Pemrosesan Data dalam Aplikasi TraceTogether Harus Terbatas dan Proporsional

Siaran Pers ELSAM

Pemrosesan Data dalam Aplikasi TraceTogether Harus Terbatas dan Proporsional

 

Pada Kamis 26 Maret 2020, Menteri Komunikasi dan Informatika, Johnny G. Plate mengeluarkan Keputusan Menteri Kominfo No. 159/2020 tentang Upaya Penanganan Coronavirus Disease (COVID-19) Melalui Dukungan Sektor Pos dan Informatika. Keputusan Menteri ini bersifat khusus, dikarenakan berlaku hanya pada saat keadaan darurat wabah, dan berhenti berlaku pada saat Pemerintah menyatakan keadaan darurat berakhir. Keputusan ini dinilai sebagai dasar hukum pelaksanaan kerja sama antara Kemkominfo dengan Kementerian Kesehatan, Kementerian BUMN, Badan Nasional Penanggulangan Bencana (BNPB), dan Operator Telekomunikasi di Indonesia, untuk penyelenggaraan surveilans terpadu berupa tracing, tracking dan fencing pasien COVID-19.

Upaya surveilans kesehatan terpadu ini nantinya akan dilaksanakan melalui aplikasi TraceTogether yang dikembangkan oleh Operator Telekomunikasi dan akan terpasang pada telepon genggam dari Pasien Positif COVID-19. Berdasarkan Siaran Pers No. 48/HM/KOMINFO/03/2020, terdapat setidaknya dua kegunaan dari aplikasi TraceTogether: merekam riwayat pergerakan Pasien Positif COVID-19 selama 14 hari ke belakang, dan berdasarkan riwayat tersebut, pemilik nomor yang terdeteksi berada di sekitar Pasien Positif akan diberikan warning untuk segera menjalankan protokol ODP (Orang Dalam Pemantauan).

Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai bahwa pemrosesan data pribadi (data telekomunikasi berupa data lokasi telepon genggam) untuk tujuan kesehatan publik (surveilans kesehatan COVID-19), merupakan salah satu bentuk pembatasan terhadap hak atas privasi dengan alasan keselamatan publik (public safety) dan kesehatan publik (public health). Oleh karenanya, pelaksanaannya juga harus dilakukan sesuai dengan prinsip-prinsip pembatasan hak asasi manusia yang mengharuskan: diatur oleh hukum, untuk suatu tujuan yang sah dan benar-benar diperlukan, serta dilaksanakan secara proporsional, dalam suatu masyarakat demokratis.

Peraturan Pemerintah No. 71/2019 tentang PSTE, pada Pasal 1 Angka 29 menyebutkan: Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik dan/atau nonelektronik.” Dengan menggunakan definisi ini, data lokasi telepon genggam dapat diklasifikasikan sebagai data pribadi. Hal ini mengingat bahwa nomor telepon genggam saat ini sudah terintegrasi dengan NIK dan Nomor Kartu Keluarga, sehingga identitas seseorang dapat dengan mudah diidentifikasi dengan mengombinasikan data lokasi telepon genggam, nomor telepon, dan data registrasi kartu SIM.

Dalam hal pengecualian pemrosesan data pribadi untuk keperluan kesehatan publik, acuannya adalah ketentuan Pasal 15 UU No. 6/2018 tentang Kekarantinaan Kesehatan, yang memberikan wewenang pada pemerintah salah satunya untuk melakukan pengamatan/surveilans orang. Sayangnya, peraturan pelaksana dari UU ini belum sepenuhnya tersedia, sehingga rujukan teknis dalam tindakan pembatasan juga belum ada. Sementara UU No. 36/1999 tentang Telekomunikasi hanya mengatur mengenai pemanfaatan data telekomunikasi (sebagai tindakan penyadapan), berupa “rekaman percakapan antar pihak yang bertelekomunikasi”. Di dalamnya tidak termasuk data lokasi yang dikumpulkan melalui aplikasi TraceTogether. Selain itu, menurut Pasal 42 UU Telekomunikasi, pemanfaatan rekaman informasi ini pun hanya boleh dilakukan oleh Penyidik, Jaksa Agung dan atau Kepala Kepolisian Republik Indonesia, untuk keperluan proses peradilan pidana. Satu-satunya rujukan detail terkait dengan pemrosesan data pribadi saat ini adalah PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Hal ini mengingat belum disahkannya RUU Pelindungan Data Pribadi, yang dapat menjadi rujukan komprehensif dalam keseluruhan siklus pemrosesan data pribadi.

Lebih jauh, meskipun Pemerintah telah menjelaskan bahwa pemrosesan data telekomunikasi ini hanya dilakukan sementara, namun Pemerintah melalui Keputusan Menkominfo ini, tidak memberikan penjelasan lebih lanjut apakah data lokasi yang diberikan oleh Operator Telekomunikasi merupakan data lokasi yang telah dianonimisasi terlebih dahulu. Idealnya, pemrosesan data lokasi telepon genggam hanya dapat dilakukan jika Operator Telekomunikasi telah mendapatkan persetujuan dari Subjek Data atau data lokasi tersebut telah melalui proses anonymization terlebih dahulu. Praktik pemrosesan data lokasi telepon genggang yang telah dianonimisasi untuk keperluan kontak tracing dan pengawasan kebijakan social distancing ini pun diterapkan oleh beberapa negara lainnya seperti, Italia, Inggris, Austria, dan Jerman. Hal ini untuk memastikan tidak adanya proses identifikasi/profiling terhadap pasien positif, sehingga identitasnya tidak terbuka ke publik, guna mencegah adanya diskriminasi dan pengucilan.

Selain itu, mengacu pada PP 71/2019, setiap tindakan pemrosesan data pribadi, juga harus mengacu pada sejumlah prinsip dalam pemrosesan data, misalnya dilakukan untuk tujuan yang spesifik, yang ditetapkan oleh Keputusan Menkominfo (purposive limitation). Kominfo juga harus menjamin dan memastikan tidak adanya pengumpulan data lain, di luar data lokasi dari aplikasi TraceTogather, sebagai penerapan prinsip minimalisasi data (data minimization). Harus pula dipastikan tidak adanya pemrosesan data lanjutan, di luar tujuan pemrosesan data yang ditetapkan dalam Keputusan Menkominfo. Pada akhirnya, sebagai bagian dari siklus hidup (life cycle) pemrosesan data pribadi, seluruh data yang dikumpulkan untuk tujuan ini, juga harus segera dihancurkan, setelah berakhirnya periode tanggap darurat COVID-19, guna mencegah adanya potensi penyalahgunaan data pribadi.

Merespon situasi ini ELSAM memberikan beberapa rekomendasi berikut ini:

  1. Kementerian Komunikasi dan Informatika untuk melakukan anonimisasi data lokasi telepon genggam sebelum melakukan pemrosesan lebih lanjut. Hal ini untuk memastikan tidak adanya pemrosesan data lanjutan dari data lokasi yang telah dianonimisasi. Pemrosesan data lokasi tersebut harus tunduk pada mekanisme pengawasan dan perlindungan data yang ketat, guna memastikan penghormatan terhadap HAM dan prinsip-prinsip perlindungan data, seperti durasi pengumpulan, pemrosesan dan retensi data yang terbatas, serta pembatasan tujuan pemrosesan data (purpose limitation);
  2. Tindakan tracing, tracking dan fencing pasien COVID-19, hanya dimaksudkan untuk mengidentifikasi secara lengkap rekam jejak aktivitas dan daerah (lokasi) yang dikunjungi oleh pasien positif dan suspect COVID-19, dengan menampilkan informasi mengenai lokasi, tanpa membuka identitas pribadi pasien. Pilihan ini dilakukan guna memastikan tidak adanya identifikasi dan profiling terhadap pasien, dan semata-mata untuk memberikan informasi mengenai lokasi yang pernah dikunjungi pasien dalam rentang waktu tertentu (14 hari). Tindakan Contact Tracing ini ditujukan untuk memberikan informasi kepada publik yang berpotensi berkontak langsung dengan pasien, sehingga mereka dapat melaporkan ke institusi kesehatan rujukan apabila mengalami gejala infeksi, atau menjadi pertimbangan untuk melakukan self-quarantine (isolasi mandiri).

Jakarta, 27 Maret 2020

Lembaga Studi dan Advokasi Masyarakat (ELSAM) 

 

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Deputi Direktur Riset ELSAM), telp: 081382083993, Lintang Setianti (Peneliti ELSAM), telp: 085711624684, atau Alia Yofira (Peneliti ELSAM), telp: 081217015759.