Cyberthreat.id - Marketplace Tokopedia telah memperbarui Kebijakan Privasi pada 15 Februari 2021. Salah satu poinnya adalah penegasan bahwa Tokopedia dapat menggabungkan data yang diperoleh dari sumber lain dengan data yang dimilikinya.

Diakses pada Selasa (16 Februari 2021), beberapa pembaruan di Kebijakan Privasi Tokopedia dapat mengancam keamanan data pribadi pengguna.

Ada 11 pasal yang diatur dalam Kebijakan Privasi terbaru itu, diantaranya menyangkut  perolehan dan penggunaan data pribadi pengguna; pengungkapan data pribadi pengguna; dan data pribadi pengguna akses dan perbaikan data pribadi pengguna.

Pada pasal A ayat 1, diatur tentang data yang diserahkan secara mandiri oleh pengguna kepada aplikasi. Salah satunhya adalah data pembayaran saat transaksi, termasuk data rekening bank, kartu kredit, virtual account, instant payment, internet banking, dan gerai ritel.

Itu artinya, Tokopedia bisa menyimpan data kartu kredit penggunanya.

Pasal A ayat 2 menjelaskan data yang terekam saat pengguna menggunakan situs, di antaranya data lokasi riil atau perkiraannya seperti alamat IP, lokasi WiFi, dan geo location; dan data perangkat keras yang dipakai pengguna, termasuk model, sistem operasi, nomor IMEI, dll.

Pada poin yang sama di ayat 3, Tokopedia mengatakan mendapat data dari sumber lain. Di antaranya, data geo location dari mitra Tokopedia dan data dari penyedia layanan finansial.

Di bagian akhir pasal A, perusahaan menegaskan bahwa "Tokopedia dapat menggabungkan data yang diperoleh dari sumber tersebut dengan data lain yang dimilikinya."

Tindakan menggabungkan satu data dengan data dari sumber lain dikenal sebagai "populating database." Dengan begitu, data yang sebelumnya masih samar-samar atau terbatas, ketika digabungkan dengan data dari sumber lain dapat mengungkap identitas seseorang dengan lebih lengkap.

Tak hanya itu, pada pasal C, meski pun mengatakan "berkomitmen untuk menjaga kerahasiaan Data Pribadi Pengguna", saat bersamaan Tokopedia mengatakan dapat mengungkapkan, menjual, hingga meminjamkan data pengguna untuk pihak ketiga tanpa persetujuan pengguna dalam kondisi tertentu, diantaranya:

a. dibutuhkan adanya pengungkapan data pribadi pengguna kepada mitra atau pihak ketiga lainnya yang membantu Tokopedia dalam menyajikan layanan di situsnya termasuk memproses transaksi, verifikasi pembayaran, promosi, dn pengiriman produk.

b. Tokopedia dapat menyediakan data pribadi pengguna kepada mitra usaha termasuk aplikasi atau situs lain yang terkoneksi lewat API.

c. Tokopedia dapat menyediakan Data Pribadi Pengguna kepada vendor, konsultan, mitra pemasaran, firma/lembaga riset, atau penyedia layanan sejenis untuk kegiatan pemasaran oleh pihak ketiga maupun untuk kepentingan pemasaran Tokopedia.

d. Tokopedia dapat membagikan Data Pribadi Pengguna kepada anak perusahaan dan afiliasinya untuk membantu memberikan layanan atau melakukan pengolahan data utuk dan atas nama Tokopedia.
      
e. Tokopedia dapat mengungkapkan dan/atau memberikan Data Pribadi Pengguna kepada pihak-pihak yang berkepentingan untuk tujuan analisis kelayakan kredit Pengguna.

f. Tokopedia mengungkapkan Data Pribadi Pengguna dalam upaya mematuhi kewajiban hukum dan/atau adanya permintaan dari aparat penegak hukum atau instansi penyelenggara negara yang berwenang. (Selengkapnya bisa dilihat di sini: Kebijakan Privasi Tokopedia).

Perlu Persetujuan Pengguna Jika Datanya Dibagikan dengan Perusahaan Merger

Kebijakan Privasi TokopediaSejumlah poin yang diatur dalam Kebijakan Privasi Terbaru Tokopedia ini, khususnya dalam hal berbagi data dengan pihak lain, bertentangan dengan prinsip perlindungan terhadap data pribadi, yang prinsip dasarnya adalah perlunya persetujuan (consent) dari pengguna jika datanya hendak digunakan untuk kepentingan lain, termasuk jika itu dibagikan dengan anak perusahaan atau penggabungan dua perusahaan.

Seperti diketahui, awal tahun ini Reuters melaporkan Tokopedia dan Gojek sedang menjajaki kemungkinan merger dengan menyepakati uji tuntas bisnis masing-masing.

Sementara di sisi lain, Komisi I DPR RI hingga kini belum merampungkan Undang-undang Perlindungan Data Pribadi (UU PDP), di tengah maraknya perusahaan teknologi berbagi data penggunanya.

Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran, Shinta Dewi Rosadi, mengatakan UU PDP perlu mengatur lebih jelas lagi terkait perlindungan data pribadi ketika adanya penggabungan perusahaan. Hal itu, kata Sinta, lantaran draft RUU PDP masih sebatas pemberitahuan saja.

Sekedar informasi, klausul terkait merger perusahaan di RUU PDP tercantum pada pasal 48. Dalam pasal itu, hanya berupa kewajiban pengendali data pribadi yang memberitahu kepada pemilik data pribadi bahwa adanya penggabungan, pemisahan, pengambilalihan, atau peleburan perusahaan.

Menurut Shinta, perlu ada ketentuan tambahan dalam pasal 48 itu yang menyatakan bahwa pengendali data pribadi harus meminta persetujuan kepada pemilik data jika penggabungan perusahaan berdampak pada pertukaran data pengguna.

“Harus ada [meminta persetujuan] menurut saya. Artinya disitu [dituliskan] harus mengacu kepada prinsip-prinsip perlindungan data pribadi,” ujar penulis buku 'CyberLaw: Perlindungan Privasi Atas Informasi Pribadi dalam E-Commerce Menurut Hukum Internasional' itu.

Lebih spesifiknya, kata Shinta, dalam pasal  itu perlu mengatakan bahwa merger, akuisisi atau peleburan perusahaan tetap menerapkan prinsip-prinsip perlindungan data pribadi yang sudah diatur di Undang-Undang ini.

Shinta menilai untuk ketentuan permintaan persetujuan itu dibedakan antara jenis datanya. Jika datanya bersifat umum (seperti nama, alamat, nomor telepon), bukan sensitif (terkait data keuangan, data kesehatan,dsbnya), maka menurutnya mungkin bisa tanpa meminta persetujuan kembali. Untuk data sensitif, kata Shinta, perlu meminta persetujuan pemilik datanya.

Selain itu, Shinta menegaskan, praktik penjualan data pribadi sebagaimana disebut di Pasal C ayat 1 Ketentuan Privasi terbaru Tokopedia, tidak diperbolehkan dengan alasan apa pun. Menurutnya, dalam aturan RUU PDP yang tengah digodok di DPR, tindakan itu adalah kriminal.

Lebih lanjut, Shinta mengatakan dengan diaturnya ketentuan agar mengacu pada prinsip-prinsip dasar yang ada di pasal awal PDP, maka pengendali data dan pemrosesan data juga harus sesuai tujuan.

"Yang jelas sih sebenarnya dalam aturan perlindungan data pribadi yang tidak boleh itu data digunakan untuk pemasaran, dan keuntungan komersil perusahaan lain,” kata Sinta.

Aturan perlidungan data Uni Eropa yang disebut Disebut General Data Protection Regulation (GDPR) melarang keras keras perusahaan membagikan data penggunanya kepada pihak ketiga. GDPR juga mengatur mekanisme berbagi data jika sebuah perusahaan ingin merger atau mengakuisisi perusahaan lain. Singkatnya, saat dua perusahaan teknologi memutuskan "kawin" dan ingin berbagi data, harus ada persetujuan secara eksplisit dari penggunanya. Tanpa itu, perusahaan bisa didenda.

Facebook pernah kesandung aturan itu pada Mei 2017. Saat itu, Uni Eropa menjatuhkan denda sebesar 110 juta Euro (setara Rp1,9 triliun) kepada Facebook lantaran dianggap mengelabui pengguna mengenai kewenangan perusahaan menautkan akun pengguna dengan layanan Facebook lainnya seperti WhatsApp dan Instagram. Seperti diketahui, Facebook membeli WhatsApp pada 2014.

Saat itu, Margrethe Vestager yang mengepalai lembaga antimonopoli Uni Eropa,  mengatakan bahwa Facebook sebelumnya telah berjanji tidak akan menggabungkan data perusahaan dengan data pengguna WhatsApp yang penggunanya lebih dari 1 miliar.

Namun, pada bulan Agustus 2016 Facebook mengumumkan akan mulai membagikan data WhatsApp dengan perusahaan lainnya. Menurut Uni Eropa, keputusan itu dapat merugikan pesaing lantaran memberi akses data dalam jumlah besar untuk membantu mendukung bisnis periklanan online Facebook.

"Keputusan hari ini mengirim sinyal yang jelas kepada perusahaan bahwa mereka harus mematuhi semua aspek di Uni Eropa terkait aturan merger," kata Vestager saat itu. []

Berita terkait:

• Berkaca dari WhatsApp, Bisakah Gojek Berbagi Data Pengguna dengan Telkomsel, Tokopedia, dan Bank Jago

• Soal Kemungkinan Berbagi Data Pengguna dengan Gojek, Begini Kata Telkomsel

• Gagal dengan Grab, Gojek dan Tokopedia Dikabarkan Siap Merger

• Shinta Dewi Cyber Law Unpad: UU PDP Perlu Atur Persetujuan Pemilik Data Terkait Merger Perusahaan

• Cengkraman Temasek Singapura di Startup Digital Kita, Apa Kabar Kedaulatan Data?