Sistem Informasi Satu Data Vaksinasi Covid-19 dan Pelindungan Data Pribadi

Siaran Pers Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP)

Sistem Informasi Satu Data Vaksinasi Covid-19 dan Pelindungan Data Pribadi

Kementerian Komunikasi dan Informatika bersama Kementerian Kesehatan menerbitkan Surat Keputusan Bersama (SKB) Nomor HK.03.01/MENKES/53/2021 dan Nomor 5 Tahun 2021 tentang Penyelenggaraan Sistem Informasi Satu Data Vaksinasi Corona Virus Disease 2019 (COVID-19). Berdasarkan SKB ini, diketahui bahwa Sistem Informasi Satu Data Vaksinasi COVID-19 mengintegrasikan data dari berbagai sumber data seperti Kementerian Kesehatan, BPJS Kesehatan dan Ketenagakerjaan, TNI, Polri, data telekomunikasi dari penyedia layanan telekomunikasi seluler, hingga data kependudukan yang dikelola oleh Kementerian Dalam Negeri. Validasi data dilakukan ke Kementerian Dalam Negeri (guna memastikan bahwa calon penerima vaksin masih hidup) dan penyedia layanan telekomunikasi seluler (guna memastikan calon penerima vaksin masih aktif menggunakan layanan telekomunikasi seluler sehingga dapat menerima SMS undangan vaksinasi).

Mengingat skala data yang dikelola dalam Sistem Informasi Satu Data Vaksinasi COVID-19, penting baik bagi Kementerian Kesehatan maupun Kementerian Komunikasi dan Informatika untuk mengimplementasikan prinsip-prinsip pelindungan data pribadi dalam pemrosesan data pribadi yang dilakukan oleh para pihak yang diberikan akses terhadap Sistem Informasi Satu Data Vaksinasi COVID-19. Meskipun SKB ini telah menyebutkan terkait kewajiban untuk menjaga keamanan sistem bagi para pihak yang terlibat, namun kewajiban untuk mengimplementasikan prinsip-prinsip pelindungan data pribadi masih luput untuk ditegaskan secara eksplisit sebagai komponen penting dalam penyelenggaraan Sistem Informasi Satu Data Vaksinasi COVID-19.

Keseluruhan proses pengumpulan, pemrosesan, dan penyimpanan data pribadi untuk keperluan program Vaksinasi COVID-19 di Indonesia masuk ke dalam ruang lingkup penyelenggaraan sistem elektronik sebagaimana diatur dalam Peraturan Pemerintah No. 71 Tahun 2019 (“PP PSTE”), sehingga harus dilakukan sesuai dengan prinsip pelindungan data pribadi. Prinsip Akurasi Data, yang juga dapat ditemukan dalam Pasal 14 ayat (1) huruf d PP PSTE, kemudian menjadi salah satu prinsip pelindungan data pribadi yang kemudian menjadi sangat penting dalam konteks program vaksinasi COVID-19. Hal ini dikarenakan ketidakakuratan data dapat berdampak pada akses individu terhadap vaksin COVID-19, sebagai contoh, ketidakakuratan data nomor telepon seluler dapat berdampak pada tidak diterimanya undangan vaksinasi COVID-19 bagi individu target penerima prioritas vaksinasi COVID-19. Dalam konteks ini, hak individu untuk mengakses data pribadinya dalam Sistem Informasi Satu Data Vaksinasi COVID-19 dan memperbaiki data pribadinya yang tidak akurat menjadi hak subjek data yang sangat penting untuk difasilitasi.

Lebih lanjut lagi, dengan dimulainya tahap 2 vaksinasi di Indonesia dan mulai meluasnya ruang lingkup cakupan kelompok sasaran prioritas penerima vaksin, intensitas pengumpulan, pemrosesan dan penyimpanan data pribadi pun turut meningkat. Prinsip minimalisasi data dan pembatasan tujuan pemrosesan data pribadi, yang juga tertuang dalam Pasal 14 ayat (1) huruf a PP PSTE, kemudian menjadi penting untuk digarisbawahi pada tahap ini. Idealnya, karena pemrosesan data pribadi untuk keperluan vaksinasi COVID-19 dilakukan berdasarkan pelaksanaan kewajiban hukum Pemerintah Indonesia, maka pihak yang berhak untuk mengumpulkan data pribadi penerima vaksinasi adalah Kementerian Kesehatan dan Kementerian Komunikasi dan Informatika, sebagaimana diatur dalam SKB yang telah diterbitkan. Dalam hal dilibatkannya pihak privat atau korporasi dalam proses pengumpulan data, perlu dipastikan bahwa data pribadi tidak diproses dan disimpan oleh pihak yang tidak memiliki kewenangan atau dasar hukum untuk melakukan pemrosesan data pribadi.

Hal lainnya yang juga krusial dalam program vaksinasi COVID-19 adalah kewajiban untuk Pemerintah memastikan keamanan data pribadi dalam Sistem Informasi Satu Data Vaksinasi COVID-19. Pasal 14 ayat (1) huruf e PP PSTE telah secara tegas mengatur bahwa pemrosesan data pribadi harus dilakukan dengan “melindungi keamanan Data Pribadi dari kehilangan, penyalahgunaan, Akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan Data Pribadi.” Keamanan data pribadi ini khususnya penting untuk dipastikan dalam hal terjadinya data sharing di antara para pihak yang terlibat. Kebocoran data pemilih KPU yang terjadi beberapa waktu lalu menunjukkan bahwa pembagian data yang dilakukan dengan membagikan dokumen secara manual dapat menimbulkan resiko kebocoran data pribadi yang tinggi.

Dari luputnya pengintegrasian prinsip pelindungan data pribadi dalam pengembangan Sistem Informasi Satu Data Vaksinasi COVID-19 ini, Koalisi Advokasi Pelindungan Data Pribadi menilai semakin pentingnya akselerasi pembahasan RUU Pelindungan Data Pribadi (RUU PDP). Sebelumnya, RUU PDP ditargetkan disahkan pada akhir 2020, namun pada akhirnya prosesnya harus diperpanjang hingga 2021, mengingat ketidakefektifan proses pembahasan selama pandemi COVID-19. Tidak adanya UU PDP yang komprehensif hari ini, telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi, terutama terkait dengan kejelasan kewajiban pengendali dan pemroses data, hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data.

Oleh karena itu, dalam pelaksanaan Sistem Informasi Satu Data Vaksinasi COVID-19, Koalisi Advokasi Pelindungan Data Pribadi menekankan bahwa penting bagi Pemerintah Indonesia, khususnya Kementerian Kesehatan dan Kementerian Komunikasi dan Informatika, untuk mengintegrasikan prinsip-prinsip pelindungan data pribadi yang dapat dicapai dengan beberapa hal berikut ini:

  1. Memastikan bahwa pemberian hak akses data yang diberikan kepada para pihak yang terlibat terhadap Sistem Informasi Satu Data COVID-19 dilakukan secara terbatas dengan menjamin keamanan data, serta memperhatikan tujuan pemrosesan dan jumlah data minimal yang dapat mencapai tujuan pemrosesan tersebut;
  2. Memastikan bahwa pembagian data (data sharing) dilakukan dengan menjamin keamanan data pribadi, hal ini dapat dicapai dengan mengimplementasikan, sebagai contoh, enkripsi, pseudonimitas, manajemen hak akses berdasar otoritas dan lain-lain;
  3. Memastikan terpenuhinya hak-hak masyarakat sebagai subjek data, khususnya hak atas akses dan hak untuk memperbaiki data yang tidak akurat dalam program vaksinasi COVID-19; dan
  4. Menjelang pembukaan masa persidangan DPR pada 8 Maret 2021 mendatang, DPR dan Pemerintah perlu menyiapkan strategi untuk mengakselerasi proses pembahasan RUU Pelindungan Data Pribadi.

 

Jakarta, 24 Februari 2021

 

Koalisi Advokasi Pelindungan Data Pribadi

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telp: 081382083993, Alia Yofira (Peneliti ELSAM), telp: 081217015759, Shita Laksmi (Direktur Eksekutif Yayasan TIFA), telp: 08121000842, Bayu Wardhana (AJI Indonesia), 0817128615.