Bisnis.com, JAKARTA - Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai aplikasi PeduliLindungi telah gagal dalam menerapkan prinsip-prinsip pelindungan data pribadi.
Dalam rilis yang diterima Bisnis, ELSAM menilai aplikasi ini telah bertransformasi menjadi platform sapu jagad (one for all) yang melayai mulai dari pendaftaran vaksinasi, penerbitan sertifikat vaksin, eHAC untuk syarat perjalanan, integrasi dengan bukti tes Covid-19, serta barcode scan untuk mendeteksi lokasi, dan prasyarat memasuki area publik.
“Bahkan, belakangan pemerintah melontarkan wacana untuk menjadikan aplikasi ini sebagai sistem pembayaran (payment system). Pengembangan tersebut telah memunculkan beragam pertanyaan terkait dengan kepatuhan aplikasi ini terhadap prinsip-prinsip pelindungan data pribadi,” tulis keterangan tersebut, Selasa (28/9/2021).
ELSAM menyebutkan, PeduliLindungi telah gagal dalam memenuhi sejumlah prinsip, yaitu keabsahan dan transparansi; prinsip keterbatasan tujuan; prinsip minimalisasi data; prinsip akurasi; prinsip batasan penyimpanan; prinsip integritas dan kerahasiaan; serta prinsip akuntabilitas.
Pertama, penerapan prinsip keabsahan dan transparansi terkait erat dengan dasar hukum dalam pemrosesan data pribadi. Pemrosesan data aplikasi PeduliLindungi mendasarkan pada dasar hukum kepentingan publik, untuk penanganan pandemi. Namun, penggunaan dasar hukum ini tidak mencakup pengungkapan data kepada pengendali lain di sektor publik.
Kedua, prinsip keterbatasan tujuan, perubahan tujuan penggunaan aplikasi ini dari yang semula untuk contact tracing dan tracking dandikembangkan menjadi aplikasi multifungsi telah memunculkan permasalahan serius. Apalagi ketika pengembangan fungsi aplikasi ini melibatkan pihak ketiga, baik pemerintah atau swasta, yang juga berarti memberikan akses data kepada mereka.
Baca Juga
Ketiga, problem lainnya adalah terkait penerapan prinsip minimalisasi data. Perubahan tujuan awal penggunaan aplikasi dari semula pelacakan lokasi, menjadi banyak fungsi, telah berdampak pada data yang dikumpulkan.
ELSAM menilai jika tujuan semata-mata untuk pelacakan lokasi, selain data untuk kebutuhan identifikasi, mestinya cukup meminta akses lokasi untuk diproses, pun semestinya ketika aplikasi itu digunakan, bukan sepanjang waktu.
“Tidak perlu kemudian mengakses data lain seperti media atau akses penyimpanan (storage). Risiko penyalahgunaan data pribadi akan makin besar dengan banyaknya metadata yang ikut terekam dari pengaksesan sejumlah data,” tulisnya.
Keempat, terkait prinsip akurasi, tantangan terbesarnya adalah proses otentikasi pengguna, untuk memastikan keotentikan, bahwa betul pengguna yang masuk (log in) berdasarkan identitas tertentu, adalah pemilik identitas tersebut.
Kelima, PeduliLindungi juga tidak memberikan informasi mengenai berapa lama data pribadi pengguna disimpan yang merupakan implementasi dari prinsip keterbatasan penyimpanan dan terkait dengan masa retensi data.
Keenam, besar dan luasnya data, termasuk data real time (lokasi) yang diproses oleh aplikasi PeduliLindungi mengharuskan pengendali data untuk menerapkan prinsip integritas dan kerahasiaan secara ketat.
ELSAM melanjutkan, dengan sejumlah catatan permasalahan tersebut di atas, menjadi sulit untuk menarik kesimpulan bahwa penggunaan aplikasi PeduliLindungi telah dilakukan secara akuntabel, yang menghendaki bahwa seluruh prinsip perlindungan data pribadi dipatuhi.
Oleh sebab itu, mereka melanjutkan penting bagi pemerintah dalam hal ini, Kementerian Komunikasi dan Informatika (Kemkominfo) untuk memastikan sejumlah langkah, seperti adanya audit menyeluruh terhadap aplikasi PeduliLindungi untuk menjamin kepatuhannya pada prinsip-prinsip pelindungan data pribadi.
Pemerintah dinilai juga perlu mengevaluasi kebijakan privasi serta syarat dan ketentuan layanan aplikasi PeduliLindungi, untuk memastikan kesesuaiannya dengan prinsip-prinsip pelindungan data pribadi.
Selain itu, DPR diharapkan dapat mengoptimalkan fungsi pengawasannya, terutama pada penggunaan aplikasi PeduliLindungi, dengan pemerintah sebagai pengendali datanya, untuk menjamin perlindungan hak konstitusional atas privasi warga negara.
Tidak hanya itu, DPR dan Pemerintah juga perlu mengakselerasi proses pembahasan RUU Pelindungan Data Pribadi, dengan menghandirkan otoritas pengawas yang independen, guna menghindari risiko overlapping dalam perlindungan data pribadi.