Cyberthreat.id -  Kebijakan privasi baru Tokopedia memuat aturan yang dapat menjual data pengguna untuk pihak ketiga tanpa persetujuan pengguna dalam 8 kondisi tertentu. (Lihat: Tokopedia Ubah Kebijakan Privasi, Tegaskan Bisa Gabungkan hingga Jual Data Konsumen untuk Mitra)

Ketua Cyber Law Center Fakultas Hukum Universitas Padjadjaran, Shinta Dewi Rosadi mengatakan itu melanggar aturan dalam Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) yang masih digodok di DPR RI sejak awal tahun lalu.

Berdasarkan draft RUU PDP yang dikirim pemerintah ke DPR RI pada 28 Januari 2020, larangan jual beli data tercantum pada pasal 54 ayat 2 yang berbunyi, "Setiap Orang dilarang menjual atau membeli Data Pribadi".

"Ya [melanggar], tapi kan aturannya belum disahkan," kata Shinta, kepada Cyberthreat.id, Jumat (19 Februari 2021).

Dengan kata lain, kebijakan privasi Tokopedia baru bisa ditindak apabila Undang-undang Perlindungan Data Pribadi sudah disahkan.

Terkait berbagi data kepada pihak ketiga, Shinta mengatakan itu memang diperbolehkan asal untuk tujuan-tujuan khusus, bukan digunakan untuk kepentingan lain.

Shinta mencontohkan Tokopedia mengumpulkan nomor rekening atau data pembayaran, itu memang dikumpulkan untuk kepentingan konsumen dalam bertransaksi.

Hanya saja, menurutnya harus dihilangkan dari sistem setelah transaksi atau barang sudah sampai. Shinta berpendapat itu secara teknologi bisa dilakukan oleh Tokopedia.

"Jangan nanti data itu dipakai untuk tujuan lain gitu," katanya.  

Itu prinsip-prinsip yang sebetulnya, kata Shinta, diusulkan di RUU PDP yang saat ini masih digodok oleh DPR.

Untuk saat ini, Shinta mengakui ada celah pada Peraturan Presiden nomor 71 tahun 2019, yang  memperbolehkan memproses data pribadi untuk kepentingan 1 (satu) tujuan dan tujuan tertentu [lainnya].

"Tujuan tertentu inilah yang tidak jelas untuk apa," ujarnya.

Namun begitu, lagi-lagi Shinta menegaskan bahwa data itu harus diproses sesuai tujuan kepentingan konsumen yang disepakati bersama, bukan tujuan lain. Jika tujuan lain maka diperlukan persetujuan kembali. Shinta pun berharap UU PDP nanti bisa mengatur lebih jelas terkait ini.

Dihubungi terpisah, Kepala Lembaga riset siber CISSReC, Pratama Persadha menilai bahwa poin-poin kebijakan privasi baru Tokopedia memang tidak bisa dibilang melanggar.

"Kita belum punya UU PDP. Jadi gak bisa dibilang melanggar, karena aturannya belum ada," katanya, Jumat (19 Februari 2021).

Menurutnya, pelanggan dibebaskan untuk ikut atau tidaknya, dengan kata lain boleh uninstall aplikasinya jika tidak setuju.

"Masalahnya di etika saja, sih," katanya. []

Editor: Yuswardi A. Suud