Rumah Pemilu Indonesia Election Portal
Deputi Direktur Riset Lembaga Advokasi Masyarakat (Elsam), Wahyudi Djafar, membagikan pengetahuan mengenai perlindungan data pribadi dalam konteks pemilu di Indonesia dan beberapa negara. Wahyu prihatin dengan kesemrawutan konsep dan regulasi perlindungan data pemilih di Indonesia yang berpotensi melanggar hak privasi warga negara, terutama pasca somasi Partai Gerakan Indonesia Raya (Gerinda) provinsi DKI Jakarta kepada Komisi Pemilihan Umum (KPU) DKI Jakarta yang meminta agar KPU DKI menyerahkan Nomor Induk Kependudukan (NIK) dan Nomor Kartu Keluarga (NKK) lengkap pemilih di DKI Jakarta. Simak selengkapnya dalam format wawancara.
Apakah data pribadi itu?
Semua konsepsi mengatakan bahwa data pribadi adalah data-data yang dapat menunjukan profil seseorang secara langsung. Artinya, data seperti nama, NIK, NKK, tanggal lahir, alamat, kondisi kecacatan seseorang termasuk data pribadi.
Diregulasi kita, definisi data pribadi dijelaskan dalam Pasal 1 angka 22 Undang-Undang (UU) Administrasi Kependudukan (Adminduk) No.24/2013. Katanya, data pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Lalu Pasal 58 bicara mengenai jenis-jenis data pribadi. Mulai dari NIK, NKK, nama, alamat, termasuk NIK orangtua kandung.
Persoalannya, Indonesia tidak jelas membedakan antara data pribadi dengan data pribadi sensitif. Di negara yang memiliki UU Perlindungan Data Pribadi yang komprehensif, seperti Inggris, Malaysia, Singapura, Filipina, Korea Selatan dan Australia, klausulnya cukup jelas. Mana yang masuk data pribadi, yang langsung memprofil orang-orang tertentu, dan mana yang termasuk data pribadi sensitif.
Terkait kategori data pribadi yang sensitif berbeda pengaturannya di UU No.23/2006 dan UU No.24/2013. Kalau di UU No.23/2006, data pribadi sensitif itu adalah NIK, NKK, tanggal lahir, kecacatan fiisk, dan NIK ibu dan ayah kandung. Tapi di UU No.24/2013, data pribadi sensitif disebutkan yakni, keterangan cacat fisik atau mental, sidik jari, iris mata, tanda tangan, dan elemen data lain yang merupakan aib seseorang.
Mengapa jadi berubah?
Situasinya begini. Di Kartu Tanda Penduduk (KTP) kita, masih tertera NIK, nama, alamat, tanggal lahir, agama, jenis kelamin, pekerjaan, dan status menikah. Nah, di Indonesia, kita itu kan kalau masuk ke gedung, selalu meninggalkan KTP. Orang bisa membacata data itu. jadi ketika Pasal 84 dan 87 UU No.23/2006 diterapkan berbarengan, tidak akan bisa diimplementasi. Semua orang bisa mengakses. Makanya kemudian di perubahan tahun 2013, diubah menjadi sangar spesifik. Bicara soal mental, biometrik, sidik jari, dan seterusnya karena hal-hal ini gak mungkin muncul di KTP kita.
Baik. Lalu bagaimana UU Adminduk saat ini melindungi data pribadi?
Di Pasal 79 ayat (1) UU No.24/2013 mengatur soal perlindungan data pribadi. Data dan dokumen kependudukan wajib disimpan dan dilindungi oleh negara. Lihat Pasal 58 dan Pasal 1 ayat (22), bahwa meskipun NIK, NKK, alamat, dan tanggal lahir tidak dicantumkan di dalam ketentuan Pasal 84, dia tetap data pribadi yang harus dilindungi. Hanya berbeda kategori saja, antara data pribadi secara umum dengan data pribadi sensitif yang dimaksud Pasal 87. Di negara-negara lain begitu pembedaannya antara data pribadi dengan data pribadi sensitif.
Dalam konteks pemilu, bagaimana perlindungan data pribadi ini dapat ditempatkan?
Dalam data pemilih, ada semacam dual status. Di satu sisi dia dibilang public record yang harus selalu dibuka, di sisi lain ada data-data pribadi di dalam data pemilih itu yang harus dilindungi. Makanya kemudian, di semua negara berlaku prinsip open to inspection by general public with limited exception. Persis putusan Komisi Informasi (KI) DKI Jakarta terhadap Partai Gerindra DKI Jakarta, yaitu dibuka tapi ketat dan terbatas.
Adakah kasus serupa di negara lain mengenai partai politik yang menggunakan data pribadi pemilih?
Nah ini, mari kita lakukan perbandingan dengan negara-negara lain. Negara-negara uni Eropa, mulai Mei tahun 2018, menerapkan EU Generap Data Protection Regulation (EU GDPR). Nah, GDPR ini adalah evolusi terakhir dari perlindungan data di Eropa. Sebelumnya diatur melalui EU Direction No.46/1995. Nah, di dalam EU GDPR, Pasal 9 menyinggung bahwa partai politik harus bertanggungjawab terhadap data-data pribadi seseorang, apalagi ketika dia melakukan pemrosesan data pribadi.
Aturan ini muncul karena dulu, partai politik tidak bertanggungjawab terhadap data-data pribadi yang mereka proses. Dulu, hampir semua partai politik di Inggris selalu menggunakan metode data analytic dalam konteks pemenangan pemilu.
Kasus Inggris ini menarik. Tahun 2018, Inggris mengamandemen United Kingdom Data Protection Act. Muncul isu bagaimana posisi data pemilih ini. Di Inggris, data pemilih itu terdiri atas nomer pemilih, nama, alamat, dan apakah dia meminta pemilihan via pos atau tidak. Lalu, di ada dua kategori data pemilih. Satu, data yang lengkap yang hanya bisa diakses oleh penyelenggara pemilu dan pemerintah. Dua, data yang tersedia dan bisa diakses oleh publik. Data ini adalah data pemilih yang sudah dimodifikasi dan dimanfaatkan oleh lembaga konsultan politik. Namun, terhadap dua jenis data pemilih ini, ada seruan dari penyelenggara pemilu Inggris dan komisi informasi Inggris bahwa sangat baik kalau seluruh data pemilih itu ditutup.
Kenapa baiknya ditutup? Karena faktanya, data pemilih itu diperjualbelikan bukan hanya untuk kepentingan pemilu, tapi juga bisnis. Makanya mereka cenderung ingin menutup data pemilih. Kalau terus ada informasi pribadi yang dibuka, angka partisipasi pemilih akan terus menurun. Orang tidak mau didata sebagai pemilih karena tidak ada jaminan kalau datanya tidak akan disebarluaskan.
Pindah ke Australia. Data pemilih itu hanya nama dan alamat, dna itu pun hanya dibuka di kantor pemilihan umum. Untuk data elektronik, data disimpan di dalam sebuah cangkram padat yang tidak bisa dimodifikasi apapun. Jadi, kalau partai politik mau lihat, ya lihatnya di kantor pemilihan umum itu. Tidak bisa diberikan salinannya.
Di Amerika Serikat (AS) berbeda lagi. Pemilu tahun 2015-2016, kan banyak dengar data brief. Waktu itu muncul satu ebrita bahwa 191 juta data pemilih AS bisa diakses melalui internet sehingga bisa digunakan untuk bermacam-macam. Memang di masing-masing negara bagian hukumnya berbeda-beda. Di Minnesota atau Iowa, partai politik bisa membeli data pemilih ke state secretary. Tapi di California, data pemilih sama sekali tidak bisa diakses.
Apa yang bisa diadopsi di Indonesia?
Begini, Indonesia masih ada beberapa persoalan. Pertama, ada ketidakjelasan data pribadi. UU Keterbukaan Informasi Publik (KIP) Pasal 17 mengatur pengecualian terhadap data pribadi. Karena, data pribadi menyangkut preferensi dan dapat memprofil seseorang. Tapi di UU Pemilu, ada lima hal yang bisa dibuka kepada publik, yaitu NIK, nama, tanggal lahir, alamat, dan jenis kelamin.
Kedua, partai politik masih belum jelas apakah dia diposisikan sebagai data controlleur dan data processor atau bukan? Kalau dia mausk kualifikasi data controlleur dan data processor, maka dia bertanggungajwba atas kerahasiaan data pribadi yang dia kelola. Nah, aturan itu di Indonesia belum ada. baru ada di EU GDPR yang tidak hanya menyasar negara, tetapi semua pihak yang mengelola data pribadi.
Kenapa di Indonesia belum ada?
Karena itu tadi, di Indonesia belum ada UU Perlindungan Data Pribadi yang komprehensif. Di ASEAN , negara yang punya UU Perlindungan Data Pribadi yang komprehensif baru Singapura, Malaysia, Filipina, dan Laos. Tapi Malaysia juga ada persoalan. Malaysia sering ada data briech karena UUnya hanya mengikat entitas swasta. Pemerintah tidak mau tunduk.
Penasaran, Mas! Sebetulnya apa yang ditakutkan kalau data pribadi ini dapat diakses partai politik? Tidak banyak pemilih kita yang tahu isu ini.
Dalam politik elektoral dengan big data, ada namanya data driven political campaigne yang mengakibatkan adanya eksploitasi data. Ini yang terjadi di AS. Metode data driven political campaigne ada dua. Pertama, menggunakna data-data pemilih. Kedua, menggunakan data-data pengguna media sosial. Dari sini, muncul konsep political micro targetting. Dengan hasil pengolahan data pemilih tadi, perusahaan penyedia jasa political micro targetting akan mengirimkan iklan-iklan kampanye ke pemilih sesuai dengan karakter tiap orang. Perusahaan bisa memetakan kecenderungan tiap orang. Misal, si A, dari hasil analisis, orangnya rasional. Maka dia dikirimkan berita yang sangat akurat yang akan dia percaya. Tapi si B, orangnya irasional. Dia akan dikirimkan hoaks.
Penggunaan political micro targetting sudah mulai muncul?
Sudah! Dua minggu lalu ada pemberitaan di Kompas bahwa ketua DPR sudah mengumpulkan 900 ribu akun pengguna Facebook di daerah pemilihannya. Saya tak tau cara dia mengumpulkan, apakah manual atau membeli data. Tapi ini jadi catatan bahwa potensi terjadinya eksplotasi data dalam Pemilu 2019 sudah sangat tinggi. Datanya dari mana? Ya bisa dari data pemilih dan dari akun media sosial. Makanya partai ngebet mendapatkan data pemilh karena itu memang bisa diolah untuk membangun desain iklan kampanye.
Sayangnya, syaa lihat, peraturan pemilu kita belum mengatur tentang political micro targetting itu. Itulah kenapa hari ini kita sangat penting untuk bicara tentang perlindungan data pribadi pemilih yang dimulai dari menutup sebagian NIK dan sebagian NKK.
Apa yang terjadi jika NIK dan NKK bocor?
Seluruh data yang melibatkan NIK akan bisa diakses. Kemarin kita punya pengalaman registrasi simcard. Kita jadi tau ternyata ada persoalan dalam database sistem kependudukan kita. Ada satu NIK yang digunakan oleh sekian juta nomor ponsel.
Untuk data pemilih, makin berbahaya, sebab tidak jelas sejauh mana liability partai politik ketika mereka dapat akses dari data-data pribadi itu. Partai bukan Kemendagri yang tunduk pada aturan UU No.23/2006 dan UU No.24/2013, juga bukan perusahaan penyedia layanan platform yang tunduk pada UU Informasi dan Transaksi Elektronik. Makanya, sulit data pemilih kita diserahkan ke partai. Partai harus izin ke subjek data, kita semua.
