TEKNOBUZZZ – Di tengah pesatnya transformasi digital dan maraknya aktivitas merger dan akuisisi perusahaan teknologi, isu perlindungan data pribadi menjadi semakin krusial di Indonesia.
Undang-Undang Perlindungan Data Pribadi (UU PDP) yang disahkan pada tahun 2022 diharapkan menjadi tonggak penting, namun kasus-kasus penyalahgunaan data yang terus bermunculan menimbulkan pertanyaan besar mengenai efektivitas implementasi dan pengawasannya.
Ardi Sutedja K, seorang pemerhati dan praktisi keamanan siber menyoroti tantangan ini. Ia mengungkapkan keprihatinannya terhadap masa depan ruang digital Indonesia.
Kasus kebocoran data besar-besaran menjadi bukti nyata bahwa sistem keamanan data di Indonesia masih memiliki banyak celah. Salah satu insiden yang paling mencolok adalah kebocoran data BPJS Kesehatan pada tahun 2021, yang melibatkan lebih dari 279 juta data warga Indonesia, termasuk informasi sensitif seperti nomor KTP, alamat, nomor telepon, dan riwayat kesehatan. Data ini bahkan ditemukan dijual di forum online, menimbulkan kekhawatiran serius tentang pengelolaan data oleh lembaga publik.
Tak hanya lembaga publik, sektor e-commerce juga menghadapi masalah serupa. Pada tahun 2020, platform e-commerce besar di Indonesia dilaporkan mengalami kebocoran yang mengungkapkan data pribadi jutaan pengguna, termasuk nama, alamat, nomor telepon, dan riwayat transaksi.
“Dalam banyak kasus, konsumen tidak diberi informasi yang memadai tentang bagaimana data mereka akan digunakan atau dilindungi setelah proses merger selesai, ‘ ungkap Ardi.
Ia menambahkan bahwa data sering kali diperlakukan sebagai “aset” yang dapat diperjualbelikan, tanpa mempertimbangkan hak privasi konsumen, menunjukkan bagaimana perusahaan sering mengutamakan keuntungan komersial dibandingkan tanggung jawab mereka.
Lanskap fintech juga menjadi sorotan, di mana banyak perusahaan mengumpulkan data sensitif seperti informasi finansial dan riwayat transaksi. Dalam beberapa kasus, data ini digunakan untuk praktik tidak etis seperti penagihan utang yang melibatkan ancaman dan pelecehan. Sutedja K. menjelaskan bahwa ketika perusahaan
fintech diakuisisi, data konsumen sering kali menjadi bagian dari transaksi tanpa transparansi atau perlindungan yang memadai.
Tantangan Implementasi UU PDP di Tengah Merger dan Akuisisi
Pertanyaan besar yang muncul adalah, “apakah UU PDP cukup kuat untuk melindungi hak data masyarakat di tengah kompleksitas merger dan akuisisi?” Menurut Ardi, meskipun UU ini telah menetapkan kerangka hukum yang jelas, implementasinya masih menghadapi tantangan besar.
Ia mengidentifikasi tiga kelemahan utama:
- Mekanisme Pengawasan yang Lemah: Minimnya sumber daya dan tenaga ahli untuk memastikan kepatuhan perusahaan terhadap standar perlindungan data.
- Rendahnya Kesadaran Masyarakat: Banyak individu tidak mengetahui hak mereka terkait data pribadi, sehingga tidak tahu bagaimana cara melindungi diri atau mengambil tindakan ketika terjadi pelanggaran.
- Sanksi yang Kurang Tegas: Sanksi terhadap pelanggaran UU PDP seringkali tidak cukup berat untuk memberikan efek jera, dengan perusahaan yang melanggar hanya dikenakan denda kecil yang tidak sebanding dengan kerugian yang ditimbulkan.
Dalam konteks merger dan akuisisi, tantangan ini semakin kompleks. Perusahaan sering mengabaikan prinsip transparansi dan persetujuan eksplisit dari pengguna dalam pengelolaan data mereka.
Baca juga: Waspada, Lindungi Data Pribadi Kalian Sebelum Disalahgunakan!
Data konsumen diperlakukan sebagai aset yang dapat diperdagangkan, tanpa mempertimbangkan implikasi privasi dan keamanan bagi individu yang datanya terlibat dalam transaksi. Regulasi yang mengatur pengelolaan data konsumen dalam proses merger dan akuisisi juga masih belum cukup kuat untuk mencegah penyalahgunaan.
Langkah-Langkah Mendesak yang Perlu Diambil
Untuk mengatasi masalah ini, Ardi Sutedja K. mengusulkan beberapa langkah penting:
- Perkuat Mekanisme Pengawasan: Pemerintah harus memastikan perusahaan yang terlibat dalam merger dan akuisisi mematuhi standar perlindungan data yang ketat. Pengawasan ini harus melibatkan lembaga independen yang memiliki otoritas untuk mengaudit dan memberikan sanksi.
- Edukasi Masyarakat: Masyarakat perlu diberikan edukasi yang lebih baik tentang hak mereka terkait data pribadi melalui kampanye publik yang masif.
- Regulasi Tambahan untuk Merger & Akuisisi: Perlu ada regulasi tambahan yang mengatur pengelolaan data konsumen dalam proses merger dan akuisisi, termasuk kewajiban perusahaan untuk memberikan transparansi penuh dan opsi bagi konsumen untuk menolak penggunaan data mereka.
- Perkuat Sanksi UU PDP: Sanksi harus diperkuat untuk memberikan efek jera yang lebih besar, tidak hanya berupa denda, tetapi juga pencabutan izin operasi bagi perusahaan yang melakukan pelanggaran berat.
Pemerintah Indonesia dinilai Ardi perlu memastikan bahwa lanskap merger dan akuisisi tidak menjadi celah bagi penyalahgunaan data, melainkan menjadi peluang untuk membangun ekosistem digital yang lebih aman, transparan, dan berkelanjutan.
“Ini membutuhkan komitmen bersama dari pemerintah, perusahaan, dan masyarakat untuk memastikan bahwa hak data pribadi dihormati dan dilindungi,” pungkasnya.
