POTENSI eksploitasi data pribadi terhadap data kependudukan warga begara kembali mengemuka, seiring dengan kerjasama antara Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil) Kemendagri, dengan PT Jelas Karya Wasantara, sebagaimana dirilis dalam siaran pers mereka (13/12/2019).
Dalam siaran pers tersebut disebutkan, kerjasama meliputi akses pemanfaatan data kependudukan (Pasal 58 UU Adminduk), juga akses terhadap foto wajah dari data biometrik.
Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai kerja sama tersebut telah menyalahi prinsip-prinsip perlindungan data pribadi, khususnya pada pengaksesan data biometrik, sebagai bagian dari data sensitif yang harus dilindungi secara ketat.
Seperti halnya sebelumnya, perjanjian kerja sama ini dilakukan dengan alasan untuk memverifikasi atau validasi data-data pengguna layanan (konsumen), sehingga antara data yang diterima penyedia layanan, seragam dengan data kependudukan.
Dalam industri, proses ini disebut sebagai proses Electronic Know Your Customer (e-KYC), yang dilakukan secara digital. Proses ini memang lazim digunakan oleh industri perbankan dan penyedia jasa keuangan, untuk mengidentifikasi pelanggan, guna mengevaluasi kemungkinan resiko hukum.
Meski dimungkinkan, proses ini harus dilakukan secara ketat dan terbatas, sebagaimana diatur Pasal 10 PP No. 40/2019 tentang Pelaksanaan UU Adminduk, maupun PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).
Harus pula ditegaskan, kendati dilakukan atas nama pelayanan publik, sebagai mandat UU Adminduk, Kemendagri tetap terkena kewajiban sebagai pengendali data pribadi. Sementara pihak yang melakukan kerjasama, meski hanya melakukan tindakan pengaksesan, dia tetap dikenakan serangkaian kewajiban sebagai prosesor data.
Lebih jauh, permasalahan perlindungan data pribadi akibat kerjasama pengaksesan tersebut, salah satunya disebabkan oleh ketidakselarasan definisi data pribadi dalam UU Adminduk, dengan konsep dan ruang lingkup data pribadi.
Selain itu, pembagian jenis data pribadi yang bersifat umum dan data pribadi yang spesifik dalam UU Adminduk, juga belum sejalan dengan prinsip-prinsip perlindungan data pribadi. Dalam UU Adminduk, data pribadi yang bersifat umum disebut sebagai data perseorangan, terdiri dari 31 item data (Pasal 58 ayat (2)), sedangkan data pribadi yang spesifik terdiri dari: keterangan tentang cacat fisik dan mental, sidik jari, iris mata, tanda tangan, dan catatan tentang aib seseorang (Pasal 84 ayat (1)).
Padahal, secara konsep, data biometrik sebagai data sensitif yang memiliki kekhususan dalam perlindungannya, tidaklah semata-mata terdiri dari sidik jari dan iris mata, tetapi juga tanda-tanda yang dapat mengenali secara fisik—biometrik lainnya.
Bahkan dalam EU General Data Protection Regulation (EU GDPR), secara jelas telah menekankan bahwa data rekam foto wajah merupakan data biometrik yang harus dilindungi. Mengapa harus dilindungi? Data Biometrik merupakan data pribadi yang tergolong sensitif, sehingga menuntut pemrosesan data pribadi spesifik yang memiliki mekanisme khusus dengan tingkat kehati-hatian yang lebih tinggi.
Hal ini sebab ruang lingkup data sensitif sangat dekat dan erat kaitanya dengan keselamatan individu data subjek. Data biometrik sendiri merupakan data unik, yang dihasilkan dari karakteristik manusia, dan dapat digunakan untuk melacak dan membuat profil sesorang di seluruh kehidupan mereka. Biometrik menggambarkan karakteristik fisiologis dan perilaku individu, bisa berupa sidik jari, suara, wajah, retina dan pola iris, geometri tangan, gaya berjalan, atau profil DNA.
Data biometrik dapat mengidentifikasi seseorang untuk seumur hidup mereka, sehingga pembuatan database biometrik seringkali menjadi masalah, karena pengelola harus mengantisipasi risiko hingga jauh di masa depan.
Ketika diadopsi dan dimanfaatkan dengan tidak adanya kerangka hukum yang kuat dan pengamanan yang ketat, teknologi biometrik akan menimbulkan ancaman besar terhadap privasi dan keamanan pribadi, karena kesalahan dalam penggunaannya, akan dapat berdampak pada terjadinya diskriminasi, kesalahan identifikasi, penipuan, pengecualian atau ekslusivisme terhadap kelompok rentan, hingga tindakan surveillance massal.
Merespon hal tesebut, Lembaga Studi dan Advokasi Masyarakat (ELSAM) memiliki memiliki beberapa catatan rekomendasi:
1. Kementerian Dalam Negeri untuk mengkaji kembali perjanjian kerja sama terkait pemberian akses database kependudukan terutama akses foto wajah dan data biometrik lainnya, yang merupakan bagian dari data pribadi spesifik. Kegagalan dalam pengelolaan data biometrik akan memiliki ancaman bahaya yang luar biasa bagi data subjek. Oleh karenanya, secara prinsip diperlukan mekanisme yang lebih ketat dalam pemrosesannya.
2. Kemendagri perlu mempersiapkan ekosistem yang lebih mengedepankan prinsip perlindungan data pribadi, dengan menyiapkan berbagai kebijakan yang mengatur secara detail kewajiban pihak yang melakukan kerjasama, dalam kapasitasnya sebagai prosesor data.
3. Pemerintah dan DPR perlu mempercepat proses pembahasan dan pengesahan RUU Pellindungan Data Pribadi, yang akan menjadi rujukan perlindungan hukum yang komprehensif dalam perlindungan data pribadi. Dengan adanya aturan ini, harapannya praktik-praktik eksploitasi data pribadi secara semena-mena tidak lagi terjadi.
Oleh Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar
