Dewasa ini, hadir teknologi yang dikembangkan oleh Worldcoin, perusahaan berbasis global yang turut didirikan oleh Sam Altman, tokoh yang juga menjabat sebagai CEO OpenAI. Proyek ini bertujuan untuk menciptakan sistem identitas digital universal yang dapat digunakan oleh setiap individu di dunia. Pendekatan yang digunakan dalam sistem ini tergolong unik karena memanfaatkan teknologi verifikasi biometrik melalui pemindaian iris mata, sebuah metode yang dinilai mampu mengidentifikasi manusia secara akurat berdasarkan ciri biologis yang tidak dapat dipalsukan. Namun demikian, proyek ini juga menimbulkan diskusi etis dan hukum terkait perlindungan data biometrik dan hak privasi individu di berbagai yurisdiksi. Hingga tanggal Legal Brief ini dibuat, lebih dari 500.000 pengguna di Indonesia telah dikumpulkan retina dan retina code nya oleh World ID.[1] PT. Terang Bulan Abadi dan PT. Sandina Abadi Nusantara patut diduga menjalankan kegiatan layanan Worldcoin dan World ID.[2] Beberapa negara telah melakukan penghentian atau penyelidikan atas kepatuhan yang dimiliki oleh Worldcoin.[3]

Cara Kerja Teknologi World ID

World ID sebagai teknologi yang dikembangkan oleh Worldcoin bekerja dengan melibatkan perangkat khusus bernama Orb, yakni sebuah alat berbentuk bola logam berukuran kepala manusia yang dirancang untuk memindai pola iris seseorang. Proses ini menghasilkan representasi digital dari pola iris yang kemudian diubah menjadi kode terenkripsi. Kode terenkripsi ini berfungsi sebagai identitas digital atau “World ID”, yang dapat digunakan sebagai bukti keunikan dan keberadaan seseorang sebagai manusia, sekaligus menjaga anonimitasnya.

Pengguna yang ingin bergabung dengan ekosistem Worldcoin perlu mengunduh aplikasi World App dan menjalani proses verifikasi identitas melalui pemindaian biometrik iris mata menggunakan perangkat khusus bernama Orb. Orb, yang dirancang menyerupai bola logam futuristik, memindai pola unik iris untuk menghasilkan identitas digital terenkripsi. Setelah verifikasi selesai dan identitas digital (World ID) terbentuk, pengguna akan menerima insentif dalam bentuk mata uang kripto Worldcoin. Total imbalan yang diberikan kepada pengguna yang mendaftarkan diri melalui World ID berkisar antara Rp300.000 (tiga ratus ribu rupiah) hingga Rp800.000 (delapan ratus ribu rupiah).[4]

Jika melihat pelaksanaan program ini di Indonesia, telah terlihat antusiasme masyarakat dari panjangnya antrean masyarakat yang memadati gerai resmi Worldcoin di sejumlah lokasi, termasuk Bekasi dan Depok. Masyarakat rela menunggu berjam-jam untuk mengikuti proses pemindaian iris mata sebagai syarat utama pembuatan identitas digital World ID. Meskipun secara teknis tidak disebut sebagai “penyumbangan” data pribadi, proses ini melibatkan pemberian akses terhadap data biometrik sensitif, yang kemudian dikonversi menjadi kode terenkripsi oleh sistem Worldcoin.

Pemrosesan Data Biometrik oleh Aplikasi World ID ditinjau dari Perspektif Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi dan Peraturan lainnya yang terkait

Menilik teknologi World ID yang menghadirkan antusiasme masyarakat untuk menyerahkan data retinanya demi imbalan berupa uang, sejatinya penting untuk melakukan analisis terkait risiko yang hadir atas penyerahan data retina tersebut. Pemindaian yang dilakukan terhadap retina mata dapat dikategorikan sebagai bentuk pengenalan biometrik, yaitu proses identifikasi otomatis terhadap individu berdasarkan ciri-ciri anatomi, perilaku atau karakteristik khas lainnya.[5] Lebih lanjut, dalam Pasal 4 ayat (2) huruf b beserta penjelasannya dari Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) mengatur bahwa retina mata merupakan data pribadi yang bersifat spesifik yang dikategorikan sebagai data biometrik dari seseorang.

Lebih lanjut, data biometrik tersebut merupakan data yang bersifat spesifik yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau daktiloskopi. Data biometrik juga menjelaskan pada sifat keunikan dan/atau karakteristik seseorang yang harus dijaga dan dirawat, termasuk namun tidak terbatas pada rekam sidik jari, retina mata, dan sampel DNA.

Dalam hal ini, Pasal 4 ayat (2) huruf b UU PDP mengklasifikasikan bahwa data biometrik tersebut merupakan data pribadi yang bersifat spesifik. Penjelasan Pasal 4 ayat (1) huruf a UU PDP menyebutkan bahwa data pribadi yang bersifat spesifik tersebut merupakan jenis data yang jika diproses dapat menimbulkan dampak yang lebih signifikan bagi Subjek Data Pribadi, seperti risiko diskriminasi atau kerugian yang lebih besar.

Dengan itu, sejatinya kegiatan yang dilakukan oleh Proyek World ID ini merupakan kegiatan pemrosesan data pribadi, khususnya data pribadi yang bersifat spesifik. Berdasarkan Pasal 34 ayat (1) dan ayat (2) UU PDP disebutkan bahwa Worldcoin sebelum melakukan pemrosesan Data Pribadi yang bersifat spesifik (dhi. adalah retina mata), maka wajib dilakukan terlebih dahulu Penilaian Dampak Pelindungan Data Pribadi (Data Protection Impact Assessment/DPIA), untuk melakukan mitigasi risiko atas dampak yang dilakukan dalam pemrosesan data pribadi. Sayangnya, pengaturan lebih lanjut terkait dengan DPIA ini diatur lebih lanjut dalam Peraturan Pemerintah yang hingga saat ini masih dalam tahap harmonisasi.[6]

Selain itu, telah dipertegas dalam Pasal 58 ayat (1), ayat (2) huruf cc dan ayat (4) jo. Pasal 84 Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (“UU No. 24 Tahun 2013”) bahwa data iris mata digunakan dalam bidang Administrasi Kependudukan yang digunakan untuk keperluan publik serta harus dilindungi (proses pengumpulannya tidak boleh dilakukan secara sembarangan), kami kutip sebagai berikut:

• Pasal 58 ayat (1) UU UU No. 24 Tahun 2013:

“Data Kependudukan terdiri atas data perseorangan dan/atau data agregat Penduduk”.

• Pasal 58 ayat (2) huruf cc UU No. 24 Tahun 2013:

“Data perseorangan meliputi:

iris mata”.

• Pasal 58 ayat (4) UU No. 24 Tahun 2013:

“Data Kependudukan sebagaimana dimaksud pada ayat (1), ayat (2), dan ayat (3) yang digunakan untuk semua keperluan adalah Data Kependudukan dari Kementerian yang bertanggung jawab dalam urusan pemerintahan dalam negeri, antara lain untuk pemanfaatan:

1. pelayanan publik;
2. perencanaan pembangunan;
3. alokasi anggaran;
4. pembangunan demokrasi; dan
5. penegakan hukum dan pencegahan kriminal”.

• Pasal 84 ayat (1) UU No. 24 Tahun 2013:

“Data Pribadi Penduduk yang harus dilindungi memuat:

1. keterangan tentang cacat fisik dan/atau mental;
2. sidik jari;
3. iris mata;
4. tanda tangan; dan
5. elemen data lainnya yang merupakan aib seseorang”.

Selain itu, berdasarkan Pasal 20 ayat (1) dan ayat (2) UU PDP, Pengendali Data Pribadi wajib memiliki dasar pemrosesan meliputi:

1. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
2. Pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
3. Pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
4. Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
5. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan;
6. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.

Dalam hal ini, patut ditelusuri lebih lanjut terkait dengan apa yang menjadi dasar dari World ID untuk melakukan pemrosesan atas data pribadi masyarakat. Hal tersebut dikarenakan alasan dari Subjek Data Pribadi (dhi. adalah masyarakat) melakukan pendaftaran dan pemindaian retina karena dijanjikan imbalan berupa uang tunai.[7] Apabila dasar dari pemrosesan Data Pribadi adalah berdasarkan persetujuan, maka persetujuan tersebut haruslah diberikan oleh Pengendali Data Pribadi dalam melakukan pemrosesan dari Data Pribadi berdasarkan Pasal 24 UU PDP. Selain itu, terkait dengan persetujuan, maka Pengendali Data Pribadi harus melakukan:

1. Menyampaikan informasi terkait dengan:
2. legalitas dari pemrosesan Data Pribadi;
3. tujuan pemrosesan Data Pribadi;
4. jenis dan relevansi Data Pribadi yang akan diproses;
5. jangka waktu retensi dokumen yang memuat Data Pribadi;
6. rincian mengenai Informasi yang dikumpulkan;
7. jangka waktu pemrosesan Data Pribadi; dan
8. hak Subjek Data Pribadi
9. Persetujuan dilakukan secara tertulis atau terekam (vide Pasal 22 ayat (1) UU PDP);
10. Persetujuan disampaikan secara elektronik atau nonelektronik (vide Pasal 22 ayat (2) UU PDP);
11. Apabila ketentuan Pasal 22 ayat (1) sampai dengan ayat (4) tidak dipenuhi, maka persetujuan tersebut dinyatakan batal demi hukum.

Selain itu, dalam Pasal 16 ayat (1) dan ayat (2) UU PDP juga diatur bahwa Pemrosesan Data Pribadi (pemerolehan dan pengumpulan, pengolahan dan penganalisisan, penyimpanan, perbaikan dan pembaruan, penampilan, pengumuman, transfer, penyebarluasan atau pengungkapan dan/atau penghapusan atau pemusnahan), wajib dilakukan sesuai dengan prinsip Pelindungan Data Pribadi meliputi:

1. Pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
2. Pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
3. Pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi;
4. Pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
5. Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi;
6. pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi;
7. Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
8. pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.

Apabila syarat-syarat yang dilakukan untuk menjadikan persetujuan sebagai dasar dari Pemrosesan Data Pribadi tidak terpenuhi dan pemrosesan Data Pribadi tidak sesuai dengan ketentuan yang berlaku, maka terdapat potensi adanya pelanggaran berdasarkan UU PDP. Bahkan, dalam hal ini patut dipertanyakan terkait dengan Legalitas dari Worldcoin dan World ID dalam melakukan pemrosesan data pribadi. Hal tersebut dikarenakan PT Terang Bulan Abadi ternyata belum terdaftar sebagai Penyelenggara Sistem Elektronik (“PSE”) dan tidak memiliki izin Tanda Daftar Penyelenggara Sistem Elektronik (“TDPSE”).[8] Setiap PSE dalam lingkup privat wajib untuk melakukan pendaftaran sebagaimana diatur dalam Pasal 2 ayat (2) Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 tentang Penyelenggara Sistem Elektronik Lingkup Privat (“Permen No. 5 Tahun 2020”).

Hak Pengguna World ID sebagai Subjek Data Pribadi

Dalam pemrosesan data pribadi, pemilik data atau Subjek Data Pribadi sebagai orang perseorangan yang pada dirinya melekat data pribadi memiliki hak yang wajib untuk dihormati oleh World ID. Berikut adalah beberapa hak yang dimiliki oleh pengguna World ID sebagai Subjek Data Pribadi sebagaimana diatur dalam UU PDP:

1. Mendapatkan Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi (vide Pasal 5 UU PDP);
2. Mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan (vide Pasal 7 UU PDP);
3. Mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan (vide Pasal 8 UU PDP);
4. Menarik kembali persetujuan pemrosesan data pribadi tentang dirinya yang telah diberikan (vide Pasal 9 UU PDP).
5. Menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan (vide Pasal 12 ayat (1) UU PDP);

Urgensi Pengesahan Peraturan Pemerintah Pelaksana Undang-Undang No. 27 Tahun 2022 Tentang Pelindungan Data Pribadi dikaitkan dengan Kasus World ID

Pemrosesan data retina oleh World ID menyebabkan timbulnya kekhawatiran yang cukup serius terkait kepatuhan dan pengawasan terhadap regulasi tentang pelindungan data pribadi di Indonesia, sebagaimana beberapa ketentuan yang berkaitan dengan pemrosesan data pribadi belum sepenuhnya diatur di dalam UU PDP. Beberapa ketentuan tersebut di antaranya adalah sebagai berikut:

1. pengajuan keberatan atas pemrosesan secara otomatis;
2. pelanggaran pemrosesan data pribadi dan tata cara pengenaan ganti rugi;
3. hak subjek data pribadi untuk menggunakan dan mengirimkan data pribadi;
4. pelaksanaan pemrosesan data pribadi;
5. teknis terkait penilaian dampak;
6. ketentuan terkait pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi;
7. transfer data;
8. tata cara pengenaan sanksi administratif;
9. tata cara pelaksanaan wewenang lembaga.

Peristiwa seperti pada kasus World ID ini, seharusnya menjadi dorongan bagi pemerintah untuk segera melakukan pengesahan Peraturan Pemerintah Pelaksana Undang-Undang Pelindungan Data Pribadi untuk memperkuat penerapan pelindungan data pribadi sebagaimana yang telah diatur di dalam UU PDP. Pembekuan terkait izin TDPSE sebagai upaya preventif terkait dengan kasus World ID tentunya tidak akan optimal jika tidak diimbangi dengan pengesahan Peraturan Pemerintah yang merupakan ketentuan pelaksanaan teknis dari UU PDP.

Sanksi Apabila Melakukan Pemrosesan yang Tidak Sah

Apabila pemrosesan data retina mata dan/atau iris mata bertentangan dengan ketentuan hukum yang berlaku, maka terdapat potensi sanksi yang dapat diberikan yaitu sebagai berikut:

1. Sanksi Administratif, meliputi peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi dan/atau denda administratif dengan besaran denda paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran (vide Pasal 57 ayat (2) dan ayat (3) UU PDP). Sayangnya, ketentuan tata cara penjatuhan sanksi administratif ini diatur dalam Peraturan Pemerintah yang masih tahap harmonisasi hingga saat Legal Brief ini dibuat;
2. Sanksi Pidana, meliputi:

a. Pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp 5.000.000.000,- (lima miliar Rupiah) untuk setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain yang menimbulkan kerugian bagi subjek data pribadi. Pidana denda bagi korporasi dijatuhkan paling banyak 10 (sepuluh) kali lipat dari maksimal pidana denda yang diancamkan (vide Pasal 67 Pasal 70 ayat (3) UU PDP).

Selain pidana pokok, sesuai pasal 70 ayat (4) UU PDP, maka Korporasi dapat dijatuhi pidana tambahan berupa:

• perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
• pembekuan seluruh atau sebagian usaha Korporasi;
• pelarangan permanen melakukan perbuatan tertentu;
• penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan Korporasi;
• melaksanakan kewajiban yang telah dilalaikan;
• pembayaran ganti kerugian;
• pencabutan izin; dan/atau
• pembubaran Korporasi.

b. Apabila terdapat pengungkapan Data Pribadi yang dilakukan secara melawan hukum, maka dapat dikenakan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp 4.000.000.000,- (empat miliar Rupiah) (vide Pasal 67 ayat (2) UU PDP);

c. Apabila terdapat penggunaan Data Pribadi yang bukan miliknya yang dilakukan secara melawan hukum, maka dapat dikenakan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000,- (lima miliar Rupiah) (vide Pasal 67 ayat (3) UU PDP);

d. Apabila terdapat penyebarluasan Data Kependudukan dan Data Pribadi secara tanpa hak, maka dapat dikenakan sanksi pidana penjara paling lama 2 (dua) tahun dan/atau denda paling banyak Rp 25.000.000,- (dua puluh lima juta Rupiah) (vide Pasal 95A UU No. 24 Tahun 2013).