Bersamaan dengan penerapan kembali Pembatasan Sosial Berskala Besar (PSBB) transisi, pada 12 Oktober 2020, Gubernur DKI Jakarta mengeluarkan kebijakan perekaman data pribadi pengunjung pusat perbelanjaan. Pendataan ini dimaksudkan untuk memudahkan penelusuran penelusuran kontak suspek pasien COVID-19 jika terjadi transmisi. Kendati dilakukan dengan alasan kesehatan publik, kebijakan ini akan menambah daftar panjang potensi dan risiko penyalahgunaan data pribadi. Situasi itu menjadi makin rentan dengan belum adanya hukum pelindungan data pribadi yang mampu menjamin transparansi dan akuntabilitas atas setiap pemrosesan data pribadi.
Teknologi memang menjadi salah satu tumpuan utama dalam penanganan COVID-19, mulai dari pembuatan aplikasi penelusuran, aplikasi karantina rumah yang memantau pergerakan suspek atau pasien positif COVID-19, hingga penerapan kategorisasi berdasarkan warna untuk menentukan apakah seseorang harus melakukan karantina atau tidak. Hal serupa juga dikembangkan pemerintah Indonesia, dengan penggunaan aplikasi PeduliLindungi, juga pembatasan pengunjung melalui pendaftaran dan perekaman data pribadi dengan sistem QR code scanning di berbagai gedung dan pusat perbelanjaan. Bahkan sejumlah pemerintah juga mengembangkan aplikasi serupa dengan PeduliLindungi.
Problemnya, kebijakan yang baru dirilis oleh Pemerintah DKI, mengharuskan perekaman enam digit Nomor Induk Kependudukan (NIK) dan nomor telepon seluler pengunjung sarana dan prasarana publik. Kebijakan ini juga mencatat waktu kedatangan dan kepulangan pengunjung, dengan tujuan untuk mempermudah penelusuran kontak suspek COVID-19 terhadap pasien yang telah dinyatakan positif. Sementara NIK adalah elemen data pribadi yang saat ini menjadi instrumen utama untuk mengidentifikasi seseorang. Ketika seseorang ingin mendapatkan akses layanan publik, NIK menjadi persyaratan utama untuk memperoleh layanan itu. Belum lagi kombinasi NIK dan nomor telepon seluler, yang serupa dengan proses registrasi SIM Card, akan kian memudahkan dalam identifikasi seseorang.
Selain itu tidak adanya rujukan hukum perlindungan data pribadi yang memadai, juga menjadikan ketidakjelasan kewajiban dari penyedia sarana dan prasarana publik, dalam pemrosesan data pribadi. Mereka dalam kapasitas sebagai pengendali atau prosesor data? Bagaimana mereka dalam melakukan pemrosesan data pribadi? Data-data pribadi tersebut disimpan di mana, apakah server pemerintah atau server penyedia layanan? Berapa lama mereka boleh menyimpan data-data pribadi pengunjung? Apakah mereka boleh melakukan pemrosesan data pribadi lanjutan? Lalu siapa yang boleh mengakses data-data pribadi tersebut, apakah instansi pemerintah atau mereka–penyedia layanan juga? Ketidakjelasan dalam perlindungan tersebut berdampak pada kian rentannya hak atas privasi warga.
Lebih jauh, pemrosesan data pribadi harus dilakukan dengan memenuhi prinsip-prinsip perlindungan data pribadi, seperti prinsip tujuan yang spesifik (purposive limitation), artinya semata-mata tujuannya untuk contact tracing. Kemudian prinsip minimisasi data (data minimization), idealnya ketika tujuannya hanya untuk contact tracing, pengumpulan nomor telepon saja sudah cukup, sehingga pengumpulan NIK seharusnya tidak diperlukan. Berikutnya adalah prinsip batasan penyimpanan (storage limitation), ini terkait erat dengan pembatasan masa retensi data dan memastikan ketika data pribadi yang dikumpulkan tidak lagi dibutuhkan, data pribadi tersebut harus segera dimusnahkan. Selain itu, belajar dari penggunaan aplikasi PeduliLindungi dan kebijakan Scan Barcode di pusat perbelanjaan, juga belum pernah ada hasil evaluasi dan laporan transparansi efektivitasnya dalam pencegahan COVID-19, yang dapat diakses oleh publik. Tegasnya, jika kebijakan itu tetap dipaksakan penerapannya, justru berpotensi akan melanggar hak asasi manusia, khususnya hak atas privasi.
Merespon hal itu, Lembaga Studi dan Advokasi Masyarakat (ELSAM) memandang pentingnya menempatkan hak asasi manusia sebagai koridor pengambilan kebijakan dalam penanggulangan pandemi COVID-19 guna meminimalisir potensi pelanggaran. Kerangka tersebut harus diformulasikan dalam bentuk instrumen hukum sebagai jaminan perlindungan termasuk implementasi di tingkat teknis dalam tata kelola data pribadi. Berangkat dari permasalahan dan beberapa pertimbangan di atas, ELSAM merekomendasikan:
- Perlu meninjau ulang kebijakan perekaman data pengunjung sarana dan prasarana publik, untuk disesuaikan dengan prinsip dan instrumen hukum pelindungan data pribadi. Contact tracing memang diperlukan dalam upaya mencegah penyebaran COVID-19, tetapi mekanisme tidak boleh berseberangan dengan prinsip-prinsip perlindungan hak atas privasi.
- Jika perekaman data pengunjung tetap dilakukan, maka pemerintah harus segera melengkapinya dengan instrumen hukum untuk melindungi data-data pribadi yang diproses, guna memastikan nihilnya penyalahgunaan data-data pribadi tersebut.
- Instrumen perlindungan tersebut harus memastikan terimplementasinya prinsip transparansi, keterbatasan tujuan, minimisasi data, batasan penyimpanan, akuntabel, dan sistem keamanan yang kuat, dalam pemrosesan data pribadi
- Selain itu pemerintah juga perlu memastikan tersedianya infrastruktur kesehatan penunjang, seperti tes PCR atau Swab yang aksesibel. Hal ini penting untuk memastikan efektivitas dari contact tracing yang dilakukan sebelumnya.
- Perlunya memastikan hadirnya UU Pelindungan Data Pribadi yang saat ini tengah dibahas di DPR, agar Indonesia segera memiliki jaminan pelindungan data pribadi yang komprehensif.