tirto.id - Aplikasi jual beli online Tokopedia memperbarui ketentuan privasi per 3 Februari 2021. Sejumlah poin dalam ketentuan itu dianggap mengancam keamanan data pribadi konsumen, celah yang sebetulnya akan selalu ada selama Indonesia tidak punya regulasi perlindungan data pribadi.
"Tokopedia melakukan pembaruan terhadap keseluruhan kebijakan privasi. Pembaruan ini merupakan wujud kepatuhan Tokopedia terhadap ketentuan atau peraturan perlindungan data pribadi di Indonesia," kata External Communications Senior Lead Tokopedia, Ekhel Chandra Wijaya lewat keterangan tertulis, Kamis (11/2/2021).
Terdapat 11 pasal yang diatur dalam kebijakan privasi teranyar tersebut, di antaranya adalah perolehan dan penggunaan data pribadi pengguna; pengungkapan data pribadi pengguna; dan data pribadi pengguna akses dan perbaikan data pribadi pengguna.
Praktisi ITE Gunaris menilai ada sejumlah poin yang berpotensi membahayakan data pribadi pengguna. Pasal A ayat 1 menjelaskan mengenai data yang diserahkan secara mandiri oleh pengguna kepada aplikasi. Salah satunya data pembayaran pada saat transaksi, termasuk tapi tidak terbatas pada data rekening bank, kartu kredit, virtual account, instant payment, internet banking, dan gerai ritel.
"Di situ bisa jadi kartu kredit juga diambil datanya," kata Gunaris saat dihubungi reporter Tirto pada Kamis (11/2/2021).
Pasal A ayat 2 menjelaskan data yang terekam saat pengguna menggunakan situs. Ada 5 jenis informasi, di antaranya, data lokasi riil atau perkiraannya seperti alamat IP, lokasi WiFi, dan geo location; dan data perangkat keras, termasuk model, sistem operasi, nomor IMEI, dll.
Selain itu, poin e menyebut Tokopedia merekam data catatan (log), di antaranya catatan pada server yang menerima data seperti alamat IP perangkat, tanggal dan waktu akses, jenis peramban, dan layanan pihak ketiga yang digunakan konsumen sebelum berinteraksi dengan Tokopedia.
Pasal A ayat 3 pun mengatakan Tokopedia mendapat data dari sumber lain. Di antaranya, data geo location dari mitra Tokopedia dan data dari penyedia layanan finansial.
"Pada akhir Pasal A, ada kalimat yang menarik: 'Tokopedia dapat menggabungkan data yang diperoleh dari sumber tersebut dengan data lain yang dimilikinya', ini bahasa kerennya 'populating database'," kata Gunaris.
Lantas apa yang akan dilakukan dengan data itu?
Pada pasal B ayat 2 poin a, Tokopedia bisa memberikan rekomendasi produk, asuransi, pembiayaan, dan pinjaman. "Anda bisa di-spam dengan penawaran produk," kata Gunaris.
Pada pasal C ayat 1 dikatakan Tokopedia menjamin tidak akan menjual, mengalihkan, mendistribusikan, atau meminjamkan data pribadi pengguna, kecuali dalam 8 skenario.
Salah satunya, ketika dibutuhkan oleh mitra atau pihak ketiga lain yang membantu Tokopedia dalam menyajikan layanan tersedia. Tokopedia juga dapat menyediakan data pribadi pengguna kepada pihak ketiga yang menggunakan dan mengintegrasikan API publik yang disediakan oleh Tokopedia dengan aplikasi atau situs yang dioperasikannya.
Selain itu, Tokopedia dapat mengungkapkan data pribadi pengguna kepada anak perusahaan dan afiliasinya untuk membantu pengolahan data untuk dan atas nama Tokopedia.
Gusnadi menyebut aplikasi jual beli tidak akan bisa meraup laba jika hanya mengandalkan laba penjualan, kerja sama dengan vendor, atau biaya layanan lain. Karenanya, data pengguna menjadi komoditas bisnis untuk menambal lubang tersebut.
Hal itu tak hanya dilakukan oleh Tokopedia, tapi juga aplikasi serupa lain. Gusnadi bahkan mengapresiasi Tokopedia karena transparan mengenai data pribadi kepada penggunanya.
"Jadi sebenarnya marketplace manapun enggak perlu woro-woro dengan EULA (End User License Agreement) karena sebenarnya menang tidak melanggar hukum di Indonesia," kata Gusnadi.
Ketua Cyber Law Center Universitas Padjajaran (Unpad) Sinta Dewi mengatakan penting bagi Indonesia untuk segera menggodok dan mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi. Berkaca pada Kebijakan Privasi Tokopedia, banyak hal-hal yang tidak ideal, tetapi masih dilakukan. Salah satunya, praktik pengumpulan dan penyimpanan data pengguna.
Sinta menyebut, walaupun pengguna memasukkan data pribadi seperti alamat rumah atau data keuangan (data rekening bank, kartu kredit, virtual account, instant payment, internet banking, dan gerai ritel) secara sukarela, pengelola aplikasi tidak boleh menyimpannya, tetapi harus langsung menghapusnya ketika transaksi sudah selesai dilaksanakan.
Selain itu, data pribadi hanya boleh dibuka dan digunakan ketika ada legalitasnya. Contoh pemanfaatan data e-KTP oleh Kementerian Dalam Negeri; ada persetujuan oleh pengguna; atau ada vital interest yang mengharuskan data itu dibuka.
"Jadi data itu bisa diapa-apakan karena kepentingan kita. Prinsip dasarnya itu, bukan untuk kepentingan perusahaan," kata Sinta kepada reporter Tirto, Kamis (11/2/2021).
Karena itu, praktik penjualan data pribadi sebagaimana disebut di Pasal C ayat 1 tidak diperbolehkan dengan alasan apa pun. Sinta bahkan menyebut tindakan itu adalah kriminal dalam RUU PDP yang tengah digodok.
Selain mendorong pemerintah untuk mengesahkan RUU PDP, Sinta mendorong masyarakat untuk cerdas dalam menggunakan internet. Walaupun praktik yang dilakukan marketplace tersebut tidak ideal, itu bisa menjadi sah kala pengguna mengklik setuju pada kebijakan privasi aplikasi tersebut.
"Makanya kita harus cerdas, sebelum membaca jangan diklik dulu," kata Sinta.
Ekhel Chandra Wijaya memang mengimbau "pengguna untuk membaca dan mempelajari seluruh isi kebijakan yang tela diperbarui" agar "memahami bagaimana informasi mereka digunakan."
Meski demikian, ia mengatakan Tokopedia "tetap mengutamakan keamanan dan kerahasiaan data pengguna dalam setiap pengelolannya." "Bisnis Tokopedia adalah bisnis kepercayaan," katanya," dan oleh karena itu "kerahasiaan dan keamanan data pribadi pengguna akan selalu menjadi prioritas utama."
===
(Revisi Senin 15 Februari pukul 12.49: Kami menambahkan keterangan dari Ekhel Chandra Wijaya di bagian akhir naskah).
Penulis: Mohammad Bernie
Editor: Abdul Aziz