Panduan Mematuhi Regulasi SMS dan Privasi, Apa yang Perlu Brand Perhatikan

Kampanye SMS efektif untuk reach cepat tapi juga penuh risiko hukum dan reputasi bila tidak dikelola sesuai aturan perlindungan data dan regulasi telekomunikasi. Di Indonesia, ada kerangka hukum yang jelas (UU Perlindungan Data Pribadi) serta regulasi pelaksana terkait penyelenggaraan layanan pesan singkat dan broadcast. Brand wajib memahami keduanya dan menerapkan praktik privasi yang transparan.

1) Dasar hukum: UU PDP + peraturan Kominfo

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) mewajibkan pengolahan data pribadi berdasarkan dasar hukum yang sah (mis. persetujuan eksplisit), menjamin hak subjek data (hak akses, koreksi, penghapusan), serta menetapkan kewajiban pengendali data dan prosesor. Selain itu ada aturan teknis/perizinan terkait layanan pesan singkat dan SMS blast yang diatur oleh Kementerian Komunikasi dan Informatika dan Peraturan Menteri terkait. Pastikan kebijakan SMS Anda tidak bertentangan dengan kedua lapisan aturan ini.

2) Persetujuan (opt-in) harus jelas, terukur, dan terdokumentasi

Untuk pesan pemasaran, persetujuan eksplisit (opt-in) dari penerima adalah keharusan. Form pendaftaran harus menjelaskan secara ringkas: siapa pengirim, jenis pesan (promosi / transaksi), frekuensi perkiraan, dan tautan ke kebijakan privasi. Simpan bukti persetujuan (timestamp, sumber pendaftaran, isi persetujuan) untuk audit dan jika ada sengketa. Praktik ini jadi dasar kepatuhan menurut UU PDP dan pedoman industri.

3) Opsi berhenti (opt-out) harus mudah dan selalu berfungsi

Setiap SMS pemasaran wajib menyertakan mekanisme berhenti yang sederhana misal. instruksi “Reply STOP to unsubscribe” atau tautan berhenti. Proses penghentian harus segera diproses dan dicatat. Industri global dan praktik platform menekankan bahwa opt-out harus sama mudahnya dengan opt-in. Simpan log unsubscribe untuk pembuktian.

4) Bedakan pesan transaksi & promosi

Pesan transaksi (mis. OTP, pemberitahuan pengiriman) biasanya dapat dikirim tanpa persetujuan pemasaran, tetapi tetap harus meminimalkan data yang ditampilkan dan patuh terhadap UU PDP. Pesan promosi memerlukan persetujuan eksplisit. Identifikasi tipe pesan pada sistem Anda untuk menerapkan aturan yang benar.

5) Prinsip minimisasi data & pembatasan retensi

Kumpulkan hanya data yang diperlukan (nomor telepon, preferensi, tanda waktu persetujuan). Batasi retensi data: tentukan kebijakan penghapusan otomatis untuk data yang tidak lagi diperlukan, dan patuhi permintaan subjek data (akses, koreksi, hapus). UU PDP memperkuat hak-hak ini dan mewajibkan pengendali untuk memfasilitasi permintaan tersebut.

6) Keamanan teknis & operasional

Lindungi database nomor dan log SMS dengan enkripsi, kontrol akses prinsip least privilege, dan pencatatan audit. Pastikan vendor SMS (provider gateway) yang dipakai memiliki sertifikasi keamanan dan kebijakan perlindungan data yang sejalan dengan UU PDP karena vendor juga bertindak sebagai prosesor data.

7) Transparansi & kebijakan privasi yang mudah diakses

Sertakan tautan kebijakan privasi di semua form pendaftaran dan (jika memungkinkan) di pesan SMS pertama. Kebijakan harus menjelaskan jenis data yang dikumpulkan, tujuan, dasar hukum, masa retensi, hak subjek data, serta cara mengajukan pengaduan. Transparansi meningkatkan kepercayaan pelanggan dan membantu memenuhi persyaratan hukum.

8) Registrasi, sender ID, dan aturan lokal tentang SMS blast

Beberapa penyelenggaraan layanan SMS broadcast memerlukan pendaftaran atau mematuhi ketentuan teknis tertentu (mis. format sender ID, pembatasan kuantitas). Peraturan Menteri Kominfo dan aturan penyelenggara jasa pesan memberi pedoman teknis untuk pengiriman SMS massal pastikan provider Anda mematuhi regulasi ini.

9) Proses penanganan pengaduan & log audit

Sediakan saluran pengaduan yang jelas (email/dedicated form) dan SOP untuk menangani komplain spam atau pelanggaran privasi. Simpan log pengiriman, persetujuan, unsubscribe, dan respons sebagai bukti kepatuhan jika ada pemeriksaan regulator.

10) Langkah praktis untuk brand (checklist cepat)

1. Audit data nomor telepon dan sumber persetujuan.
2. Perbarui form opt-in: bahasa jelas + link privasi.
3. Tambahkan instruksi STOP di setiap SMS promosi.
4. Tandai pesan: transaksi vs promosi.
5. Terapkan retention policy + hapus data tidak perlu.
6. Kontrak dengan vendor SMS yang compliant dan minta SOC/sertifikat.
7. Tunjuk penanggung jawab data dan buat SOP hak subjek data.
8. Lakukan privacy impact assessment untuk kampanye besar.

Regulasi yang Harus Dipatuhi

Mematuhi regulasi SMS dan privasi bukan hanya soal menghindari denda tetapi juga membangun kepercayaan pelanggan. Mulai dari desain form opt-in yang baku, mekanisme opt-out yang mudah, hingga kontrak dan audit dengan provider SMS semua itu membuat kampanye Anda lebih aman, efektif, dan berkelanjutan. Untuk referensi hukum dan peraturan teknis, lihat UU PDP dan Peraturan/Permen Kominfo terkait.