Riskan data pribadi di tangan KPU

Buruknya pengamanan data pribadi oleh lembaga negara kembali disorot. Kali ini, menyangkut data pribadi yang dikelola Komisi Pemilihan Umum (KPU) dalam laman cekdptonline.kpu.go.id, yang dipakai untuk mengecek daftar pemilih tetap (DPT).

Hal tersebut terbongkar kala netizen mengeluhkan tidak disensornya nama pemilih usai memasukkan nomor induk kependudukan (NIK) atau paspor dalam kolom yang tersedia di laman tersebut. 

"Iseng-iseng buka cekdptonline.kpu.go.id buat cek sudah terdaftar apa belum buat pemilu, eh nama pemilih enggak disensor. Bahaya, bisa di-scrape ntar datanya," kicau salah satu akun media sosial, Selasa (7/11).

Selain nama lengkap, data yang ditampilkan secara utuh adalah kelurahan, kecamatan, kabupaten, serta nomor dan alamat tempat pemungutan suara (TPS). Adapun NIK dan nomor kartu keluarga (NKK) ditampilkan sebagian atau disensor.

Ia khawatir terjadi pengorekan data (data scraping) mengingat NIK dalam kartu tanda penduduk (KTP) tersusun atas pola tertentu. "Jadi, tinggal buat script saja buat scrape datanya."

Lalu, 6 digit tanggal lahir dalam format hhbbtt, yang ditambah 40 pada bagian tanggal khusus perempuan. Adapun 4 digit terakhir merupakan nomor urut yang dimulai dari 0001.

Ketentuan tentang kode wilayah tersebut diatur dalam Keputusan Menteri Dalam Negeri (Kepmendagri) Nomor 100.1.1-6177 Tahun 2012 tertanggal 9 November 2022. Beleid ini terbit seiring terjadinya pemekaran di Papua.

Aturan hukum

Merujuk Pasal 4 ayat (1) Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), data pribadi terdiri dari dua, yakni yang bersifat spesifik, seperti informasi kesehatan, biometrik, genetika, catatan kejahatan, anak, keuangan pribadi, dan/atau data lain sesuai regulai serta bersifat umum, macam nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Sebagai pengendali, sesuai Pasal 47 UU PDP, KPU wajib bertanggung jawab atas pemrosesan data pribadi dan wajib melaksanakan prinsip perlindungan data pribadi. Selain itu, Pasal 16 ayat (2) huruf e memandatkan pemroses dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, dan pengubahan yang tidak sah serta penghilangan.

Apabila terjadi pelanggaran, merujuk Pasal 57 ayat (1) dan ayat (2), terancam dikenai sanksi administrasi. Misalnya, peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif.

Pembelaan KPU

Saat dikonfirmasi, anggota KPU, Betty Epsilon Idroos, menjamin keamanan data pribadi yang tersimpan di dalam situs webnya dengan dalih hanya bisa dilihat pemilik NIK tersebut. Masyarakat pun diminta tidak khawatir.

"Pemilih hanya bisa lihat dirinya terdaftar dengan memasukkan NIK-nya dia," katanya saat dikonfirmasi Alinea.id, Kamis (9/11).

Jika data tersebut tidak dibuka, menurutnya, justru akan merugikan masyarakat. Alasannya, tidak bisa mendeteksi apakah sudah tercatat dalam DPT atau belum.

"Ini kanal untuk mempermudah apakah dirinya terdaftar atau tidak dalam DPT, dipermudah malah ada alamat potensial TPS-nya pakai GPS," bebernya.