Cyberthreat.id – Perusahaan e-commerce JD.ID dalam kebijakan privasinya menyebut dapat membagikan informasi pribadi pengguna kepada perusahaan afiliasi yang berada di wilayah Indonesia maupun di luar Indonesia.

JD.ID adalah perusahaan asal China yakni JD.com, dan mulai beroperasi di Indonesia pada November 2015. Perusahaan ini menjalankan e-commerce model business to consumer (B2C), transaksi antara produsen barang atau jasa langsung ke konsumen akhir.  

Dalam Kebijakan Privasinya , JD.ID mengklaim tidak akan menggunakan data pengguna dengan cara bertentangan dengan hukum di Indonesia. Namun begitu, JD.ID mengatakan perusahaan dapat membagikan data data milik pengguna JD.ID kepada Perusahaan Terkait, yang merupakan afiliasi atau anak perusahaan JD.ID dan berlokasi di dalam atau di luar Indonesia.

Ini termasuk memberikan izin kepada pihak ketiga untuk menggunakan Informasi Pribadi pengguna untuk membantu meningkatkan kualitas layanan JD.ID, dan informasi ini dapat digunakan oleh pihak ketiga dari waktu ke waktu.

“Kami tidak akan mengungkapkan Informasi Pribadi Anda tanpa persetujuan Anda kecuali jika disahkan atau disyaratkan, atau diperlukan secara wajar untuk menegakkan hukum atau diperlukan untuk menyelidiki dugaan kegiatan yang melanggar hukum sesuai dengan hukum Indonesia,” tulis JD.Id dalam kebijakan privasinya.

Presiden Joko Widodo dalam sejumlah kesempatan menyampaikan pentingnya kedaulatan data yang disebutnya sebagai komoditas baru setelah era minyak bumi. Namun, pada Oktober 2019, presiden menandatangani PP 71/2019 yang mengoreksi PP 82/2012. Salah satu poin penting dalam PP 82/2012 adalah penyelenggara transaksi elektronik wajib menyimpan data di data centre yang ada di Indonesia. Dalam PP 71/2019 poin itu diubah, sehingga mengizinkan perusahaan swasta menyimpan data pengguna Indonesia di luar negeri.

"Penyelenggara Sistem Elektronik Lingkup Privat dapat mengelola, memproses dan/atau menyimpan Sistem Elektronik dan Data Elektronik di wilayah Indonesia dan/atau di luar wilayah Indonesia,” begitu bunyi salah satu pasalnya.

Perubahan itu sempat menuai protes dari sejumlah pelaku industri data center di Indonesia seperti Indonesia Data Center Provider Organization (IDPRO), Asosiasi Cloud Computing Indonesia (ACCI), Asosiasi Penyelenggara Jasa Internet Indonesia (APJII), Federasi Teknologi Informasi Indonesia (FTII), Asosiasi Peranti Lunak Telematika Indonesia (ASPILUKI), Indonesia ICT Institute serta induk asosiasi sektor ICT Indonesia, Masyarakat Telematika Indonesia (MASTEL).

Kumpulan asosiasi itu menilai kebijakan pemerintah yang mengizinkan data pengguna Indonesia untujk disimpan atau ditransfer ke luar negeri berlawanan dengan semangat kedaulatan data.

"Indonesia ke depan tidak akan memiliki kedaulatan data karena Pemerintah memberikan lampu hijau kepada Penyelenggara Sistem Elektronik Lingkup Privat dan aplikasi-aplikasi yang berasal dari negara lain untuk bisa menyimpan data di luar wilayah Indonesia," kata kumpulan asosiasi itu dalam siaran pers bersama saat PP 71/2019 belum disahkan. (Lihat: Pemerintah Jokowi Tak Konsisten Soal Kedaulatan Data)

Namun, pemerintah tetap dengan keputusannya untuk memberlakukan PP 71/2019.

Dalam draf Rancangan Undang-undang Perlindungan Data Pribadi yang sudah setahun belum rampung digodok di DPR RI, pada pasal 49 ayat (1) juga muncul ketentuan yang mengizinkan data pribadi warga Indonesia ditrasfer ke luar negeri dengan sejumlah syarat;

a.negara tempat kedudukan Pengendali Data Pribadi atau organisasi internasional yang menerima transfer Data Pribadi memiliki tingkat pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam Undang-Undang ini;

b. terdapat perjanjian internasional antarnegara;

c. terdapat kontrak antar Pengendali Data Pribadi yang memiliki standar dan/atau jaminan pelindungan data pribadi sesuai dengan yang diatur dalam Undang-Undang ini; dan/atau

d. mendapat persetujuan Pemilik Data Pribadi.  

Poin itu dikritisi oleh Ketua APJII Jamalul Izza. Menurutnya, pasal tersebut terlihat ingin melegitimasi lebih kuat dari sisi hukum untuk memprioritaskan kepentingan asing. Inti dari pasal 49 itu terkait dengan transfer data pribadi ke luar wilayah hukum.

"Ini sudah terkait dengan kedaulatan data serta perlindungan terhadap pemilik data. Saat ini data hampir seluruh pengguna Internet Indonesia disimpan di luar negeri, dimiliki dan dimanfaatkan secara ekonomi oleh pihak asing tanpa pembagian kembali manfaat ke bangsa Indonesia secara maksimal,” kata Jamal yang telah menyampaika masukan itu saat Rapat Dengar Pendapat Umum dengan DPR RI. (Baca: APJII Keberatan dengan Pasal 49 di RUU PDP Terkait Kedaulatan Data)

Dalam kebijakan privasiya, JD.ID juga mengatakan dapat mengungkapkan informasi pengguna kepada afiliasi, kontraktor, dan juga pemasok barang, guna mendukung Layanan JD.ID seperti pengiriman produk, pemrosesan pembayaran untuk transaksi pada Platform JD.ID, menerima konfirmasi (menerima informasi penerimaan produk oleh penyedia layanan pengiriman dengan menghubungi pembeli), serta menangani keluhan pengguna.  

JD.ID mengatakan akan mengumpulkan beberapa informasi pengguna melalui situs web atau platformnya seperti nama lengkap, alamat email, nomor KTP atau nomor paspor, nomor telepon, tanggal lahir, informasi keuangan (misal informasi kartu kredit), nomor IMEI ponsel dan IDFA, layanan berbasis lokasi pengguna (LBS), SMS di telefon, foto milik pengguna, dan cookies.

“JD.ID tidak akan mengumpulkan informasi sensitif dari pengguna, seperti informasi tentang kesehatan, ras atau asal etnis, keyakinan politik atau agama, keanggotaan serikat pekerja atau asosiasi, atau catatan kriminal,” tulis JD.ID dalam kebijakan privasinya.

Informasi pribadi milik pengguna akan disimpan dan digunakan selama pengguna masih menggunakan layanan dan terdaftar di JD.ID. Namun, jika pengguna ingin berhenti menggunakan layanannya, JD.ID akan menghapus semua informasi dengan mengacu pada hukum dan peraturan yang berlaku, kecuali terdapat kepentingan hukum atau bisnis untuk menyimpan informasi tersebut.

Sementara itu, untuk penggunaan informasi pribadi pengguna JD.ID mengatakan, akan menggunakan informasi tersebut untuk meningkatkan layanan kepada pengguna dengan tujuan komunikasi, pemasaran regular, survei layanan, penyediaan layanan di JD.ID, mempermudah proses transaksi keuangan, pengembangan bisnis.

“Kami tidak akan menggunakan Informasi Pribadi Anda dengan cara yang bertentangan dengan undang-undang perlindungan data Indonesia atau Kebijakan Privasi ini,” ungkap JD.ID dalam kebijakan privasinya.

JD.ID juga mengatakan setiap pengguna memiliki hak untuk melihat atau memperoleh salinan Informasi Pribadi yang disimpan oleh JD.ID, dengan mengirimkan permintaan ke kantor di JD.ID. Namun, selalu ada kemungkinan penolakan dari JD.ID untuk pengguna melihat data miliknya, dan penolakan tersebut akan diberitahukan melalui surat kepada pengguna.

“Pengguna juga dapat mengajukan keluhan secara tertulis terkait dengan pelanggaran privasi yang dialami pengguna,” tulis JD.ID.[]

Editor: Yuswardi A. Suud

 

Berita terkait:

• Demi Kedaulatan Data, Turki Larang Warganya Beriklan di Twitter, Periscope dan Pinterest
   
• Tokopedia Ubah Kebijakan Privasi, Tegaskan Bisa Gabungkan hingga Jual Data Konsumen untuk Mitra

• Berkaca dari WhatsApp, Bisakah Gojek Berbagi Data Pengguna dengan Telkomsel, Tokopedia, dan Bank Jago

• Soal Kemungkinan Berbagi Data Pengguna dengan Gojek, Begini Kata Telkomsel

• Shinta Dewi Cyber Law Unpad: UU PDP Perlu Atur Persetujuan Pemilik Data Terkait Merger Perusahaan

• Cengkraman Temasek Singapura di Startup Digital Kita, Apa Kabar Kedaulatan Data?