ICO reddit denda GDPR menempatkan pemeriksaan usia dan perlindungan data anak-anak di bawah pengawasan baru

Regulator telah memulai kembali perdebatan tentang privasi, keamanan anak daring, dan denda GDPR Reddit setelah pengawas Inggris menjatuhkan sanksi kepada platform tersebut terkait data di bawah usia 13 tahun.

ICO Denda Reddit atas Data Anak dan Pemeriksaan Usia

Office Komisaris Informasi Inggris (ICO) telah menjatuhkan denda sebesar £14,47 juta ($19,6 juta) kepada Reddit atas dugaan pelanggaran GDPR yang melibatkan anak-anak, dalam keputusan yang diumumkan pada 24 Februari 2026. Namun, para advokat privasi memperingatkan bahwa pendekatan penegakan ini dapat merusak anonimitas dan keamanan pengguna di seluruh platform daring.

Regulator menyatakan bahwa denda ICO terhadap Reddit didasarkan pada dua kegagalan utama. Pertama, Reddit tidak memiliki langkah-langkah penjaminan usia yang “kuat”, sehingga tidak memiliki dasar hukum untuk memproses data pribadi pengguna di bawah 13 tahun. Kedua, Reddit tidak menyelesaikan penilaian dampak perlindungan data (DPIA) secara formal untuk mengidentifikasi dan mengurangi risiko terhadap anak-anak sebelum Januari 2025.

Menurut ICO, jumlah sanksi mencerminkan beberapa faktor. Termasuk jumlah besar anak-anak yang menggunakan situs tersebut, potensi bahaya yang dapat mereka hadapi, lamanya kegagalan tersebut berlangsung, dan pendapatan global Reddit. Selain itu, penyelidik menyoroti sifat konten yang mungkin telah diakses anak-anak.

Regulator: Reddit Gagal Melindungi Pengguna Muda

Komisaris Informasi John Edwards mengatakan bahwa anak di bawah 13 tahun data pribadinya dikumpulkan dan digunakan dengan cara yang tidak dapat mereka pahami atau kendalikan sepenuhnya. Hal ini berpotensi mengekspos mereka ke konten yang tidak sesuai dengan usia mereka, katanya dalam pernyataan tegas.

“Anak di bawah 13 tahun data pribadinya dikumpulkan dan digunakan dengan cara yang tidak dapat mereka mengerti, setujui, atau kendalikan. Hal ini membuat mereka berpotensi terpapar konten yang seharusnya tidak mereka lihat. Ini tidak dapat diterima dan telah menyebabkan denda hari ini,” kata Edwards. Ia menegaskan bahwa perusahaan harus merancang layanan dengan mempertimbangkan anak-anak sejak awal.

Edwards menambahkan bahwa layanan daring yang cenderung menarik anak-anak memiliki tanggung jawab yang jelas untuk melindungi mereka. Untuk melakukannya, mereka harus mengetahui, dengan keyakinan yang wajar, berapa usia pengguna mereka dan menerapkan pemeriksaan usia yang tepat dan efektif. Ia tidak menetapkan teknologi tertentu, melainkan fokus pada hasil dan pengurangan risiko.

Tanggapan Reddit dan Keberatan Berbasis Privasi

Reddit menanggapi dengan menegaskan bahwa pilihan desain jangka panjang mereka mengutamakan anonimitas dan keamanan pengguna. Dalam pernyataan, perusahaan mengatakan bahwa mereka “tidak memerlukan pengguna untuk berbagi informasi tentang identitas mereka, terlepas dari usia, karena kami sangat berkomitmen terhadap privasi dan keselamatan mereka.” Namun, mereka tidak membantah bahwa anak-anak telah mengakses platform tersebut.

Platform ini memperkenalkan batas usia untuk mengakses “konten dewasa” pada Juli 2025 dan mulai meminta pengguna baru menyatakan usia mereka saat membuat akun. ICO mengakui perubahan ini tetapi menyatakan bahwa deklarasi diri saja terlalu mudah dilanggar dan tidak memenuhi standar GDPR untuk pemrosesan risiko tinggi yang melibatkan anak di bawah umur.

Spesialis privasi mendukung sikap Reddit, berargumen bahwa pemeriksaan yang lebih ketat dapat memperkuat kekhawatiran tentang verifikasi usia. Mereka memperingatkan bahwa meniru persyaratan identitas yang invasif yang diberlakukan pada beberapa situs konten dewasa dapat meningkatkan permukaan serangan bagi penjahat siber dan melemahkan perlindungan privasi secara keseluruhan.

Khawatir Privasi Verifikasi Usia

Paul Bischoff, advokat privasi konsumen di Comparitech, berharap Reddit akan menolak tekanan untuk menerapkan pemeriksaan identitas yang ketat. Ia berpendapat bahwa rezim verifikasi wajib memindahkan beban pembuktian ke pengguna yang tidak dicurigai melakukan kesalahan, menimbulkan isu kebebasan sipil secara luas.

“Masalah dengan verifikasi identitas wajib adalah bahwa itu menempatkan beban pembuktian yang tidak semestinya pada sebagian besar orang yang tidak dicurigai melakukan kesalahan,” kata Bischoff. Ia juga menyatakan bahwa tidak banyak bukti kuat bahwa skema tersebut memberikan manfaat keamanan yang diklaim, terutama secara skala besar.

Ia menambahkan bahwa pemeriksaan paksa dapat memiliki efek membekukan terhadap kebebasan berekspresi dan berasosiasi. Menurutnya, orang tua harus mengambil tanggung jawab lebih besar dalam mengawasi aktivitas daring anak-anak, daripada menyerahkan tugas tersebut kepada perusahaan swasta, pemerintah, atau masyarakat luas.

Pieter Arntz, peneliti senior di Malwarebytes, juga memperingatkan bahwa teknologi penilaian usia membawa risiko signifikan. Ia menyoroti sistem yang bergantung pada analisis biometrik, data keuangan, atau repositori identitas terpusat, yang masing-masing membuka celah baru untuk penyalahgunaan, pengawasan, atau pelanggaran data.

Arntz menyebutkan estimasi usia wajah menggunakan biometrik, pemeriksaan perbankan terbuka yang menanyakan informasi keuangan, dompet ID digital, dan pencocokan ID foto sebagai contoh alat yang dapat mengumpulkan data identitas yang sangat sensitif. Bahkan mekanisme yang lebih sederhana, seperti pemeriksaan kartu kredit, inferensi berbasis email, atau verifikasi jaringan seluler, dapat menimbulkan kekhawatiran tentang pengecualian, profil, dan keandalan, katanya.

Model Double-Blind sebagai Solusi Alternatif

Untuk mengatasi kekhawatiran privasi terkait verifikasi usia dan tujuan perlindungan anak, Arntz mengusulkan “verifikasi double-blind” sebagai jalur yang lebih menjaga privasi. Dalam model ini, pihak ketiga terpercaya mengonfirmasi apakah pengguna memenuhi ambang usia tertentu, misalnya 18+, dan kemudian mengeluarkan token anonim kepada situs yang bergantung.

Dalam pendekatan ini, situs hanya menerima indikasi sederhana bahwa pengguna, misalnya, “18+”, tanpa mengetahui identitas lengkap mereka atau layanan verifikasi yang digunakan. Ini dapat mengurangi paparan data, membatasi pelacakan lintas layanan, dan menghindari pembuatan “honeypot” besar berisi data pribadi sensitif yang menarik perhatian penyerang.

Menurut Arntz, arsitektur semacam ini dapat menawarkan perlindungan privasi yang lebih kuat daripada banyak skema saat ini sambil tetap memenuhi tuntutan regulasi. Namun, mereka memerlukan desain teknis yang hati-hati, tata kelola yang jelas, dan pengawasan yang ketat untuk memastikan bahwa mereka benar-benar membatasi pengumpulan data dan tidak memperkenalkan risiko baru melalui integrasi backend.

Kewajiban Kepatuhan dan Pelajaran dari Denda GDPR Reddit

Denda GDPR Reddit juga menyoroti kewajiban yang lebih luas terkait perlindungan data anak-anak untuk layanan daring yang digunakan oleh anak di bawah umur, terlepas dari apakah mereka adalah target utama. Kegagalan dalam strategi dan tata kelola terkait DPIA dan pemeriksaan usia kemungkinan akan menarik perhatian lebih dari regulator seiring dengan berkembangnya penegakan hukum.

Chris Linnell, wakil direktur privasi data di Bridewell, mengatakan bahwa saat memproses data anak-anak, melakukan DPIA bukanlah pilihan. Melainkan, itu adalah kewajiban hukum yang bertujuan memastikan organisasi menilai, mendokumentasikan, dan mengurangi risiko sebelum terjadi kerugian, terutama jika melibatkan profil atau penargetan konten.

Linnell berpendapat bahwa ketidakadaan DPIA yang kuat menunjukkan bahwa risiko terhadap anak-anak tidak diidentifikasi atau ditangani dengan baik sejak awal. Selain itu, ia menyatakan bahwa mengandalkan ketentuan dan syarat yang menyatakan bahwa anak di bawah 13 tahun tidak boleh menggunakan layanan tidak merupakan perlindungan yang efektif jika tidak didukung oleh kontrol teknis.

“Jika tidak ada kontrol teknis atau operasional yang efektif untuk menegakkan aturan tersebut, organisasi tidak dapat secara kredibel berargumen bahwa mereka telah mengambil langkah-langkah yang wajar untuk mencegah akses,” katanya. “Kepatuhan tidak bisa hanya bergantung pada kebijakan tertulis; harus tercermin dalam perlindungan praktis.” Komentarnya menunjukkan bahwa kebijakan berbasis dokumen tidak akan cukup dalam tindakan penegakan di masa depan.

Penegakan dan Panduan Terbaru untuk Platform Daring

Keputusan Reddit mengikuti kasus lain di Inggris terkait data anak-anak. Beberapa minggu sebelumnya, MediaLab, perusahaan induk platform berbagi gambar Imgur, dikenai denda lebih dari £247.000 karena gagal menggunakan hukum data anak-anak secara sah. Secara bersamaan, kasus-kasus ini menunjukkan bahwa ICO semakin memperketat pengawasan terhadap bagaimana platform sosial dan konten memperlakukan pengguna muda.

Linnell mendesak penyedia layanan daring untuk bertindak sekarang agar menghindari hasil serupa. Pertama, mereka harus mengidentifikasi di mana anak-anak kemungkinan mengakses layanan mereka, bahkan jika mereka bukan target utama. Kedua, mereka harus melakukan DPIA untuk pemrosesan berisiko tinggi dan memastikan penilaian tersebut secara rutin ditinjau dan diperbarui.

Ia juga menyarankan agar perusahaan menetapkan dan mendokumentasikan dasar hukum yang jelas untuk memproses data anak-anak dan menerapkan kontrol yang proporsional dan efektif, bukan hanya mengandalkan pernyataan kebijakan. Namun, kontrol ini harus seimbang dengan prinsip privasi-by-design untuk menghindari pengumpulan data berlebihan yang dapat menimbulkan risiko baru.

Prospek Platform yang Menyeimbangkan Keamanan, Privasi, dan Kepatuhan

Tindakan ICO terhadap Reddit menandai era penegakan hukum yang lebih ketat terkait anak dan perlindungan data di tahun 2026 dan seterusnya. Platform yang sangat bergantung pada konten yang dibuat pengguna akan menghadapi tekanan yang meningkat untuk menyeimbangkan keamanan, privasi, dan kewajiban hukum, sambil tetap menjaga model bisnis yang berkelanjutan dan kepercayaan komunitas.

Secara praktis, ini berarti membangun desain yang sadar usia, menjalankan DPIA yang bermakna, dan mengeksplorasi model verifikasi yang menjaga privasi, daripada mengandalkan pemeriksaan identitas secara massal. Seiring regulator dan industri menguji pendekatan ini, hasil dari perdebatan kepatuhan GDPR Reddit kemungkinan akan membentuk standar global dalam melindungi anak-anak secara daring.

Secara keseluruhan, kasus Reddit menjadi peringatan tinggi bahwa perlindungan data yang berfokus pada anak sedang bergerak dari panduan ke penegakan hukum, mendorong platform untuk memperkuat perlindungan sambil menjaga privasi pengguna.