Menghangatnya perbincangan soal data pribadi dan rencana pengetatan aturannya melalui RUU Perlindingan Data Pribadi (PDP), tentu akan menimbulkan konsekuensi hukum di banyak aspek, termasuk saat transaksi merger dan akuisisi. Ekses berupa sanksi pidana dari hukum yang saat ini berlaku (vide; Pasal 48 UU ITE) hingga kemungkinan munculnya gugatan dari pemilik data jelas menuntut perusahaan agar memiliki strategi tersendiri dalam melindungi data pribadi yang berada di bawah pertanggungjawabannya.
Dalam konteks Merger dan Akuisisi (M&A), Senior Associate AKSET Law, Prihandana Suko Prasetyo Adi, menyebut setidaknya ada dua jenis data pribadi yang ada pada data room perusahaan, yakni dokumen ketenagakerjaan seperti kontrak kerja, daftar nama tenaga kerja dan lainnya serta kontrak-kontrak suppliers dan customers. Di antara data itu, baik yang bisa langsung atau tidak langsung mengidentifikasi seseorang (identifiable) masuk dalam ranah perlindungan data pribadi.
“Secara hukum itu harus dilindungi dan tidak semudah itu di-share atau di-publish ke pihak ketiga. Dalam tahapan M&A, ada beberapa tindakan preventif yang bisa dilakukan,” ujarnya dalam acara Pelatihan Hukumonline bertema Membedah Aspek Hukum Merger, Akuisisi dan Konsolidasi Perusahaan, Rabu (28/8).
Beberapa langkah preventif itu dirangkum Pri dalam tiga tahapan. Pertama,dalam tahap due-dilligence. Sebelum perusahaan target menandatangani transaksi, biasanya perusahaan target dan calon investor akan menandatangani non-disclosure agreement (NDA). NDA meng-cover dan menegaskan pihak-pihak mana saja yang menerima informasi rahasia seperti legal advisor, financial dan tax advisor dan pihak lainnya yang terlibat harus merahasiakan data yang diterima.
(Baca: Takut Data Pribadi Disalahgunakan? Coba 4 Tips Aman Berikut Ini)
Persoalannya, belum tentu karyawan di perusahaan target itu memberikan persetujuan untuk sharing data ke pihak ketiga ketika terjadi corporate action, mengingat tujuan awal karyawan memberikan data kepada perusahaan adalah untuk evaluasi kinerja dan bukan untuk diberikan kepada pihak ketiga. Untuk itu, penting bagi perusahaan untuk membatasi informasi mengenai perorangan di data room. Sementara, dalam suatu corporate action jelas calon investor membutuhkan banyak data penting untuk diperiksa pada saat due diligent.
Cara yang bisa dipakai untuk mensiasati itu, calon investor yang punya awareness tinggi untuk compliace bisa minta disediakan template kontrak tenaga kerja yang selalu digunakan perusahaan untuk mengetahui apakah kontrak-kontrak baik PKWT ataupun PKWTT sudah sesuai aturan yang berlaku tanpa perlu mengetahui identitas pribadi karyawan perusahaan target.
“Karena data pribadi karyawannya itu enggak relevan juga untuk kita review secara hukum. Yang relevan itu kita review apakah dia sudah memenuhi kewajibannya terkait gaji misalnya,” jelasnya.
Cukup minta data gaji untuk karyawan yang fix term dan non-fix term masing-masing berapa. Selanjutnya untuk perhitungan financialnya bisa diminta total gajinya berapa perbulan untuk diketahui exposure, seperti nanti untuk menentukan berapa biaya PHK yang harus dikeluarkan. Kecuali informasi data foreign worker, di situ lawyer/calon investor perlu meminta dokumen ketenagakerjaan foreign worker itu untuk dipastikan telah memenuhi ketentuan UU Ketenagakerjaan Indonesia.
Selain itu, dalam tahap due diligence juga penting bagi calon investor untuk mengetahui sejauhmana perusahaan target mampu memproteksi data pribadi yang dilihat dari pemilihan data room dengan tingkat kemanan yang tinggi baik dari segi keamanan password maupun keterbatasan akses (limited access).
Dalam konteks ini, ada perusahaan-perusahaan yang secara khusus menawarkan service cloud. Dari sisi dokumen, cloud bisa membatasi jangka waktu akses dokumen. Ia mencontohkan, disepakati oleh para pihak jangka waktunya satu bulan.
“Jadi setelah itu dokumen tak bisa lagi dibuka. Pun bisa didownload tapi saat sudah lewat dari waktu satu bula tak bisa lagi dibuka. Harus ada enkripsi dalam rangka perlindungan,” jelasnya.
Kedua, Tahapan penandatanganan dokumen transaksi. Perlu adanya pernyataan dan jaminan dalam dokumen transaksi terkait kepatuhan terhadap peraturan terkait mengenai perlindungan data pribadi, ganti rugi dan tanggungjawab terhadap keamanan data. Kalau memang perusahaan target sudah comply dengan policy itu, calon investor bisa meminta satu kontrak yang berisi keterangan tertulis bahwa informasi yang tertuang dalam template penjual betul sama dengan isi kontrak aslinya.
“Jadi kalau kontraknya ternyata beda, kita bisa masukin di representations and warranties bahwa ada informasi yang salah,” katanya.
Ditambahkan oleh Partner AKSET, Inka Kirana, dalam M&A representations and warranties dipergunakan untuk kehati-hatian calon investor dalam hal due diligence harus dilakukan dalam waktu yang singkat. Akan tetapi, walaupun lawyer bisa provide dokumen dalam waktu yang sesuai biasanya buyer tetap akan meminta representations and warranties karena bisa berlaku sampai kapan pun setelah closing transaction.
“Intinya rep and warranties bertujuan untuk mengkonfirmasi kebenaran informasi, menunjukkan bahwa fakta yang ditunjukkan penjual adalah benar sebelum buyer mengambil alih tanggungjawab dan untuk mengalokasikan risiko,” terangnya.
Ketiga, tahapan penandatanganan dokumen transaksi dan penutupan. Pri menjelaskan bila ada rencana integrasi data, dalam tahapan ini perlu dipastikan apakah tujuan awal akuisisi adalah untuk melakukan integrasi data. Misalnya pada saat facebook mengakuisisi whatsapp, sebelum di tandatangani di situ harus dipastikan bahwa ada approval dari pemilik data untuk melakukan integrasi data itu dengan FB.
“Connect data WA dan facebook messenger itu sampai sekarang belum kejadian karena mereka belum bisa make sure potensi breach pada saat datanya di-transmit,” jelasnya.
Jadi secara rules walaupun perusahaan sudah diambil alih, namun kontrol pemegang datanya tidak berubah. Di situ, persiapan rencana integrasi data harus betul-betul dipastikan calon investor tidak melakukan monetize data yang bukan merupakan hak si perusahaan yang melakukan pengambilalihan.
“Konsepnya sih memang agak belum familiar tapi antisipasi saja karena perlindungan data pribadi ke depannya akan lebih massif dan RUU nya juga sedang dipersiapkan dan kalau sudah naik jadi UU maka compliance nya akan lebih berat juga,” katanya.