ADMIN
Beberapa hari lalu, Tokopedia telah secara resmi mengumumkan perihal migrasi data pengguna TikTok Shop ke Tokopedia, yang sekarang dikenal dengan Shop Tokopedia, untuk memisahkan antara platform media sosial dengan platform e-commerce. Pengembangan platform ini sendiri merupakan tindak lanjut dari larangan penggunaan social commerce, seiring keluarnya Peraturan Menteri Perdagangan No. 31/2023 tentang Perizinan Berusaha, Periklanan, Pembinaan, dan Pengawasan Pelaku Usaha Dalam Perdagangan Melalui Sistem Elektronik. Menurut keterangan pemerintah, pelarangan tersebut didasarkan pada dua hal, perlindungan terhadap produk UMKM lokal, dan risiko penyalahgunaan data pribadi pengguna untuk kepentingan bisnis.
Berkembangnya layanan social commerce memang telah memunculkan risiko eksploitasi data pribadi yang berlipat, sebagai akibat dari risiko dalam penggunaan media sosial dan e-commerce sekaligus. Dalam penggunaan media sosial, semua status, unggahan dan apa pun yang dibagikan, akan menjadi rekaman tentang diri pengguna. Sementara dalam penggunaan platform e-commerce, ketika seseorang melakukan aktivitas belanja online, dia harus memasukkan data pribadinya, termasuk nama, alamat, nomor telepon, email, dll. Kemudian pada saat melakukan pembayaran, jika pembeli memilih metode pembayaran kartu kredit, maka akan terekam juga data kartu kreditnya. Namun demikian, sebagai sebuah inovasi, social commerce tentunya tidak boleh dihalangi dan dibatasi, tinggal memastikan adanya mekanisme pelindungan data pribadi yang kuat dalam pemanfaatannya.
Migrasi data yang dilakukan dari TikTok Shop ke Shop Tokopedia harus dimaknai sebagai tindak lanjut dari pelaksanaan kewajiban Pasal 48 UU No. 27/2022 tentang Pelindungan Data Pribadi (UU PDP). Sebagaimana diketahui, TikTok telah melakukan akuisisi atau pengambilalihan 75% saham Tokopedia, yang berarti sebagai pengendali data mereka harus menyampaikan pemberitahuan kepada penggunanya atas proses pengambilalihan tersebut. Namun demikian, dikarenakan prosedur teknis pemberitahuan belum diatur, sebagai konsekuensi belum terbitnya PP Implementasi Pelindungan Data Pribadi, maka mekanisme pemberitahuan dapat dilakukan dengan sejumlah cara.
Segera setelah regulasi teknis implementasi UU PDP diaplikasikan, pemberitahuan tersebut perlu ditindaklanjuti dengan pengembangan fitur tertentu, yang memberikan pilihan bebas kepada pengguna untuk melanjutkan atau tidak melanjutkan penggunaan layanan platform tersebut. Pilihan yang diberikan fitur tersebut (misalnya dalam bentuk opt-in – opt-out), selanjutnya akan menjadi dasar persetujuan (konsen dari pengguna), untuk pemrosesan data berikutnya (melanjutkan layanan).
Lebih lanjut, pengembangan fitur tersebut dimaksudkan untuk memenuhi prinsip keabsahan dalam pemrosesan data pribadi, yang diturunkan dengan kepatuhan pada dasar hukum pemrosesan. Berikutnya, untuk memastikan kepatuhan terhadap seluruh prinsip pemrosesan data pribadi, termasuk batasan tujuan, minimal-isasi data, akurasi, batasan penyimpanan, integritas dan kerahasiaan, serta akuntabilitas, sebagaimana diatur Pasal 16 ayat (2) UU PDP, perlu merumuskannya secara detail dalam kebijakan privasi platform. Pelaksanaan seluruh standar kepatuhan tersebut diterapkan dalam seluruh siklus hidup pemrosesan data pribadi, mulai dari pengumpulan, pengolahan, penyimpanan, penampilan, perbaikan hingga penghapusan/pemusnahan, sebagaimana diatur Pasal 16 ayat (1) UU PDP.
Dalam pengembangan kebijakan privasi, seperti halnya pengendali data pada umumnya, juga harus memastikan kejelasan seluruh langkah dalam pelaksanaan kewajiban pengendali data pribadi, termasuk yang berkaitan dengan pemenuhan hak subjek data. Secara umum, terdapat enam rumpun kewajiban pengendali data pribadi, mulai dari kewajiban terkait tanggung jawab dan kepatuhan, termasuk menyediakan petugas pelindungan data pribadi; kewajiban memastikan keamanan pemrosesan; merekam kegiatan pemrosesan (ROPA—record of processing activities); menjaga kerahasiaan data pribadi; pemberitahuan ketika terjadi pelanggaran (data breach notification); dan penilaian dampak perlindungan data (data protection impact assessment—DPIA). Enam rumpun kewajiban tersebut telah diturunkan secara detail menjadi 15 kewajiban pengendali data yang diatur mulai dari Pasal 20 sampai Pasal 49 UU PDP.
Langkah-langkah organisasional dan teknis dalam rangka memastikan pelaksanaan standar kepatuhan terhadap UU PDP di atas, dapat dilakukan bertahap dengan pemutakhiran kebijakan privasi secara berkala, yang diinformasikan kepada subjek data (pengguna). Selain pemutakhiran kebijakan privasi secara berkala, dalam proses migrasi dari TikTok Shop ke Shop Tokopedia, juga perlu dipastikan perbedaan entitas pengendali data keduanya, untuk menjamin tidak adanya konsentrasi algoritma dalam pemrosesan datanya, yang berisiko menciptakan persaingan usaha tidak sehat.
Pemisahan entitas penyelenggara sistem elektronik (PSE) antara TikTok sebagai PSE media sosial, dan Shop Tokopedia sebagai PSE e-commerce yang berada di bawah kendali Tokopedia, menjadi langkah tepat saat ini. Mengingat masih adanya kekosongan hukum pengaturan terkait dengan penggunaan platform social commerce, yang secara praktik telah banyak digunakan. Sebagai konsekuensi dari pemisahan PSE tersebut, maka kedua platform juga melakukan pemisahan data pribadi yang diproses untuk tujuan penggunaan media sosial yang dikelola TikTok, dan untuk tujuan transaksi e-commerce yang dikendalikan oleh Shop Tokopedia.
Kendati kepemilikan saham mayoritas Tokopedia berada dalam penguasaan TikTok sebagai implikasi dari proses akuisisi, secara bisnis, khususnya yang terkait dengan pemrosesan data pribadi penggunanya, sudah semestinya dilakukan pemisahan dalam pemrosesan data tiap PSE. Artinya bila ada kebutuhan yang terkait dengan optimalisasi bisnis atau optimalisasi layanan pengguna, yang berbasiskan pada pemrosesan data pribadi, perlu dijelaskan dalam suatu kesepakatan berbagi data (data sharing agreement).
Lebih jauh, untuk memastikan pelindungan data pribadi pengguna, pemerintah sebagai regulator, semestinya dapat mengembangkan regulasi yang lebih inovatif, yang dapat mengakomodasi setiap perkembangan teknologi, seperti social commerce. Kasus yang menimpa TikTok Shop sesungguhnya menunjukkan gagapnya pemerintah dalam merespons kecepatan inovasi teknologi digital. Sebagai regulator dan pengawas, pemerintah kesulitan ketika terjadi pencampuran (blending) antara fungsi media sosial dengan fungsi e-commerce, yang tujuan sebenarnya ingin mengoptimalkan layanan penjual sekaligus pengalaman pengguna.
Proses migrasi data pengguna TikTok Shop ke Shop Tokopedia, sekaligus juga pengembangan kebijakan privasi dalam memastikan pelaksanaan standar kepatuhan terhadap UU PDP platform Shop Tokopedia, dapat menjadi pembelajaran penting. Pembelajaran ini dapat digunakan sebagai rujukan pemerintah dalam pengembangan regulasi pelindungan data pribadi, khususnya merespons model bisnis berbasis teknologi dengan karakteristik baru. Dengan begitu, inovasi teknologi dapat dikembangkan dan dimanfaatkan secara optimal, dan disertai dengan pelindungan yang kuat bagi penggunanya.
Jakarta, 5 April 2024
Lembaga Studi dan Advokasi Masyarakat (ELSAM)
