Kerentanan Perlindungan Data Pribadi dalam Pengelolaan Data Kependudukan

Siaran Pers ELSAM

Kerentanan Perlindungan Data Pribadi dalam Pengelolaan Data Kependudukan

Kerjasama yang dilakukan Kementerian Dalam Negeri (Kemdagri) dengan berbagai instansi, baik pemerintah maupun swasta, dalam penggunaan data-data kependudukan (KTP-e), telah menuai sejumlah pertanyaan mengenai pengelolaan data-data pribadi kependudukan. Meskipun UU Administrasi Kependudukan (UU No. 23/2006 jo. UU No. 24/2013) membuka peluang kerjasama penggunaan data kependudukan, khususnya untuk alasan pengembangan layanan publik (Pasal 58 (4) UU Adminduk), namun ancaman eksplotasi data pribadi mengintai dalam pelaksanaan kerjasama ini. Langkah ini sendiri dilakukan dengan alasan untuk memverifikasi atau validasi data-data pengguna layanan (konsumen), sehingga antara data yang diterima penyedia layanan, seragam dengan data kependudukan dari tiap-tiap orang.

Dalam industri, proses ini disebut sebagai Electronic Know Your Customers (e-KYC), yang saat ini dilakukan secara digital. Pada dasarnya, proses KYC sendiri dilaksanakan agar bank, perusahaan penyedia jasa keuangan, atau jasa-jasa lainnya dapat mengidentifikasi pelanggan mereka untuk mengevaluasi kemungkinan risiko hukum dan lainnya yang terkait dengan pelaksanaan bisnis dengan pelanggan tersebut. Terkait pelaksanaan e-KYC ini, Kemdagri kemudian memberikan akses kepada perusahaan penyedia jasa terhadap database kependudukan. Hingga 16 Juli 2019, tercatat 1.227 lembaga pengguna telah memiliki akses terhadap database data kependudukan.[1] Sekali lagi, kendati pemanfaatan data kependudukan untuk keperluan pelayanan publik diperbolehkan oleh UU Adminduk, namun pemberian hak akses tersebut harus dilakukan secara ketat dan terbatas, dengan memperhatikan aspek-aspek perlindungan data pribadi (Pasal 10 (2) PP No. 40/2019).

ELSAM mencatat permasalahan terkait perlindungan data pribadi yang mengemuka dalam pemberian akses data kependudukan kepada sektor swasta: Pertama, sangat terbatasnya definisi dan ruang lingkup data pribadi dalam UU Adminduk dan PP No. 40 Tahun 2019 tentang Pelaksanaan UU Adminduk. Saat ini, UU Adminduk mendefinisikan data pribadi sebagai “data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya”. Ruang lingkup ‘data perseorangan tertentu’ ini mencakup keterangan tentang cacat fisik dan/atau mental, sidik jari, iris mata, tanda tangan, elemen data lainnya yang merupakan aib seseorang (Pasal 84 (1) UU Adminduk). Sedangkan data perseorangan lainnya seperti Tanggal Lahir, Alamat, Nomor KK, NIK, Nama dan NIK orang tua, tidak termasuk dalam ruang lingkup data pribadi yang harus dilindungi kerahasiaannya. Hal ini tentunya berpotensi menimbulkan banyak permasalahan ke depannya, mengingat penggunaan data perseorangan tersebut (nama ibu kandung misalnya) masih digunakan dalam proses validasi dalam dunia perbankan.

Kedua, akses yang diberikan kepada perusahaan penyedia jasa tidak diatur secara rinci di dalam peraturan. Pemberian akses terhadap data kependudukan harus dilakukan dengan memperhatikan prinsip-prinsip dasar perlindungan data pribadi, khususnya prinsip data minimalisasi. Prinsip data minimalisasi sendiri pada dasarnya menekankan bahwa pemrosesan data hanya dapat dilakukan bagi data yang diperlukan dan relevan untuk tujuan yang telah disetujui sebelumnya. Dalam hal ini, pembatasan akses perusahaan terhadap data kependudukan menjadi sangat penting guna melindungi data pribadi warga negara. Idealnya, pembatasan ini dapat dilakukan dengan menciptakan sebuah sistem dimana database kependudukan didesain untuk menjawab satu pertanyaan sederhana dengan jawaban ya/tidak: apakah data yang diberikan pelanggan sesuai dengan data kependudukan yang dimiliki Kemdagri? Hal ini dilakukan dengan tujuan untuk meminimalisir risiko penyalahgunaan akses terhadap data kependudukan oleh perusahaan yang memiliki akses terhadap data kependudukan di Indonesia saat ini.

Ketiga, dengan ketidakjelasan batasan tersebut mengakibatkan tidak adanya jaminan bahwa perusahanan yang mendapatkan akses tidak melakukan pengumpulan dan pemrosesan data pribadi dari data-data kependudukan yang diaksesnya. Situasi ini menjadi bertambah rentan dengan belum adanya UU Perlindungan Data Pribadi yang komprehensif. Selain ketidakjelasan definisi data pribadi, juga ada persoalan dengan belum adanya rujukan hukum yang memadai mengenai hak-hak dari pemilik data (rights of data subject), juga kewajiban dari pengendali dan prosesor data. Menjadi pertanyaan, pihak yang melakukan kerjasama dengan Kemdagri posisinya sebagai pengendali atau prosesor data? Apakah sudah ada konsen dari pemilik data atau kepentingan yang sah (legitimate interest) bagi Kemdagri untuk memberikan akses data kependudukan pada pihak ketiga? Salah satu hak yang penting dari pemilik data adalah hak untuk menolak/menyangkal (right to object), artinya pemilik data dapat juga menolak untuk memindahtangankan atau memberikan akses pihak ketiga terhadap data-data pribadinya.

Merespon situasi itu, Lembaga Studi dan Advokasi Masyarakat (ELSAM) merekomendasikan kepada Kemdagri untuk mengkaji kembali perjanjian kerjasama pemberian akses data kependudukan dengan 1,227 lembaga pengguna. UU Adminduk sendiri memberikan sejumlah pra-syarat dalam pemberian akses ini, termasuk keharusan untuk memperhatikan aspek perlindungan data perseorangan sebagai bagian dari data pribadi. Pemerintah dan DPR mempercepat proses pembahasan dan pengesahan RUU Perlindungan Data Pribadi, mengingat besarnya potensi penyalahgunaan data pribadi, akibat tidak adanya rujukan perlindungan hukum yang memadai. Praktik dalam pengelolaan data kependudukan yang masuk kualifikasi data pribadi, sebagai mandat UU Adminduk, memperlihatkan tidak cukupnya aturan dan regulasi hari ini untuk melindungi data-data pribadi warga negara.

Jakarta, 22 Juli 2019

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silakan menghubungiWahyudi Djafar (Deputi Direktur Riset ELSAM), telp: 081382083993; atau Lintang Setianti (Peneliti ELSAM), telp: 085711624684; atau Alia Yofira Karunian (Peneliti ELSAM), telp: 081217015759.