ELSAM ingatkan bahaya kebocoran data pribadi dari kerjasama Dukcapil-VeriJelas

ilustrasi

JAKARTA (IndoTelko) - Lembaga Studi dan Advokasi Masyarakat (ELSAM) mengingatkan adanya potensi eksploitasi Data Pribadi terhadap Data Kependudukan Warga Negara seiring dengan kerjasama antara Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil) Kemendagri, dengan PT Jelas Karya Wasantara (VeriJelas).

"ELSAM menilai kerja sama tersebut telah menyalahi prinsip-prinsip perlindungan data pribadi, khususnya pada pengaksesan data biometrik, sebagai bagian dari data sensitif yang harus dilindungi secara ketat," kata Direktur Riset ELSAM Wahyudi Djafar dalam keterangan kemarin.

Diungkapkannya, dalam EU General Data Protection Regulation (EU GDPR), secara jelas telah menekankan bahwa data rekam foto wajah merupakan data biometrik yang harus dilindungi.  

Data Biometrik merupakan data pribadi yang tergolong sensitif, sehingga menuntut pemrosesan data pribadi spesifik yang memiliki mekanisme khusus dengan tingkat kehati-hatian yang lebih tinggi. Hal ini sebab ruang lingkup data sensitif sangat dekat dan erat kaitanya dengan keselamatan individu data subjek.

Data biometrik sendiri merupakan data unik, yang dihasilkan dari karakteristik manusia, dan dapat digunakan untuk melacak dan membuat profil sesorang di seluruh kehidupan mereka. Biometrik menggambarkan karakteristik fisiologis dan perilaku individu, bisa berupa sidik jari, suara, wajah, retina dan pola iris, geometri tangan, gaya berjalan, atau profil DNA.

Data biometrik dapat mengidentifikasi seseorang untuk seumur hidup mereka, sehingga pembuatan database biometrik seringkali menjadi masalah, karena pengelola harus mengantisipasi risiko hingga jauh di masa depan.

Ketika diadopsi dan dimanfaatkan dengan tidak adanya kerangka hukum yang kuat dan pengamanan yang ketat, teknologi biometrik akan menimbulkan ancaman besar terhadap privasi dan keamanan pribadi, karena kesalahan dalam penggunaannya, akan dapat berdampak pada terjadinya diskriminasi, kesalahan identifikasi, penipuan, pengecualian atau ekslusivisme terhadap kelompok rentan, hingga tindakan surveillance massal.

Sementara di Indonesia ada ketidakselarasan definisi data pribadi dalam UU Adminduk, dengan konsep dan ruang lingkup data pribadi.

Selain itu, pembagian jenis data pribadi yang bersifat umum dan data pribadi yang spesifik dalam UU Adminduk, juga belum sejalan dengan prinsip-prinsip perlindungan data pribadi. Dalam UU Adminduk, data pribadi yang bersifat umum disebut sebagai data perseorangan, terdiri dari 31 item data (Pasal 58 ayat (2)), sedangkan data pribadi yang spesifik terdiri dari: keterangan tentang cacat fisik dan mental, sidik jari, iris mata, tanda tangan, dan catatan tentang aib seseorang (Pasal 84 ayat (1)). Padahal, secara konsep, data biometrik sebagai data sensitif yang memiliki kekhususan dalam perlindungannya, tidaklah semata-mata terdiri dari sidik jari dan iris mata, tetapi juga tanda-tanda yang dapat mengenali secara fisik—biometrik lainnya.

Elsam meminta Kementerian Dalam Negeri untuk mengkaji kembali perjanjian kerja sama terkait pemberian akses database kependudukan terutama akses foto wajah dan data biometrik lainnya, yang merupakan bagian dari data pribadi spesifik. Kegagalan dalam pengelolaan data biometrik akan memiliki ancaman bahaya yang luar biasa bagi data subjek. Oleh karenanya, secara prinsip diperlukan mekanisme yang lebih ketat dalam pemrosesannya.

Elsam juga menyarankan Kemendagri perlu mempersiapkan ekosistem yang lebih mengedepankan prinsip perlindungan data pribadi, dengan menyiapkan berbagai kebijakan yang mengatur secara detail kewajiban pihak yang melakukan kerjasama, dalam kapasitasnya sebagai prosesor data.

Sebelumnya, Dukcapil melakukan penandatanganan perjanjian kerja sama dengan PT Jelas Karya Wasantara (VeriJelas) untuk pemanfaatan data kependudukan dalam dunia perbankan

Dirjen Dukcapil Zudan Arif Fakrulloh menjelaskan VeriJelas dapat bertindak sebagai penyelenggara platform bersama untuk proses verifikasi e-KYC (Electronic Know Your Customer), termasuk di dalamnya verifikasi data NIK, KTP elektronik, dan foto wajah.

Latar belakang kerja sama ini adalah kondisi era digital yang serba cepat sehingga menuntut industri perbankan untuk menyediakan layanan berbasis teknologi digital. Layanan digital akan memudahkan nasabah untuk terhubung langsung dengan bank dalam proses transaksi, baik finansial maupun non-finansial.

Lewat kerja sama kedua pihak, nantinya akan ada platform bersama untuk pemanfaatan verifikasi dengan data kependudukan. Platform bersama ini bisa mewadahi bank, koperasi, hingga rumah sakit untuk memverifikasi data nasabah dengan menggunakan data Dukcapil.

Platform bersama ini dapat dimanfaatkan berbagai pelaku usaha dan pengguna industri digital di berbagai sektor untuk melakukan proses e-KYC. Hak akses NIK dan foto wajah dari Dukcapil tersebut akan mempermudah dan mempercepat proses e-KYC, validasi dan verifikasi biometrik secara digital dalam waktu kurang dari satu menit.

Kerjasama yang dilakukan Dukcapil dan VeriJelas dimungkinkan, tetapi prosesnya harus dilakukan secara ketat dan terbatas, sebagaimana diatur Pasal 10 PP No. 40/2019 tentang Pelaksanaan UU Adminduk, maupun PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).

Selain itu harus pula ditegaskan, kendati dilakukan atas nama pelayanan publik, sebagai mandat UU Adminduk, Kemendagri tetap terkena kewajiban sebagai pengendali data pribadi. Sementara pihak yang melakukan kerjasama, meski hanya melakukan tindakan pengaksesan, dia tetap dikenakan serangkaian kewajiban sebagai prosesor data.(id)