BacaHukum.com – Praktik meninggalkan kartu identitas seperti KTP di meja front office untuk bisa masuk ke sebuah gedung masih jamak ditemui di berbagai lokasi. Bahkan, aturan tersebut sering menjadi syarat wajib sehingga pengunjung tak bisa mengakses gedung bila menolak menyerahkan identitas.
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, menilai praktik tersebut tidak sejalan dengan prinsip perlindungan data pribadi.
“Nah, pengumpulan data pribadi yang sebenarnya tidak relevan dengan aktivitas yang kita lakukan, seperti masuk tower, kemudian daftar akun, itu merupakan sebenarnya ketidakpatuhan pengontrolan terhadap prinsip-prinsip pelindungan data pribadi,” kata Parasurama kepada CNBC Indonesia, Sabtu (29/11/2025).
Berpotensi Pelanggaran Prinsip Perlindungan Data
Parasurama menjelaskan, kewajiban menyerahkan KTP atau bentuk identitas lain ketika masuk gedung dapat menjadi sebuah bentuk “pelanggaran” karena tidak memenuhi beberapa prinsip mendasar dalam pengumpulan data pribadi. Salah satu prinsip tersebut adalah batasan dan relevansi tujuan.
Menurutnya, pengendali data juga tidak memenuhi unsur keabsahan karena data pribadi yang dikumpulkan tidak relevan dengan tujuan masuk gedung maupun kebutuhan pelayanan.
Indonesia sebenarnya sudah memiliki regulasi komprehensif lewat Undang-Undang Pelindungan Data Pribadi (UU PDP) sejak 2022. UU tersebut mengatur ketat hak pemilik data serta ancaman sanksi bagi institusi yang lalai melindungi data pribadi.
Hambatan Implementasi UU PDP
Namun hingga kini, pelaksanaannya masih tersendat karena pemerintah belum membentuk Badan Pengawas Pelindungan Data Pribadi, sebagaimana diperintahkan UU. Lembaga pengawas tersebut seharusnya dibentuk setahun setelah UU terbit, tepatnya pada 17 Oktober 2024.
“Kemudian menggunakannya untuk tujuan lain, dan dia juga kehilangan dasar hukumnya untuk melanjutkan atau memproses data-data yang tidak relevan tadi,” ujar Parasurama.
Ia menegaskan, pengelola gedung seharusnya dapat mencari cara lain yang tidak berisiko bagi masyarakat, alih-alih mengumpulkan KTP atau melakukan pemindaian wajah. Termasuk menyediakan opsi agar pengunjung tetap bisa mengakses area gedung tanpa harus menyerahkan data sensitif.
Parasurama menekankan bahwa perlindungan privasi semestinya diberikan secara default dan by design, termasuk pada area terbatas seperti gedung perkantoran. Ia menyebut praktik ini serupa dengan platform digital yang mengharuskan pengguna memberikan data pribadi meski tidak relevan dengan layanan yang digunakan.
“Nah, itu sebenarnya merupakan bagian dari pelanggaran data, perlindungan data pribadi,” kata dia.
Risiko Kebocoran Data Menurut Pakar Siber
Secara terpisah, Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya, menegaskan bahwa foto selfie dan KTP bukan alat identifikasi resmi yang diakui oleh Dukcapil.
Alfons menilai risiko kebocoran data bergantung pada cara pengelola gedung menyimpan dan mengamankan data tersebut. Bila pengelolaan dilakukan secara tidak aman, data dapat dengan mudah bocor sehingga memicu penyalahgunaan.
“Lalu apakah itu aman atau tidak ya tergantung lah pengelola datanya, bagaimana dia menyimpan data itu. Kalau dia tidak menyimpan dengan aman ya kalau data bocor ya selesai juga,” jelas Alfons.
“Yang tidak selesai juga akan bocor datanya gitu loh. Beserta fotonya, mukanya, selfienya, yang tinggal dikerjain pakai AI kan, dipermak lagi,” tambahnya.
Editor: Tim BacaHukum
Sumber: dikutip dari CNBC Indonesia
