Kewajiban Mutlak Pemerintah terhadap Peduli Lindungi

Selang beberapa waktu kemudian, terjadi kebocoran data pada aplikasi eHAC. Aplikasi ini wajib digunakan untuk administrasi digital pelaku perjalanan dari luar negeri masuk ke Indonesia sebagai pemetaan Covid-19, dengan menyimpan status kesehatan terkini pengguna, informasi vital, detail kontak, dan hasil tes Covid-19.

Baca Juga: Sengkarut Data Pribadi

Data tersebut merupakan data pribadi yang penggunaan dan pengalihannya harus dengan sepengetahuan dan seizin pemilik data sehingga seharusnya dikelola dengan baik dan aman. Namun, perusahaan keamanan siber vpnMentor mendeteksi adanya dugaan kebocoran data sejak pertengahan Juli 2021, berupa ceceran catatan data digital eHAC.

Perusahaan ini lantas menghubungi Kemenkes pada 21 Juli 2021, tetapi tidak mendapat respons, dan berusaha memberi tahu Kemenkes lagi pada 26 Juli 2021, tetapi tidak juga mendapat respons. VpnMentor akhirnya menghubungi Badan Siber dan Sandi Negara pada 22 Agustus 2021 dan ditindaklanjuti pada 24 Agustus 2021.

Setelah terekspos media, Kemenkes melalui Kepala Pusat Data dan Informasi kemudian mengimbau masyarakat untuk menghapus aplikasi eHAC yang lama dan mengunduh aplikasi Peduli Lindungi. Selang beberapa waktu, eHAC pun di nonaktifkan sejak 24 Agustus 2021. Dengan demikian, kronologi ini memperlihatkan bahwa terdapat kelalaian dan sikap abai yang dilakukan oleh (instansi) pemerintah.

Pertanggungjawaban negara

Tidak beberapa lama, beredar informasi mengenai sertifikat vaksin Presiden di ranah digital. Pemerintah melalui Juru Bicara Vaksinasi Covid-19 Kemenkes kemudian mengimbau masyarakat untuk tetap menggunakan aplikasi Peduli Lindungi karena data pribadi seluruh warga Indonesia dijamin aman sesuai peraturan perundang-undangan yang berlaku. Selain itu, aplikasi Peduli Lindungi juga telah melewati proses IT security assessment oleh Badan Siber dan Sandi Negara (BSSN).

Walaupun demikian, terdapat kritik mengenai desain perlindungan privasi dalam aplikasi Peduli Lindungi, terkait kriteria privasi berdasarkan standar, desain, dan penilaian dampak perlindungan data. Aplikasi Peduli Lindungi perlu memperbaiki fitur pencarian sertifikat vaksin yang hanya membutuhkan nomor induk kependudukan (NIK) beserta nama lengkap saja, dengan setidaknya membatasi akses pencarian sertifikat vaksin, sehingga tidak sembarang pengguna dapat mengecek data pemilik NIK. Rangkaian peristiwa ini kemudian mendorong pemerintah dan DPR untuk membahas Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP).

Dengan adanya pembahasan RUU PDP, terdapat pertanyaan mengenai pertanggungjawaban negara terhadap penyalahgunaan data pribadi sebagai akibat dari kewajiban penggunaan aplikasi Peduli Lindungi. Kebijakan pemerintah untuk mewajibkan penggunaan aplikasi ini sebagai syarat akses untuk masuk ke tempat publik atau sarana lainnya bagaimana pun perlu diapresiasi sebagai instrumen pengelolaan pencegahan preventif terhadap penularan virus.

Baca Juga: Urgensi Otoritas Independen Perlindungan Data Pribadi

Aplikasi ini digunakan untuk menjawab kebutuhan 3T, yaitu pelacakan (tracking), penelusuran (tracing), dan pengujian (testing). Untuk menunjang tujuan tersebut, aplikasi ini bersifat memonitor secara real-time, dengan adanya time stamp dan lokasi pengguna yang presisi, dengan menggunakan kombinasi teknologi berupa Bluetooth, GPS, dan sinyal menara telekomunikasi terdekat.

Untunglah aplikasi ini tidak harus diaktifkan secara terus menerus, dan dapat dinon-aktifkan kecuali hendak dipergunakan. Sehingga, aspek yang perlu diperhatikan adalah perlindungan pada akses data, penyimpanan data, dan pengalihan data pribadi pengguna oleh negara sebagai pembuat kebijakan yang mewajibkan penggunaan aplikasi Peduli Lindungi.

Terlebih, terdapat rencana pengembangan Peduli Lindungi tidak hanya sebagai alat pembayaran digital melalui QRIS, tetapi juga terintegrasi dengan ekosistem ekonomi digital, seperti GoTo dan Traveloka. Dengan adanya pengembangan fungsi keuangan ini menghadirkan tingkat risiko yang semakin tinggi bagi pengguna terhadap kerugian yang muncul dari kebocoran data pribadi.

Pertanggungjawaban mutlak

Penerapan prinsip strict liability terhadap penyalahgunaan data pribadi sebagai akibat dari kewajiban penggunaan aplikasi PeduliLindungi menjadi relevan dalam konteks ini.

Strict liability merupakan konsep dari pertanggungjawaban mutlak (liability without fault), yaitu ketika pertanggungjawaban dikenakan terhadap suatu pelaku yang akibat dari tindakannya menyebabkan kerugian bagi orang lain, tanpa melihat ada atau tidaknya unsur kesengajaan. Konsep pertanggungjawaban ini pada mulanya digunakan untuk melindungi konsumen, yaitu pelaku usaha harus bertanggung jawab atas kerugian konsumen tanpa harus membuktikan ada tidaknya kesalahan pada dirinya.

Awal mula konsep ini dapat ditelusuri pada kasus Donoghue versus Stevenson (Paisley Snail case) pada 1932 di Inggris ketika ditemukan siput dalam botol minuman saat konsumen hendak mengonsumsi minuman tersebut. Putusan kasus ini meletakkan dasar hukum terhadap kelalaian (negligence) dengan menetapkan dasar prinsip umum tentang kehati-hatian (duty of care).

Penormaan dari prinsip ini di Indonesia dapat ditemukan dalam Pasal 88 UU Nomor 32 Tahun 2009 tentang Perlindungan dan Pengelolaan Lingkungan Hidup (UUPPLH). Dinyatakan bahwa setiap orang atau badan usaha yang menimbulkan ancaman serius terhadap lingkungan hidup bertanggung jawab mutlak atas kerugian yang terjadi tanpa perlu pembuktian unsur kesalahan.

Strict liability dapat diberlakukan terhadap kebijakan pemerintah yang mewajibkan warga negara (untuk melakukan sesuatu, atau untuk tidak melakukan sesuatu).

Strict liability dapat diberlakukan terhadap kebijakan pemerintah yang mewajibkan warga negara (untuk melakukan sesuatu, atau untuk tidak melakukan sesuatu). Dengan demikian, warga negara menjadi tidak punya pilihan lain dan hanya bisa menerima dengan asumsi bahwa kebijakan tersebut adalah baik. Kebijakan itu pun sejatinya menjadi konsumsi publik. Maka, dalam hal ini, pemerintah mempunyai kewajiban untuk menjaga agar kebijakan yang ada berjalan dengan baik dan tidak mengalami penyelewengan atau penyimpangan.

Dengan demikian, menurut konsepsi pertanggungjawaban strict liability ini, pemerintah secara ketat tidak boleh lalai atau abai. Jika kemudian ternyata ada kerugian terhadap warga negara tertentu sebagai akibat dari kebijakan tersebut, negaralah yang harus membuktikan bahwa pemerintah telah menjalankan segala upaya untuk memastikan bahwa segala sesuatunya berjalan sesuai dengan standar prosedur dan parameter terbaik, antara lain tidak lalai ataupun abai. Oleh karena itu, pemerintah bertanggung jawab penuh dengan mengganti segala kerugian yang terjadi sebagai akibat dari kebijakan tersebut dengan restitusi ataupun kompensasi.

Baca Juga: Lindungi Data Pribadi Warga

Pada akhirnya, penerapan prinsip strict liability terhadap penyalahgunaan data pribadi sebagai akibat dari kewajiban penggunaan aplikasi Peduli Lindungi merupakan bentuk dari revitalisasi hukum penyelenggaraan praktik pemerintahan dan bernegara yang baik (good governance), yang juga kemudian diharapkan dapat diterapkan ke berbagai kebijakan pemerintah yang lain.

Gede Khrisna Kharismawan, Mahasiswa Pascasarjana Magister Ilmu Hukum Universitas Gadjah Mada; Wakil Sekretaris Umum HIPMI PT Udayana Denpasar, Bali Periode 2017-2018