SPcom JAKARTA – Perhimpunan Bantuan Hukum dan Hak Asasi Manusia (PBHI) menggugat kontrak Kemenkes dengan PeduliLindungi yang dikhawatirkan rawan bocor karena dikelola pihak ketiga. Argumen PBHI disampaikan dalam akta Kesimpulan ke Pengadilan Tata Usaha Negara (PTUN) Jakarta.
Sidang gugatan itu telah memasuki tahap akhir dan menunggu rapat majelis hakim untuk mengambil keputusan. Berikut alasan PBHI meminta pembatalan proyek kerjasama itu sebagaimana dikutip dari Kesimpulan PBHI, Selasa (13/9/2022):
- Bahwa melalui kerjasama Tergugat (Kementerian Kesehatan-Kemenkes/red), dengan PPA sebagaimana ditetapkan melalui Objek Sengketa telah terjadi kebocoran data terhadap jutaan data pribadi masyarakat yang mengakses QR Code dari PPA seperti Gojek, Grab, Tokopedia, Shopee, dan lainnya;
- Bahwa kebocoran data tersebut terlihat jelas melalui keterangan ahli Teguh Aprianto yang memperagakan melalui komputer jinjing (laptop) bagaimana pemrosesan data melalui PPA terjadi di muka persidangan. Ahli Teguh Aprianto memperlihatkan bahwa PPA (Tokopedia, tiket.com) merekam dan menyimpan data yang diterima maupun dikirimkan oleh pengguna QR Code pada PPA dalam proses lalu-lintas data ke server PeduliLindungi;
- Sebaliknya, ahli Teguh Aprianto dapat membedakan mana data yang dienkripsi, mana yang tidak secara gamblang
- Bahwa selain merekam dan menyimpan data, ahli Teguh Aprianto juga menerangkan bahwa PPA juga tidak melakukan enksipsi data yang dikirim dan diterima dalam proses lalu lintas data ke PeduliLindungi sebagaimana disebutkan pula dalam Bukti P-28 dan Bukti P-29;
- Bahwa meskipun Tergugat berusaha membantah enkripsi ini melalui ahli Dr. Pratama Dahlian Persadha, namun keterangan ahli tersebut hanya berupa keterangan saja tanpa memperagakan apa yang dikatakan untuk membuktikan kebenarannya apakah enkripsi tidak benar adanya. Oleh karena itu keterangan Ahli Dr. Pratama Dahlian Persadha tersebut tidak layak untuk dijadikan rujukan karena tidak disertai dengan bukti-bukti lainnya yang dapat meyakinkan kita;
- Bahwa tentang enkripsi diungkapkan lebih jauh oleh ahli Damar Juniarto, yaitu tidak adanya data privacy by design, yakni tidak terdapat penjelasan di dalam Objek Gugatan Tata Usaha Negara yang mewajibkan proses pseudonymisasi dan enkripsi bagi PPA, sehingga platform yang bekerja sama tersebut tidak diwajibkan untuk melakukan proses data privacy tersebut. Atau dengan kata lain tidak ada kewajiban enkripsi karena memang tidak diwajibkan dalam Objek Sengketa;
- Bahwa selain itu juga, terbukti tidak ada kewajiban bahwa data tersebut hanya bisa diakses oleh orang yang berkepentingan, sehingga prinsip perlindungan data pribadi tidak terpenuhi, sebagaimana disebutkan oleh ahli Damar Juniarto;
- Bahwa selain merekam, menyimpan, dan tidak melakukan enkripsi data yang dikirimkan, aplikasi PPA juga memili pelacak (tracker) yang berfungsi mengumpulkan data pribadi pengguna sebagaimana diterangkan oleh ahli Damar Juniarto dan disampaikan pula melalui Bukti P-29 sampai Bukti P-38;
- Bahwa hal ini kemudian dibantah oleh ahli Dr. Pratama Dahlian Persadha dari Tergugat yang menyatakan bahwa tracker merupakan hal yang biasa saja dan merupakan “responsive system dan tujuannya supaya user experience lebih bagus” itu keliru. Tidak semua tracker bisa diperlakukan sama dan dipandang ringan. Karena ada tracker yang mengintrusi lebih jauh dan ini berbahaya bagi privasi;
- Bahwa hasil pemeriksaan melalui https://osint.sh/subdomain/ dan apabila dimasukkan (input) domain “pedulilindungi.id” maka akan diperoleh informasi bahwa server PeduliLindungi dikelola oleh sistem yang berada di Frankfurt, Jerman;
- Oleh karena itu telah terbukti bahwa PeduliLindungi sendiri telah bertentangan dengan Pasal 20 PP PTSE yang mewajibkan pemrosesan data harus dilakukan di dalam negeri: Pasal 20 Penyelenggara Sistem Elektronik Lingkup Publik wajib melakukan pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di wilayah Indonesia.
Sebagaimana diketahui, PTUN Jakarta menggugat Keputusan Kementerian Kesehatan Nomor Hk.01.07/Menkes/5680/2021 tentang Pedoman Kerja Sama Penggunaan QR Code Pedulilindungi dalam Rangka Penanggulangan Pandemi Corona Virus Disease 2019 (COVID-19).
PBHI menilai Keputusan Menkes itu melanggar sejumlah ketentuan peraturan perundang-undangan, terkhusus mengabaikan kewajiban negara dalam menjamin penghormatan terhadap hak privasi masyarakat.
“Menyatakan batal atau tidak sah Keputusan Menteri Kesehatan Republik Indonesia Nomor Hk.01.07/Menkes/5680/2021 ditetapkan pada tanggal 31 Agustus 2021 Tentang Pedoman Kerja Sama Penggunaan QR Code PeduliLindungi Dalam Rangka Penanggulangan Pandemi Corona Virus Disease 2019 (Covid-19) beserta lampirannya,” ujar PBHI. (SP)
