|
Menjaga
Data Privasi dalam Merger Perusahaan B Lintang Setianti ; Peneliti Hak
Asasi Manusia Lembaga Studi dan Advokasi Masyarakat (ELSAM) |
KOMPAS, 04 Juni 2021
|
Dua unicorn besar Indonesia,
Gojek dan Tokopedia, mengumumkan telah mengombinasikan dua usaha mereka ke
dalam satu grup, bernama GoTo. Mengutip rilis resmi
mereka, merger ini dilakukan dengan ambisi menjadi perusahaan teknologi
Indonesia yang mampu bersaing di kancah internasional melalui ekosistem
digital untuk menunjang kehidupan dan kebutuhan konsumen. Melihat konteks ekonomi
nasional dan global, praktik penyatuan bisnis lumrah dilakukan di industri
teknologi untuk menunjang keberlanjutan perusahaan serta meningkatkan nilai
pasar lebih tinggi. Microsoft mengakuisisi platform digital jaringan sosial
profesi Linkedin di 2016. Di sektor telekomunikasi, Hutchison dan Indosat
Ooredoo tengah menjalankan diskusi serupa. Melihat tren ini, penting
untuk mendudukkan komitmen perusahaan berkaitan dengan perlindungan data
pribadi. Dalam proses kombinasi usaha, pelaku usaha harus tetap mengedepankan
praktik pelindungan data pribadi sebagai tanggung jawab mereka atas keamanan
data konsumen. Data menjadi salah satu aset bernilai yang dimiliki sebuah
perusahaan. Pengelolaannya memungkinkan pemanfaatan riset serta pengembangan
industri. Di ranah global, rezim
pelindungan dan tata kelola data pribadi sudah jauh berkembang dan menguat,
dengan membebankan kewajiban tambahan selaku pengendali dan pemroses data.
Khusus pada peristiwa kombinasi dua entitas perusahaan berbeda, privasi data
dan keamanan siber menjadi poin penting yang harus diantisipasi. Lantas, apa yang perlu
dicermati agar perusahaan tetap melindungi data pribadi, menjaga sistem
keamanan mereka dan mengelola risiko? Jawabannya sederhana yaitu kesiapan
infrastruktur perusahaan. Ketiga prinsip berikut bisa menjadi acuan kita
bersama. Infrastruktur
mumpuni Langkah perusahaan dalam
memastikan kesiapan infrastruktur dan organisasional mengenai tata kelola
data pribadi khususnya dalam proses penyatuan dua perusahaan mengacu pada
aturan General Data Protection Regulation (GDPR), yang merupakan salah satu
regulasi komprehensif pelindungan data pribadi. Di Inggris, aturan ini
memungkinkan Komisi Informasi Inggris (ICO) menegaskan tanggung jawab pembeli
(dalam transaksi penyatuan dua perusahaan) atas suatu insiden keamanan data,
meski pelaporannya terjadi sebelum transaksi. Di Indonesia, baik
peraturan yang berlaku maupun beberapa rancangan regulasi juga sudah
berkiblat ke GDPR, sehingga kita bisa menggunakannya sebagai acuan. Pertama,
perusahaan harus melakukan penilaian risiko terhadap hasil identifikasi data
pribadi yang terdampak dalam proses transaksi. Penaksiran langkah
organisasional, biaya dan risiko dalam proses uji tuntas menjadi salah satu
kegiatan yang lazim diambil. Hal ini tentu berimplikasi
pada kesiapan struktur organisasi perusahaan dalam menyiapkan divisi khusus
yang merespons aktif dalam tata kelola data pribadi sesuai prinsip dan sistem
keamanannya. Kedua, perusahaan harus
siap mengalokasi sumber daya yang mumpuni, khususnya secara organisasional
untuk menjaga pelindungan data. Misalnya menetapkan fungsi
data protection officer (DPO) dan chief information security officer (CISO)
untuk memastikan manajemen perusahaan mengambil langkah operasional dan
menciptakan kebijakan serta prosedur sesuai prinsip perlindungan data pribadi
dan keamanan siber. Salah satunya, menegaskan
mekanisme keamanan sistem informasi yang aman, termasuk inisiasi penerapan
privacy by design dan privacy by default guna menjamin penghormatan hak
subyek data. Berdasarkan telusuran di
media, baik Gojek maupun Tokopedia memiliki fungsi DPO dan CISO meskipun
fungsi ini tergolong awam bagi perusahaan di Indonesia yang juga mengelola
data pribadi. Dengan ketersediaan fungsi ini, kita dapat melihat komitmen
kedua perusahaan menjaga keamanan data pengguna sebagai bentuk transparansi
dan akuntabilitas dari bisnis mereka. Kedua fungsi ini menjadi
indikator penting akan kesiapan infrastruktur organisasi dalam hal tata
kelola data. DPO dan CISO bertugas memberikan advis ke manajemen terkait
aspek perlindungan data pribadi sebelum dan sesudah proses penyatuan dua
perusahaan, sejak proses due diligence sampai penetapan kebijakan privasi
sebagaimana diperlukan. Sudah selayaknya
perusahaan yang besar dan memiliki basis pengguna yang masif melakukan
berbagai metode dan kebijakan untuk menangkis potensi serangan siber dan
kebocoran data. Ketiga, pemberian
notifikasi kepada subyek data. Dalam berbagai praktik di wilayah Asia,
penyatuan dua perusahaan wajib mempertimbangan hukum perlindungan data
pribadi nasional di suatu negara. Ekosistem
perlindungan Meskipun tak secara
spesifik disebutkan dalam GDPR, belajar dari Hukum Pelindungan Data Pribadi
Singapura dan sebagian besar hukum pelindungan data pribadi Asia, ada
keharusan perusahaan memberikan notifikasi kepada subyek data secara memadai. Praktik ini merupakan
perwujudan agensi konsumen sebagai subyek data yang memegang kontrol penuh
atas data pribadinya. Poin notifikasi ini juga merupakan salah satu instrumen
penting sebagai bagian dari uji tuntas dampak pelindungan data pribadi dalam
proses penyatuan dua perusahaan yang dapat dilakukan sebelum maupun setelah
transaksi. Sedangkan di Indonesia,
implementasi kewajiban memberikan notifikasi masih menunggu pengesahan RUU
Pelindungan Data Pribadi. Meskipun hingga saat ini
Indonesia belum memiliki satu regulasi khusus yang dapat menjadi acuan utama terkait
tata kelola dan pelindungan data pribadi, sektor privat memiliki pengaruh
langsung dalam membangun kultur ini. Salah satunya dengan
menjalankan inisiatif uji tuntas dalam proses penyatuan perusahaan sebagai
upaya meminimalkan risiko terhadap data pribadi konsumen. Setiap langkah
seperti regulasi internal dan pengambilan kebijakan perlu mengedepankan
akuntabilitas dan transparansi. ● |
Tidak ada komentar:
Posting Komentar