Sengkarut 'Polisi' Data Pribadi

Ilustrasi data pribadi.
Sumber :
  • Instagram/@accumepartners

VIVA – Masih ingat kasus megaskandal Facebook dengan Cambridge Analytica? Ini terkait bocornya 87 juta pengguna Facebook di seluruh dunia. Hal itu pula yang menggugah kekhawatiran Indonesia sampai tergerak untuk mempercepat pembuatan Undang-Undang Perlindungan Data Pribadi.

Kebutuhan akan Undang-Undang Perlindungan Data Pribadi mendesak menyusul mudahnya data pribadi diketahui orang lain, diperjualbelikan, bahkan tak jarang digunakan untuk kejahatan. Namun, sayang, hingga kini RUU tersebut tak kunjung dibahas dan disahkan.

Facebook

Apabila data pribadi begitu mudah tersebar, maka akan mengganggu banyak pihak. Hingga 16 Juli 2019, Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri (Dukcapil Kemendagri) menyebutkan mereka telah memberikan akses data kependudukan kepada 1.227 lembaga, baik pemerintahan maupun swasta.

Namun, langkah ini diprotes lantaran dinilai tidak memenuhi prinsip penghormatan terhadap privasi dan persetujuan dari pemilik data pribadi seseorang. Direktur Jenderal Aplikasi dan Informatika, Kementerian Komunikasi dan Informatika, Semuel Abrijani Pangerapan, mengaku bahwa Kemendagri memiliki alasan dasar mengapa memberikan akses ke pihak swasta.

Ia juga menegaskan bahwa pemerintah tidak membagi-bagikan data pribadi ke publik, melainkan melakukan verifikasi. Itu pun harus melalui perjanjian kerja sama yang ketat. "Mereka pasti ada dasarnya. Enggak mungkin berani. Coba di cek juga, setahu saya hanya untuk verifikasi," kata Semuel kepada VIVA.

Kecerdasan Buatan

Lebih jauh ia mengungkapkan Kementerian Komunikasi dan Informatika sudah menyelesaikan Rancangan Undang-Undang Perlindungan Data Pribadi. Menurutnya pemanfaatan teknologi kecerdasan buatan (Artificial Intelligence/AI) di berbagai lini kehidupan saat ini banyak menggunakan data pribadi, sehingga berpotensi untuk disalahgunakan.

Semuel mengaku pembahasan RUU ini sudah selesai di tingkat antarkementerian dan lembaga negara, sehingga dalam waktu dekat bisa dibahas di DPR. Ia mengatakan aturan ini dibuat untuk melindungi data pribadi agar digunakan sesuai dengan fungsinya.

Pria supel berkacamata itu pun meminta masyarakat tak beranggapan bahwa aturan ini bisa menghambat industri untuk berinovasi. Dalam RUU Perlindungan Data Pribadi, akan dibentuk badan independen yang bertanggung jawab mengelola data seperti DPA (data protection authorty) serta membantu menelaah proses pengelolaan data. Badan ini juga menjaga keseimbangan antara regulasi dan inovasi.

"Nantinya juga akan dibentuk badan khusus untuk data pribadi. Kalau saya lebih condong lembaga tersebut independen, bukan ke Kominfo. Nantinya, hal ini akan didiskusikan bersama DPR," jelasnya.

Koalisi Advokasi mendesak disahkannya RUU Perlindungan Data Pribadi

Samuel menambahkan badan tersebut nantinya menjadi panduan bagi pelaku industri dalam mengelola data secara bertanggung jawab. “Undang-undang ini bisa menciptakan lapangan pekerjaan baru sebagai data protection officer," kata dia.

Tujuh Tahun Mangkrak

Selain itu, Samuel menuturkan akan ada peluang baru di mana lembaga kecil seperti UMKM tidak perlu mengelola data konsumen mereka sendiri. Rancangan Undang-undang yang disusun sejak 2012 namun belum rampung juga, diklaim Semuel karena membutuhkan proses. "Memang sampai 7 tahun belum selesai. Namanya juga lagi proses," paparnya.

Ia juga mengaku bahwa saat ini masih kurang satu lembaga yang ingin mereview RUU ini. Namun, Semuel enggan menyebut nama lembaga bersangkutan.

Soal kendala, ia mengklaim terdapat 32 regulasi sehingga harus disatukan. Adapun poin-poin penting yang harus ada di RUU ini antara lain kepemilikan, pengontrol, dan pemrosesan data. "Itu tiga hak dan kewajibannya. Nah, sekarang bagaimana tata kelolanya," tutur Semuel.

Nantinya, muatan materi RUU ini mengatur soal tata kelola keamanan dan perlindungan data pribadi, termasuk otoritas pihak yang melakukan pengawasan terhadap perlindungan data pribadi.

Ketika ditanya target pengesahan di DPR, Semuel hanya melempar senyum tipis dan menjawab 'ala kadarnya'. "Target, sih, inginnya sesegera mungkin. Artinya, kalau harus diproses, ya, diproses. Ikuti saja, kan, ada tahapan-tahapannya," kata dia.

Direktur Jenderal Aptika, Kementerian Komunikasi dan Informatika, Semuel Abrijani Pangerapan

Sebagaimana diketahui, nasib pembahasan Rancangan Undang-Undang (RUU) tentang Perlindungan Data Pribadi di akhir masa periode DPR 2014-2019 masih belum nampak titik cerahnya.

Setelah tertunda kelanjutan pembahasan RUU ini, akhirnya pemerintah telah merampungkan sinkronisasi dengan berbagai peraturan perundang-undangan. Selanjutnya, pemerintah bakal segera melayangkan draf RUU ke DPR.

Proses KYC

Pada kesempatan terpisah, Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, menuturkan kerja sama yang dilakukan Kemendagri dengan berbagai instansi, baik pemerintah maupun swasta, dalam penggunaan data-data kependudukan (e-KTP) telah menuai sejumlah pertanyaan mengenai pengelolaan data-data pribadi kependudukan.

Meskipun UU Administrasi Kependudukan (UU No.23/2006 jo.UU No.24/2013) membuka peluang kerja sama penggunaan data kependudukan, khususnya untuk alasan pengembangan layanan publik (Pasal 58 (4) UU Adminduk), tetapi ancaman eksplotasi data pribadi mengintai dalam pelaksanaan kerja sama ini.

Langkah tersebut dilakukan dengan alasan untuk memverifikasi atau validasi data-data pengguna layanan atau konsumen, sehingga antara data yang diterima penyedia layanan, seragam dengan data kependudukan dari tiap-tiap orang. "Dalam industri, proses ini disebut sebagai Electronic Know Your Customers (e-KYC), yang saat ini dilakukan secara digital," ujar Wahyudi.

Pada dasarnya, proses KYC sendiri dilaksanakan agar bank, perusahaan penyedia jasa keuangan, atau jasa-jasa lainnya dapat mengidentifikasi pelanggan mereka untuk mengevaluasi kemungkinan risiko hukum dan lainnya yang terkait dengan pelaksanaan bisnis dengan pelanggan tersebut.

Terkait pelaksanaan e-KYC, Wahyudi memandang Kemendagri kemudian memberikan akses kepada perusahaan penyedia jasa terhadap database kependudukan.

"Sekali lagi, kendati pemanfaatan data kependudukan untuk keperluan pelayanan publik diperbolehkan oleh UU Adminduk, namun pemberian hak akses tersebut harus dilakukan secara ketat dan terbatas dengan memperhatikan aspek-aspek perlindungan data pribadi (Pasal 10 (2) PP No. 40/2019)," tutur dia.

Diskusi terkait pentingnya perlindungan data pribadi

ELSAM mencatat permasalahan terkait perlindungan data pribadi yang mengemuka dalam pemberian akses data kependudukan kepada sektor swasta. Pertama, sangat terbatasnya definisi dan ruang lingkup data pribadi dalam UU Adminduk dan PP No. 40 Tahun 2019 tentang Pelaksanaan UU Adminduk.

Data Perseorangan Tertentu

Saat ini, UU Adminduk mendefinisikan data pribadi sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

Ruang lingkup ‘data perseorangan tertentu’ ini mencakup keterangan tentang cacat fisik dan/atau mental, sidik jari, iris mata, tanda tangan, elemen data lainnya yang merupakan aib seseorang (Pasal 84 (1) UU Adminduk).

"Sedangkan data perseorangan lainnya seperti Tanggal Lahir, Alamat, Nomor KK, NIK, Nama dan NIK orangtua, tidak termasuk dalam ruang lingkup data pribadi yang harus dilindungi kerahasiaannya," kata Wahyudi.

Hal ini tentunya berpotensi menimbulkan banyak permasalahan ke depannya, mengingat penggunaan data perseorangan tersebut (nama ibu kandung misalnya) masih digunakan dalam proses validasi dalam dunia perbankan.

Kedua, ia melanjutkan, adalah akses yang diberikan kepada perusahaan penyedia jasa tidak diatur secara rinci di dalam peraturan. Pemberian akses terhadap data kependudukan harus dilakukan dengan memperhatikan prinsip-prinsip dasar perlindungan data pribadi, khususnya prinsip data minimalisasi.

Prinsip data minimalisasi itu sendiri pada dasarnya menekankan bahwa pemrosesan data hanya dapat dilakukan bagi data yang diperlukan dan relevan untuk tujuan yang telah disetujui sebelumnya. Dalam hal ini, pembatasan akses perusahaan terhadap data kependudukan menjadi sangat penting guna melindungi data pribadi warga negara.

Peneliti ELSAM Wahyudi Djafar

Idealnya, pembatasan ini dapat dilakukan dengan menciptakan sebuah sistem dimana database kependudukan didesain untuk menjawab satu pertanyaan sederhana dengan jawaban ya/tidak.

Lalu, apakah data yang diberikan pelanggan sesuai dengan data kependudukan yang dimiliki Kemendagri? Hal ini dilakukan dengan tujuan untuk meminimalisir risiko penyalahgunaan akses terhadap data kependudukan oleh perusahaan yang memiliki akses terhadap data kependudukan di Indonesia saat ini.

Ketiga, dengan ketidakjelasan batasan tersebut mengakibatkan tidak adanya jaminan bahwa perusahanan yang mendapatkan akses tidak melakukan pengumpulan dan pemrosesan data pribadi dari data-data kependudukan yang diaksesnya.

Situasi ini menjadi bertambah rentan dengan belum adanya UU Perlindungan Data Pribadi yang komprehensif. Selain ketidakjelasan definisi data pribadi, juga ada persoalan dengan belum adanya rujukan hukum yang memadai mengenai hak-hak dari pemilik data (rights of data subject), juga kewajiban dari pengendali dan prosesor data.

Right to Object

"Yang menjadi pertanyaan, pihak yang melakukan kerja sama dengan Kemendagri posisinya sebagai pengendali atau prosesor data? Apakah sudah ada konsen dari pemilik data atau kepentingan yang sah (legitimate interest) bagi Kemendagri untuk memberikan akses data kependudukan pada pihak ketiga" kata Wahyudi.

Ia melanjutkan salah satu hak yang penting dari pemilik data adalah hak untuk menolak/menyangkal (right to object), artinya pemilik data dapat juga menolak untuk memindahtangankan atau memberikan akses pihak ketiga terhadap data-data pribadinya.

Merespons situasi itu, ELSAM merekomendasikan kepada Kemendagri untuk mengkaji kembali perjanjian kerja sama pemberian akses data kependudukan dengan 1,227 lembaga pengguna.

Dirjen Dukcapil Kemendagri, Zudan Arif Fakrulloh

UU Adminduk sendiri memberikan sejumlah pra-syarat dalam pemberian akses ini, termasuk keharusan untuk memperhatikan aspek perlindungan data perseorangan sebagai bagian dari data pribadi.

Pentingnya Pemerintah dan DPR untuk mempercepat proses pembahasan dan pengesahan RUU Perlindungan Data Pribadi, mengingat besarnya potensi penyalahgunaan data pribadi akibat tidak adanya rujukan perlindungan hukum yang memadai.

Praktik dalam pengelolaan data kependudukan yang masuk kualifikasi data pribadi, sebagai mandat UU Adminduk, memperlihatkan tidak cukupnya aturan dan regulasi hari ini untuk melindungi data-data pribadi warga negara. (ren)