
FIFGROUP melakukan penandatanganan kerja sama tentang pemanfaatan nomor induk kependudukan dengan Dukcapil pada Oktober 2019. (Dok. FIFGROUP)
FIFGROUP melakukan penandatanganan kerja sama tentang pemanfaatan nomor induk kependudukan dengan Dukcapil pada Oktober 2019. (Dok. FIFGROUP)
Cyberthreat.id - Pemerintah, dalam hal ini Kementerian Dalam Negeri, telah membagikan akses data kependudukan kepada 1.227 lembaga, baik kepada sesama lembaga pemerintahan maupun perusahaan swasta tanpa persetujuan pemilik data.
Pada Juli 2019, misalnya, Astra Multi Finance (AMF) dan Federal Internasional Finance (FIF) dari Grup Astra menjalin kerjasama dengan Direktur Jenderal Kependudukan dan Catatan Sipil (Dukcapil) Kementerian Dalam Negeri.
Sebulan kemudian, pada 20 Oktober 2019, seperti dilaporkan CNN Indonesia, giliran 11 perusahaan lain melakukan kerjasama serupa. Mereka adalah FIFGROUP, PT MNC Finance, PT Olympindo Multi Finance, PT Central Santosa Finance, PT Bank Maspion Indonesia, Tbk., PT Bank Ganesha Tbk., PT Sahabat Finansial Keluarga, PT Koperasi Simpan Pinjam Sahabat Mitra Sejati, PT Bahana TCW Investment Management, PT Toyota Astra Financial Services, dan PT Asuransi Jasa Indonesia (Persero).
Pihak swasta mengatakan akses data itu diperlukan untuk memiminimalisir kecurangan dan penipuan. Namun, bagi pemerhati perlindungan data pribadi, tindakan pemerintah itu tidak menghormati privasi dan dilakukan tanpa persetujuan pemilik data, sesuatu yang menjadi inti dari perlindungan data pribadi.
Ketika menandatangani perpanjangan kerjasama dengan Grup Astra pada Juli 2019 lalu, Dirjen Dukcapil Zudan Arif Fakhrullah mengatakan, kerjasama itu sudah sesuai dengan Undang-Undang No. 24/2013 tentang Administrasi Kependudukan.
Namun, pada 2016, Menteri Komunikasi dan Informatika mengeluarkan Peraturan Menteri Menteri Nomor 20/2016 tentang Perlindungan Data Pribadi dalam Sistemm Elektronik. Peraturan ini memberi penekanan bahwa data pribadi bersifat privasi dan jika hendak dibagikan ke pihak lain, harus atas persetujuan si pemilik data.
Menurut Zudan, tak ada masalah dengan itu. Sebab, kerjasama dengan pihak swasta dilakukan dengan pengawasan ketat seperti menjamin kerahasiaan, keutuhan data, serta tidak boleh menyimpan data kependudukan yang diakses. Hal lain, pihak ketiga yang mendapat akses juga harus memakai jaringan VPN (Virtual Private Network) agar tidak diretas hacker.
Menurutnya, data yang bisa diakses pihak ketiga yang menjalin kerjasama seperti KTP elektronik, Nomor Induk Kependudukan (NIK) dan Nomor Kartu Keluarga.
Data Dukcapil juga dipakai oleh penegak hukum seperrti TNI/Polri, termasuk Densus dan Badan Nasional Penanggulangan Terorisme (BNPT).
Akses data bagi kepentingan penegakan hukum tentu sah-sah saja. Namun, bagaimana jika data itu digunakan pihak swasta?
Bagi pihak swasta seperti Astra Multi Finance --yang kerap mengirim debt collector ketika Anda terlambar membayar tagihan kredit -- akses data Anda, katanya, dibutuhkan untuk mengonfirmasi kebenaran data. Misalnya, saat seseorang mengajukan permohonan kredit, maka perusahaan akan melakukan pencocokan data.
Dalam sebuah pernyataan kepada BBC Indonesia pada Juli 2019 lalu, Koordinator Komunikasi Astra Financial, Yulian Warman mengatakan pihaknya tidak mendapat akses ke nomor telepon si pemilik data.
"Nomor handphone itu tidak pernah dikasih, dan gak boleh diakses, cuma e-KTP saja," katanya.
Namun, bagi peneliti Elsam, Lintang Setianti, tidakan pemerintah itu belum memenuhi prinsip persetujuan dari pemilik data. Seharusnya, kata Lintang, data itu digunakan untuk mengakses layanan publik seperti kesehatan, pendidikan, dan lainnya.
Jika pun swasta hendak mengaksesnya untuk urusan verifikasi, kata Lintang, seharusnya data yang dimunculkan dibatasi. Misalnya, ketika suatu perusahaan hendak mengecek keabsahan data seseorang, alih-alih membiarkan perusahaan mendapat akses ke seluruh data seseorang, sisten Dukcapil cukup menampilkan kesimpulan saja: sesuai atau tidak.
Dengan begitu, potensi penyalahgunaan data untuk kepentingan lain bisa diminimalisir.
Lintang berharap hal itu bisa diatur dalam UU Perlindungan Data Pribadi yang telah diserahkan oleh Pemerintah kepada DPR RI sejak 24 Januari lalu.
Sayangnya, dalam draft terbaru yang sedang digodok pemerintah, tak ada satu pun aturan yang mengatur, alih-alih melarang pemerintah berbagi data dengan pihak swasta.
Dosa Besar
Hal inilah yang disorot oleh Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran Dr. Sinta Dewi.
Kepada Cyberthreat.id, Shinta mengatakan dosa besar jika pemerintah berbagi data dengan swasta, terutama jika digunakan untuk tujuan pemasaran atau marketing produk tertentu.
"Dalam perspektif akademisi pentransferan data antara pemerintah dengan swasta untuk kepentingan marketing itu istilahnya dosa besar," kata Sinta Jumat (20 Februari 2020).
Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran Dr. Sinta Dewi.
Ia mencontohkan, misalnya seseorang menyimpan data di pemerintah untuk kepentingan pajak. Tetapi, tiba-tiba data kita dikirim ke suatu bank untuk keperluan marketing, seperti asuransi. Hal itu, dilihat dari segi akedimisi merupakan hal yang tidak boleh terjadi.
Perihal transfer data pribadi itu diatur dalam Pasal 47 draft RUU PDP yang berbunyi, "Pengendali Data Pribadi dapat mentransfer Data Pribadi kepada Pengendali Data Pribadi lainnya dalam wilayah hukum Negara Kesatuan Republik Indonesia."
Yang dimaksud pengendali data pribadi adalah pihak yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. Salah satu lembaga pemerintah yang menjadi pengendali data pribadi adalah Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil).
Menurut Shinta, tidak adanya aturan yang melarang transfer data dari pemerintah ke swasta untuk kepentingan marketing rentan disalahgunakan. Sebab, data yang dibagikan haruslah atas persetujuan si pemilik data.
"Meskipun belum dapat dibuktikan, kemungkinan transfer data pemerintah dengan swasta untuk keperluan marketing bisa saja terjadi. Itu yang menjadi permasalahannya. Sebab itu, dengan kebijakan satu data ini, harus ada harmonisasi regulasinya selagi masih dalam proses pennyusunan," kata Shinta.
Sinta juga menekankan harus ada peraturan yang secara tegas mengatur persoalan tersebut untuk mengikat pemerintah dan swasta. Karena, lanjut Sinta, dirinya belum melihal hal itu diatur dalam draft RUU PDP terbaru.
"Tidak ada dalam RUU PDP, padahal itu dilarang. Sebab itu, harus diatur secara tegas dalam prinsip-prinsipnya guna mengikat pemerintah dan swasta," ujarnya.
Pasal 16 RUU PDP mengatur hak-hak pemilik data pribadi tidak berlaku untuk:
Menurut Shinta, akses data Disdukcapil untuk kepentingan verifikasi juga harusnya dibuat lebih ketat. Shinta sepakat dengan Lintang: verifikasi cukup menampilkan kesimpulan akhir. Misalnya, pihak swasta bisa memasukkan nomor NIK ke sistem Dukcapil, lalu sistem menampilkan hasil akhir: cocok atau tidak. Dengan begitu, data Dukcapil tidak bisa disimpan atau disalin secara utuh.
Jika data itu dibuka semua, Shinta khawatir perusahaan yang beranak pinak --Astra misalnya punya perusahaan lain bidang perbankan, asuransi, multifinance, onderdil mobil -- rentan dimanfaatkan untuk aktivitas pemasaran.
Shinta mengatakan, kemungkinan penyalahgunaan itu harus diantisipasi dengan larangan yang diatur secara eksplisit dalam RUU PDP.
Ia mencontohkan, bisa saja sebuah perusahaan swasta meminta data penduduk Cimahi, misalnya, lalu bermodal data itu pihak swasta menelepon orang untuk menawarkan iklan dan aktivitas marketing lainnya. Dengan begitu, perusahaan bisa menghemat biaya iklan lantaran telah melakukan profiling iklan tertarget.
"Itu tidak boleh. Selama ini Dukcapil memang mengatakan tidak ada kerjasama begitu. Tapi itu harus dibuktikan. Intinya, prinsip transfer data itu harus ada concern atau persetujuan dari si pemilik data," kata Shinta.
Menurut Shinta, selama ini masyarakat tidak tahu perusahaan mana saja yang mendapat akses ke data pribadi mereka di Dukcapil.
"Nah, Dukcapil harus memberikan laporan ke masyarakat, karena bagaimana kita bisa tahu bahwa data kita hanya digunakan untuk verifikasi saja, bisa jadi digunakan untuk keperluan lainnya, dan kita berhak menanyakan kepada Dukcapil, data kita itu kemana saja (hak akses), dia harus memberikan suatu informasi dan keterangan yang betul kalau enggak dia yang kena, jadi memang masih banyak yang harus ditambah gitu," ujarnya.
Respon Dukcapil
Lantas, apa tanggapan Dirjen Dukcapil? Dihubungi cyberthreat.id pada Jumat malam (21 Februari 2020), Dirjen Dukcapil Zudan Arif Fakhrullah mengatakan yang diberikan ke pihak swasta "hanya hasil akhirnya yaitu cocok atau tidak, sama atau tidak, dan seterusnya. Jadi tidak ada data yang dibagikan."
Share: