apakah provider memiliki sertifikasi keamanan data yang memadai?
• Siapa yang bertanggung jawab jika terjadi kebocoran data?

Dalam ekosistem Business API, perusahaan tidak hanya bertanggung jawab terhadap pesan yang dikirim, tetapi juga terhadap rantai pengelolaan data di belakangnya.

Untuk blast manual dari nomor ponsel biasa, rantai tanggung jawab lebih pendek tetapi risikonya berbeda. WhatsApp dapat memblokir akun yang melakukan broadcast massal tanpa persetujuan, dan semua data berada sepenuhnya di bawah kendali perusahaan, termasuk risiko kebocoran dari ponsel yang hilang atau dicuri.

Yang tidak berubah dalam kedua skenario adalah kewajiban mendapatkan persetujuan, memberikan opt-out, dan membatasi tujuan pemrosesan tetap melekat pada perusahaan sebagai pengendali data.

Contoh Penggunaan WhatsApp Blast yang Aman vs. Yang Berisiko

Berikut tiga skenario konkret yang sering ditemui di lapangan, lengkap dengan kesimpulan hukumnya.

Skenario Aman: E-commerce dengan Opt-In Terpisah

Toko A mengumpulkan nomor pelanggan melalui dua jalur berbeda. Saat checkout, ada kotak centang yang tidak dicentang secara otomatis: “Kirimkan promo dan penawaran via WhatsApp.”

Pelanggan harus mencentang secara manual. Setiap blast WhatsApp menyertakan kalimat “Balas STOP untuk berhenti.” Database dipisahkan antara pelanggan yang setuju promo dan yang tidak.

Kesimpulan: AMAN secara hukum. Ada consent eksplisit yang diberikan secara sukarela, mekanisme opt-out tersedia, dan data tidak dicampur.

Skenario Abu-Abu: Menggunakan Nomor dari Event

Toko B mengumpulkan 500 nomor dari sebuah pameran kuliner. Pengunjung meninggalkan nomor untuk mendapatkan resep gratis melalui email. Enam bulan kemudian, Toko B mulai mengirim blast WhatsApp promo produk terbaru tanpa memberitahu sumber nomor tersebut.

Kesimpulan: ABU-ABU dengan risiko tinggi. Tujuan awal (mendapatkan resep) berbeda dengan tujuan pemasaran. Tidak ada consent untuk WhatsApp blast. Risiko pelanggaran purpose limitation sangat nyata jika ada keberatan dari penerima.

Skenario Bermasalah: Database Beli dari Pihak Ketiga

Toko C membeli database 10.000 nomor dari penyedia jasa dengan klaim “nomor siap promosi.” Tidak ada dokumentasi consent dari pemilik nomor. Tidak ada kejelasan asal-usul nomor. Toko C langsung melakukan blast tanpa menyertakan mekanisme opt-out yang jelas.

Kesimpulan: JELAS BERMASALAH. Tidak ada consent, tidak ada dokumentasi, tidak ada hubungan langsung dengan subjek data. Melanggar beberapa pasal UU PDP sekaligus dan berisiko terkena sanksi administratif hingga denda.

Apa yang Harus Dilakukan Bisnis Anda Sekarang?

Banyak perusahaan baru mulai memikirkan compliance setelah nomor diblokir, pelanggan komplain, atau muncul ancaman hukum.

Padahal ada beberapa langkah dasar yang sebenarnya bisa dilakukan segera tanpa perubahan sistem besar.

• Audit sumber database.
  Pisahkan nomor berdasarkan asal-usulnya: dari transaksi dengan consent marketing, dari transaksi tanpa consent marketing, dari event, dari pembelian pihak ketiga. Database dari sumber bermasalah harus segera dihentikan penggunaannya untuk blast.
• Periksa form pengumpulan nomor.
  Apakah kotak centang untuk persetujuan WhatsApp blast tersedia dan tidak dicentang secara default? Apakah bahasa yang digunakan spesifik menyebut kata “WhatsApp” dan “promosi”? Jika tidak, form harus diperbaiki sebelum digunakan kembali.
• Tambahkan opt-out di setiap template blast.
  Kalimat “Balas STOP jika tidak ingin menerima pesan lagi” harus menjadi standar wajib. Pastikan ada prosedur internal untuk memproses balasan STOP dalam waktu maksimal 14 hari.
• Dokumentasikan semua persetujuan.
  Simpan bukti kapan dan bagaimana setiap nomor memberikan consent. Bukti ini akan menjadi alat pembelaan utama jika ada pertanyaan dari otoritas atau gugatan dari pelanggan.
• Evaluasi ulang penggunaan third-party provider.
  Jika menggunakan WhatsApp Business API, pastikan ada perjanjian pemrosesan data yang ditandatangani. Tanyakan ke provider tentang lokasi penyimpanan data dan prosedur penghapusan sesuai permintaan.

Kesimpulan

WhatsApp blast ke database pelanggan tidak otomatis melanggar UU PDP, tetapi risiko pelanggaran sangat tinggi jika asal-usul nomor tidak jelas, consent tidak eksplisit, atau tujuan pemrosesan menyimpang dari alasan awal pengumpulan.

Kesalahan paling fatal yang sering terjadi di banyak perusahaan adalah mereka menganggap bahwa pernah bertransaksi otomatis memberikan izin untuk promosi tanpa batas waktu, serta mengabaikan hak opt-out karena alasan teknis operasional.

Perusahaan yang ingin melanjutkan praktik WhatsApp blast secara legal harus segera melakukan tiga tindakan minimum: audit sumber database, perbaiki mekanisme consent di setiap titik pengumpulan data, dan pastikan setiap pesan menyediakan opsi berhenti yang berfungsi.

Tanpa itu, aktivitas pemasaran yang terlihat biasa justru menjadi eksposur hukum yang tidak perlu.

FAQ: WhatsApp Blast dan Legalitasnya di Indonesia