JAKARTA -- Praktik penukaran kartu tanda penduduk (KTP), pemindaian identitas, hingga pengambilan foto selfie saat memasuki gedung perkantoran, apartemen, kawasan bisnis, maupun area tertentu masih kerap ditemui di berbagai daerah di Indonesia.

Baca juga: Pastikan Pelayanan Prima untuk Ribuan Pelari dan Wisatawan, Bupati Vandiko Tinjau UMKM TOTK 2026

Meski selama ini dianggap sebagai prosedur keamanan yang wajar, para pemerhati perlindungan data pribadi mengingatkan bahwa pengumpulan data semacam itu tidak bisa dilakukan secara sembarangan. Jika tidak memenuhi ketentuan hukum yang berlaku, praktik tersebut berpotensi melanggar Undang-Undang Pelindungan Data Pribadi (UU PDP).

Baca juga: Bapemperda DPRD Kota Bandung Cek Kesiapan Pembangunan Gedung Baru RSUD Kota Bandung

Peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, menilai pengumpulan data pribadi yang tidak relevan dengan tujuan aktivitas pengunjung merupakan bentuk ketidakpatuhan terhadap prinsip perlindungan data pribadi.

Baca juga: Diduga, Whell Loader Milik PT Belawan Indah (BI) Lakukan Pengerusakan Pembangunan Tembok Milik PT SBP

Menurutnya, masih banyak pengelola gedung yang meminta data berlebihan tanpa menjelaskan secara rinci alasan, tujuan, maupun dasar hukum pengumpulannya.

Baca juga: Dukung program "UMKM Sumut Berkah", Bupati Samosir Vandico Gultom hadiri pembukaan Pekan Inovasi dan Investasi Sumatera Utara tahun 2026

"Nah, pengumpulan data pribadi yang sebenarnya tidak relevan dengan aktivitas yang kita lakukan, seperti masuk tower, kemudian daftar akun, itu merupakan sebenarnya ketidakpatuhan pengontrolan terhadap prinsip-prinsip pelindungan data pribadi," kata Parasurama.

Ia menjelaskan bahwa dalam prinsip perlindungan data pribadi, setiap pengumpulan data harus memiliki tujuan yang jelas, terbatas, serta relevan dengan layanan yang diberikan.

Ketika seseorang hanya ingin mengunjungi sebuah gedung atau menghadiri pertemuan, pengambilan data biometrik berupa foto wajah maupun salinan KTP secara permanen belum tentu diperlukan.

Karena itu, pengumpulan data yang tidak memiliki relevansi dengan tujuan layanan dapat dianggap sebagai pelanggaran terhadap prinsip dasar perlindungan data.

Parasurama juga menyoroti persoalan dasar hukum dalam pemrosesan data pribadi. Menurutnya, apabila data dikumpulkan tanpa alasan yang sah atau digunakan untuk tujuan lain di luar kepentingan keamanan akses gedung, maka pengendali data dapat kehilangan legitimasi untuk menyimpan maupun memproses data tersebut.

Indonesia sendiri telah memiliki payung hukum melalui Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Regulasi tersebut mengatur hak-hak warga negara sebagai pemilik data pribadi sekaligus menetapkan kewajiban bagi perusahaan, lembaga, maupun instansi pemerintah yang mengelola data masyarakat.

Namun hingga kini, implementasi UU PDP dinilai belum berjalan optimal karena badan pengawas pelindungan data pribadi yang diamanatkan undang-undang belum terbentuk.

Padahal, berdasarkan ketentuan UU PDP, lembaga pengawas tersebut seharusnya sudah berdiri paling lambat satu tahun setelah undang-undang diundangkan.

Menurut Parasurama, pengelola gedung seharusnya mulai mencari alternatif sistem keamanan yang lebih ramah privasi dan tidak mengharuskan pengumpulan data sensitif dalam jumlah besar.

Ia menekankan bahwa perlindungan privasi seharusnya menjadi desain utama dalam setiap sistem keamanan yang diterapkan.

Prinsip tersebut dikenal dengan istilah privacy by design dan privacy by default, yaitu pendekatan yang memastikan perlindungan data sudah menjadi bagian dari sistem sejak awal, bukan sekadar tambahan setelah sistem berjalan.

"Nah, itu sebenarnya merupakan bagian dari pelanggaran data, perlindungan data pribadi," ujarnya.

Sementara itu, Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya, mengingatkan bahwa foto selfie dan salinan KTP bukanlah metode identifikasi resmi yang diakui oleh Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil).

Menurut Alfons, risiko terbesar bukan hanya terletak pada proses pengumpulan data, tetapi juga pada bagaimana data tersebut disimpan dan diamankan oleh pengelola gedung.

Jika sistem keamanan penyimpanan tidak memadai, maka data pribadi yang terkumpul berpotensi mengalami kebocoran dan disalahgunakan oleh pihak yang tidak bertanggung jawab.

"Lalu apakah itu aman atau tidak ya tergantung lah pengelola datanya, bagaimana dia menyimpan data itu. Kalau dia tidak menyimpan dengan aman ya kalau data bocor ya selesai juga," kata Alfons.

Ia juga mengingatkan bahwa perkembangan teknologi kecerdasan buatan (AI) membuat foto wajah menjadi aset yang sangat sensitif. Jika data tersebut jatuh ke tangan yang salah, foto dapat dimanfaatkan untuk berbagai bentuk manipulasi digital, termasuk pemalsuan identitas.

Risiko yang mungkin muncul antara lain:

Pencurian identitas digital.

Penyalahgunaan data untuk pembukaan akun ilegal.

Pemalsuan dokumen berbasis AI.

Penipuan menggunakan teknologi deepfake.

Kebocoran data pribadi ke pihak ketiga.

Karena itu, masyarakat diimbau lebih kritis ketika diminta menyerahkan KTP atau melakukan foto selfie saat memasuki suatu area.

Pengunjung berhak menanyakan tujuan pengumpulan data, jangka waktu penyimpanan, pihak yang akan mengakses data tersebut, serta mekanisme penghapusannya setelah data tidak lagi diperlukan.

Di tengah meningkatnya kasus kebocoran data pribadi dalam beberapa tahun terakhir, kesadaran akan hak privasi menjadi semakin penting agar masyarakat tidak menyerahkan informasi sensitif tanpa perlindungan yang memadai.

(Wy/Red)

Bagikan: