Duh, Katanya Peduli Lindungi Gagal Terapkan Prinsip-prinsip Pelindungan Data Pribadi

koran-jakarta.com | Nasional | Published at Minggu, 10 Oktober 2021 - 17:40
Duh, Katanya Peduli Lindungi Gagal Terapkan Prinsip-prinsip Pelindungan Data Pribadi

JAKARTA - Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM),Wahyudi Djafar menilai Peduli Lindungi gagal menerapkan prinsip-prinsip perlindungan data pribadi. Karena itu perlu adanya audit menyeluruh terhadap aplikasi Peduli Lindungi untuk menjamin kepatuhannya pada prinsip-prinsip pelindungan data pribadi. Sekaligus penerapan kewajiban pengendali data, seperti kewajiban penerapan privacy by design,privacy by default .

"Seperti diketahui mendasarkan pada alasan kepentingan publik, untuk penanganan pandemi Covid-19, pemerintah telah mengembangkan aplikasi Peduli Lindungi, yang semula ditujukan sebagai instrumen tracing dan tracking ," kata Wahyudi dalam keterangannya seperti yang diterima Koran Jakarta , Minggu (10/10).

Namun, lanjut Wahyudi, dalam perkembangannya, aplikasi ini telah bertransformasi menjadi platform sapu jagad. Mulai dari pendaftaran vaksinasi, penerbitan sertifikat vaksin, e-HAC untuk syarat perjalanan, integrasi dengan bukti tes Covid-19, serta barcode scan untuk mendeteksi lokasi, sebagai prasyarat memasuki area publik. Bahkan belakangan pemerintah melontarkan wacana untuk menjadikan aplikasi ini sebagai sistem pembayaran.

"Pengembangan tersebut telah memunculkan beragam pertanyaan terkait dengan kepatuhan aplikasi ini terhadap prinsip-prinsip pelindungan data pribadi. Baik prinsip keabsahan dan transparansi, prinsip keterbatasan tujuan, prinsip minimalisasi data, prinsip akurasi, prinsip batasan penyimpanan, prinsip integritas dan kerahasiaan serta prinsip akuntabilitas," tuturnya.

Terkait penerapanprinsip-prinsip tersebut, ELSAM, kata Wahyudi mencatat sejumlah permasalahan. Pertama, penerapan prinsip keabsahan dan transparansi terkait erat dengan dasar hukum dalam pemrosesan data pribadi. Pemrosesan data aplikasi Peduli Lindungi mendasarkan pada dasar hukum kepentingan publik, untuk penanganan pandemi.

"Akan tetapi yang harus diingat, penggunaan dasar hukum initidak mencakup pengungkapan atau transfer data kepada pengendali lain di sektor publik. Selain itu, pengendali data jugaharus secara jelas menginformasikan pemrosesan datanya, mulai dari pemrosesnya, tujuan pemrosesan, data yang dikumpulkan, jangka waktu penyimpanan data, termasuk akses pihak ketiga terhadap data tersebut," ujarnya.

Kedua, kata dia, kaitannya dengan prinsip keterbatasan tujuan, perubahan tujuan penggunaan aplikasi ini dari yang semula untuk contact tracing dan tracking , lalu kemudian dikembangkan menjadi aplikasi multi-fungsi, juga telah memunculkan permasalahan serius. Apalagi ketika pengembangan fungsi aplikasi ini melibatkan pihak ketiga, baik pemerintah atau swasta, yang juga berarti memberikan akses data kepada mereka. Praktik ini juga inkonsistensi dengan kebijakan privasi Peduli Lindungi sendiri, yang menyatakan bahwa aplikasi tidak akan membagikan data ke pihak ketiga tanpa terlebih dahulu memperoleh persetujuan pengguna.

"KoneksiApplication Programming Interface(API), antara PeduliLindungi dengan berbagai platform lainnya, juga melahirkan tanda tanya perihal implementasi prinsip keterbatasan tujuan," katanya.

Ketiga, kata dia,problem lainnya adalah terkait penerapan prinsip minimalisasi data. Yang jadi pertanyaan sekarang, data apa saja yang perlu dikumpulkan untuk mencapai tujuan pemrosesan. Perubahan tujuan awal penggunaan aplikasi dari semula pelacakan lokasi, menjadi banyak fungsi, telah berdampak pada data yang dikumpulkan. Jika tujuan semata-mata untuk pelacakan lokasi, selain data untuk kebutuhan identifikasi seperti nama, NIK, nomor telepon atau alamat email, mestinya cukup meminta akses lokasi untuk diproses. Pun semestinya ketika aplikasi itu digunakan, bukan sepanjang waktu.

"Tidak perlu kemudian mengakses data lain seperti media atau akses penyimpanan. Risiko penyalahgunaan data pribadi akan semakin besar dengan banyaknya metadata yang ikut terekam dari pengaksesan sejumlah data di atas," kata dia.

Keempat,ujarnya, terkait prinsip akurasi. Tantangan terbesarnya adalah prosesotentikasipengguna. Untuk memastikan keotentikan, bahwa betul pengguna yang masuk berdasarkan identitas tertentu, adalah pemilik identitas tersebut. Kasus pengaksesan secara ilegal akun Peduli Lindungi Presiden Joko Widodo, yang berhasil mendapatkansalinansertifikat vaksin presiden, menunjukkan kerentanan pada sisi ini. Belum lagi problem ketidakakuratan data seperti kesalahan nama, tanggal lahir, NIK, informasi vaksin, dan sebagainya.

"Sementara pengguna tidak memiliki akses untuk memperbaiki data-data tersebut, sebagai implementasi dari hak untuk memperbaiki dari subjek data," katanya.

Kelima,kata Wahyudi, Peduli Lindungi juga tidak memberikan informasi mengenai berapa lama data pribadi pengguna disimpan. Sebagai implementasi dari prinsip keterbatasan penyimpanan, yang terkait dengan masa retensi data.

"Apakah ketika pengguna menghapus aplikasi, secara otomatis juga data-data pribadinya akan dihapus secara permanen? Pertanyaan lebih kompleks muncul ketika temuan terbaru mengungkapkan bahwa Peduli Lindungi mengirimkan data pengguna ke server dengan domain http://analytic.rocks, yang dimiliki oleh PT Telekomunikasi Indonesia, Tbk. (Telkom). Apakah pengiriman data tersebut, termasuk juga koneksi API lintas platform memungkinkan pihak ketiga untuk menyimpan data-data Peduli Lindungi? Berapa lama akan disimpan, untuk tujuan, serta dasar hukum apa yang digunakan untuk memproses? Itu pertanyaannya," urai Wahyudi.

Permasalahan yang keenam,besar dan luasnya data, termasuk data real time (lokasi) yang diproses oleh aplikasi Peduli Lindungi mengharuskan pengendali data untuk menerapkan prinsip integritas dan kerahasiaan secara ketat. Prinsip ini menghendaki penerapan sistem keamanan yang kuat dalam pemrosesan data pribadi, untuk memastikan kerahasiaan, integritas dan ketersediaan data yang diproses. Selain pemrosesannya harus dilakukan secara pseudonimitas, juga mesti dipastikan penerapan standar keamanan yang kuat.

"Pertanyaannya, apakah semua standar yang diatur dalam Perpres Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik, dan Peraturan BSSN Nomor 4 Tahun 2021 yang menjadi rujukan teknis Perpres tersebut, sudah diterapkan?" kata Wahyudi.

Artikel Asli