Cyberthreat.id - Tren merger dan akuisisi perusahaan teknologi kini tengah berlangsung di Indonesia.  Salah satunya Gojek dikabarkan akan merger dengan Tokopedia. Telkomsel juga telah menanam investasi di Gojek senilai Rp2,1 triliun. Gojek sendiri akhir tahun lalu memborong 22,16 persen saham Bank Jago senilai Rp2,25 triliun.

Tren akuisisi dan merger ini berujung pada satu hal: memanfaatkan ekosistem digital yang dimiliki para pihak, yang di dalamnya termasuk data pengguna. Dengan 38 juta pengguna bulanan, 20 juta mitra pengemudi, dan 900 ribu mitra merchant, Gojek adalah tambang data bagi perusahaan lain. Dengan kata lain, data pengguna dan mitra Gojek dapat digunakan oleh perusahaan lain untuk menawarkan berbagai layanannya.

Sebagai contoh, Direktur Utama Telkomsel Setyanto Hantoro mengatakan akan mengintegrasikan layanan iklan digital Telkomsel Ads dengan ekosistem digital milik Gojek. Antara lain dengan menargetkan pengguna GoBiz, layanan untuk para merchat pemilik usaha di Gojek. Artinya, Telkomsel Ads akan menjadikan pengguna GoBiz yang terdaftar di Gojek sebagai target pasarnya.

Di situs resminya, Telkomsel Ads menawarkan sejumlah layanan termasuk mengirimkan pesan iklan ke pelanggan ke lokasi yang tepat dalam bentuk teks atau gambar. Itu artinya, dengan memanfaatkan ekosistem Gojek, Telkomsel dapat menjangkau pengguna provider telekomunikasi lain berdasarkan lokasi pengguna.

Di sisi lain, data pengguna yang terdaftar di satu platform harus dilindungi. Sementara Undang-undang Perlindungan Data Pribadi (PDP) sudah hampir setahun belum rampung digodok di Komisi I DPR RI. Dalam draft RUU PDP, hanya menyebutkan perusahaan yang merger dan melibatkan data pengguna, harus memberitahu pemilik data. Tidak ada klausul tegas yang menyebutkan harus ada persetujuan pengguna untuk pertukaran data.

Cyberthreat.id menghubungi Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran, Shinta Dewi Rosadi, terkait hal ini. Sinta adalah salah satu pakar yang dimintai pendapatnya oleh Komisi I DPR RI saat Rapat Dengar Pendapat Umum (RDPU) membahas RUU PDP.

Shinta menyarankan  agar adanya aturan lebih jelas lagi dalam RUU PDP terkait perlindungan data pribadi ketika adanya penggabungan perusahaan. Aturan lebih jelas itu diperlukan lantaran, menurut Sinta, pada draft RUU PDP masih sebatas pemberitahuan saja.

“Kalau hanya notifikasi kita hanya dikasih tahu tapi kita tidak tahu datanya dikemanakan, apalagi ini kan perusahaan beda banget yah, Telkomsel, Gojek, lalu ada Bank,”  kata Sinta saat berbincang dengan Cyberthreat.id, Rabu (27 Januari 2021).

Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran, Dr. Shinta Dewi Rosadi | Dok. pribadi

Sekedar informasi, klausul terkait merger di RUU PDP tercantum pada pasal 48. Dalam pasal itu, hanya berupa kewajiban pengendali data pribadi yang memberitahu kepada pemilik data pribadi bahwa adanya penggabungan, pemisahan, pengambilalihan, atau peleburan perusahaan.

Menurut Shinta, perlu ada ketentuan tambahan dalam pasal 48 itu yang menyatakan bahwa pengendali data pribadi harus meminta persetujuan kepada pemilik data jika penggabungan perusahaan berdampak pada pertukaran data pengguna.

“Harus ada [meminta persetujuan] menurut saya. Artinya disitu [dituliskan] harus mengacu kepada prinsip-prinsip perlindungan data pribadi,” ujar penulis buku 'CyberLaw: Perlindungan Privasi Atas Informasi Pribadi dalam E-Commerce Menurut Hukum Internasional' itu.

Lebih spesifiknya, kata Shinta, dalam pasal  itu perlu mengatakan bahwa merger, akuisisi atau peleburan perusahaan tetap menerapkan prinsip-prinsip perlindungan data pribadi yang sudah diatur di Undang-Undang ini.

Shinta menilai untuk ketentuan permintaan persetujuan itu dibedakan antara jenis datanya. Jika datanya bersifat umum (seperti nama, alamat, nomor telepon), bukan sensitif (terkait data keuangan, data kesehatan,dsbnya), maka menurutnya mungkin bisa tanpa meminta persetujuan kembali. Untuk data sensitif, kata Shinta, perlu meminta persetujuan pemilik datanya.

Lebih lanjut, Shinta mengatakan dengan diaturnya ketentuan agar mengacu pada prinsip-prinsip dasar yang ada di pasal awal PDP, maka pengendali data dan pemrosesan data (misalnya dalam hal ini Tokopedia, Telkomsel, dan Bank Jago memproses data yang sekiranya jika dibagikan dengan Gojek), juga harus sesuai tujuan. Dengan kata lain, jika pemrosesan itu dilakukan di luar tujuan untuk layanan Gojek sebagai yang meminta data serta persetujuan maka tidak boleh dilakukan.

“Jadi jangan dari Gojek dialihkan ke Bank Jago misalnya,  nanti Bank Jago menawarkan langsung ke kita produk-produknya melalui WA kita langsung masuk, itu kan sudah melanggar, gitu,”  katanya.

Shinta mengatakan itu tidak boleh dilakukan oleh Tokopedia, Telkomsel dan Bank Jago ketika dibagikan data pengguna Gojek karena, data yang dikumpulkan Gojek harusnya digunakan untuk kepentingan Gojek saja, tidak untuk kepentingan lain.

“Sepanjang bahwa datanya tidak dibagikan untuk kepentingan lain. Itu saja prinsip datanya perlindungan data pribadi. Untuk tujuan yang utama gitu,” ujarnya.

Tujuan utamanya, kata Shinta, data digunakan untuk kepentingan si pemilik data atau digunakan untuk memberikan pelayanan yang lebih baik, itu tentu dibolehkan dilakukan pemrosesan.

"Yang jelas sih sebenarnya dalam aturan perlindungan data pribadi yang tidak boleh itu data digunakan untuk pemasaran, dan keuntungan komersil perusahaan lain,” kata Sinta.

Ia juga menyinggung terkait rencana Telkomsel menyasar pengguna Gojek untuk iklan.

“Itu apalagi, enggak boleh sebetulnya,” ujarnya.

“Jadi tetap nanti legitimasinya harus jelas, dasarnya apa sih, bisa persetujuan atau bisa ada regulasi lain gitu [yang diatur di luar UU]. Jadi jangan menyimpang dari prinsip-prinsip perlindungan data pribadi, karena itu sangat rentan," tambah Shinta.

Sebelumnya, peneliti dari Center for Indonesian Policy Studies, Alifah Dina, juga menekankan bahwa penggabungan usaha perusahaan-perusahaan berbasis teknologi itu haruslah memperhatikan aspek perlindungan data konsumen.

Misalnya, apakah data spesifik dan sensitif semacam data riwayat transaksi, riwayat pergerakan orang, nomor telepon, dan lainnya dapat diakses secara bebas oleh masing-masing perusahaan atau tidak.

Jika itu terjadi, kata Siti, perlu persetujuan atau consent dari pengguna. Selain itu, pengguna juga perlu diberitahu bagaimana datanya diproses oleh para pihak.

“Peningkatan jumlah konsumen baru dan perubahan pola transaksi dari offline ke online perlu dimanfaatkan oleh pemerintah dengan adanya payung hukum yang berfungsi untuk melindungi mereka. Hal ini diharapkan dapat menambah kepercayaan konsumen yang pada akhirnya akan berdampak pada peningkatan kontribusi ekonomi digital pada upaya pemulihan ekonomi,” kata Siti seperti dilansir dari Conversation.com. (Lihat: Berkaca dari WhatsApp, Bisakah Gojek Berbagi Data Pengguna dengan Telkomsel, Tokopedia, dan Bank Jago?.[]

Editor: Yuswardi A. Suud

Koreksi: Terjadi kesalahan pada judul, sebelumnya tertulis Undip.