Menghangatnya perbincangan soal data pribadi dan rencana pengetatan aturannya melalui RUU Perlindingan Data Pribadi (PDP), tentu akan menimbulkan konsekuensi hukum di banyak aspek, termasuk saat transaksi merger dan akuisisi. Ekses berupa sanksi pidana dari hukum yang saat ini berlaku (vide; Pasal 48 UU ITE) hingga kemungkinan munculnya gugatan dari pemilik data jelas menuntut perusahaan agar memiliki strategi tersendiri dalam melindungi data pribadi yang berada di bawah pertanggungjawabannya.
Dalam konteks Merger dan Akuisisi (M&A), Senior Associate AKSET Law, Prihandana Suko Prasetyo Adi, menyebut setidaknya ada dua jenis data pribadi yang ada pada data room perusahaan, yakni dokumen ketenagakerjaan seperti kontrak kerja, daftar nama tenaga kerja dan lainnya serta kontrak-kontrak suppliers dan customers. Di antara data itu, baik yang bisa langsung atau tidak langsung mengidentifikasi seseorang (identifiable) masuk dalam ranah perlindungan data pribadi.
“Secara hukum itu harus dilindungi dan tidak semudah itu di-share atau di-publish ke pihak ketiga. Dalam tahapan M&A, ada beberapa tindakan preventif yang bisa dilakukan,” ujarnya dalam acara Pelatihan Hukumonline bertema Membedah Aspek Hukum Merger, Akuisisi dan Konsolidasi Perusahaan, Rabu (28/8).
Beberapa langkah preventif itu dirangkum Pri dalam tiga tahapan. Pertama,dalam tahap due-dilligence. Sebelum perusahaan target menandatangani transaksi, biasanya perusahaan target dan calon investor akan menandatangani non-disclosure agreement (NDA). NDA meng-cover dan menegaskan pihak-pihak mana saja yang menerima informasi rahasia seperti legal advisor, financial dan tax advisor dan pihak lainnya yang terlibat harus merahasiakan data yang diterima.
(Baca: Takut Data Pribadi Disalahgunakan? Coba 4 Tips Aman Berikut Ini)
Persoalannya, belum tentu karyawan di perusahaan target itu memberikan persetujuan untuk sharing data ke pihak ketiga ketika terjadi corporate action, mengingat tujuan awal karyawan memberikan data kepada perusahaan adalah untuk evaluasi kinerja dan bukan untuk diberikan kepada pihak ketiga. Untuk itu, penting bagi perusahaan untuk membatasi informasi mengenai perorangan di data room. Sementara, dalam suatu corporate action jelas calon investor membutuhkan banyak data penting untuk diperiksa pada saat due diligent.
Cara yang bisa dipakai untuk mensiasati itu, calon investor yang punya awareness tinggi untuk compliace bisa minta disediakan template kontrak tenaga kerja yang selalu digunakan perusahaan untuk mengetahui apakah kontrak-kontrak baik PKWT ataupun PKWTT sudah sesuai aturan yang berlaku tanpa perlu mengetahui identitas pribadi karyawan perusahaan target.
“Karena data pribadi karyawannya itu enggak relevan juga untuk kita review secara hukum. Yang relevan itu kita review apakah dia sudah memenuhi kewajibannya terkait gaji misalnya,” jelasnya.