MAHASUARA, JAKARTA – Praktik penyerahan kartu identitas seperti KTP di meja front office saat memasuki gedung publik maupun perkantoran kini menjadi sorotan.
Kebiasaan yang selama ini dianggap prosedur keamanan standar tersebut dinilai berpotensi melanggar Undang-Undang Perlindungan Data Pribadi (UU PDP) yang telah disahkan sejak 2022.
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, menilai pengumpulan data identitas yang tidak relevan dengan kebutuhan utama akses gedung dapat dikategorikan sebagai bentuk ketidakpatuhan terhadap prinsip dasar perlindungan data pribadi.
“Pengumpulan data pribadi yang sebenarnya tidak relevan dengan aktivitas yang kita lakukan, seperti masuk gedung, itu merupakan ketidakpatuhan terhadap prinsip-prinsip perlindungan data pribadi,” ujar Parasurama.
Ia menjelaskan bahwa salah satu prinsip utama dalam UU PDP adalah pembatasan tujuan (purpose limitation), yakni data pribadi hanya boleh dikumpulkan untuk tujuan yang jelas, spesifik, dan relevan.
Dalam banyak kasus, menurutnya, pengumpulan KTP atau pemindaian wajah di pintu masuk gedung kerap tidak memiliki urgensi yang sebanding dengan data yang diminta.
Parasurama juga menyoroti adanya potensi penyalahgunaan data apabila pengelola gedung tidak memiliki sistem perlindungan yang memadai.
Data yang terkumpul, termasuk foto identitas dan data biometrik, dapat disimpan tanpa standar keamanan yang ketat dan berisiko bocor atau digunakan untuk tujuan lain di luar izin awal.
“Pengendali data tidak memenuhi unsur keabsahan karena data yang dikumpulkan tidak selalu relevan, bahkan berpotensi digunakan untuk kepentingan lain di luar tujuan awal,” tambahnya.
Indonesia sendiri telah memiliki UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi yang mengatur hak masyarakat sebagai pemilik data sekaligus kewajiban pengendali data, baik institusi swasta maupun pemerintah.
Regulasi tersebut juga mengatur sanksi bagi pihak yang lalai dalam pengelolaan data pribadi.
Namun, implementasi aturan tersebut dinilai masih menghadapi hambatan serius.
Salah satunya adalah belum terbentuknya lembaga pengawas pelindungan data pribadi sebagaimana diamanatkan dalam undang-undang.
Padahal, lembaga tersebut seharusnya sudah dibentuk paling lambat satu tahun setelah UU disahkan.
Ketiadaan otoritas pengawas ini dinilai membuat pengawasan terhadap praktik pengumpulan data di lapangan belum berjalan optimal, termasuk di area publik seperti gedung perkantoran, pusat perbelanjaan, hingga fasilitas layanan umum lainnya.
Parasurama menegaskan bahwa prinsip perlindungan data modern seharusnya menerapkan konsep privacy by design dan privacy by default, di mana perlindungan privasi sudah melekat sejak sistem dirancang, bukan hanya ditambahkan di kemudian hari.
“Privasi harusnya bisa diberikan secara default. Pengelola gedung seharusnya mencari cara lain selain mengumpulkan KTP atau biometrik yang berisiko,” tegasnya.
Sementara itu, Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya, menyoroti aspek teknis dari pengumpulan data tersebut.
Ia menilai penggunaan KTP maupun foto selfie sebagai alat verifikasi di gedung bukanlah metode identifikasi resmi yang diakui secara administratif oleh Dukcapil.
Menurut Alfons, persoalan utama bukan hanya pada pengumpulan data, tetapi pada bagaimana data tersebut dikelola dan diamankan setelah dikumpulkan.
“Kalau soal keamanan itu tergantung pengelolanya. Bagaimana dia menyimpan data tersebut. Kalau tidak aman, maka risiko kebocoran tetap ada,” ujarnya.
Ia juga mengingatkan bahwa kebocoran data identitas, termasuk foto wajah, dapat menimbulkan risiko serius di era kecerdasan buatan. Data yang bocor dapat dimanfaatkan untuk manipulasi digital atau penipuan berbasis AI.
“Data wajah dan identitas bisa saja dipakai ulang dengan teknologi AI untuk tujuan yang tidak bertanggung jawab,” katanya.
Fenomena ini memunculkan kembali perdebatan mengenai batas antara keamanan gedung dan perlindungan privasi warga.
Di satu sisi, pengelola gedung beralasan langkah tersebut penting untuk keamanan.
Namun di sisi lain, para ahli menilai praktik tersebut perlu ditinjau ulang agar tidak bertentangan dengan prinsip hukum perlindungan data pribadi yang berlaku di Indonesia. (*)
Pewarta: Ahmad
