Dimintai KTP Saat Masuk Gedung? Pengumpulan Data Pribadi Melanggar UU PDP
Uptodai.com - Praktik umum di banyak gedung perkantoran atau area terbatas yang mewajibkan pengunjung menyerahkan KTP atau difoto saat masuk ternyata berpotensi besar melanggar hukum. Langkah-langkah ini, khususnya pengumpulan data pribadi melanggar UU PDP (Undang-Undang Perlindungan Data Pribadi), dinilai sebagai bentuk ketidakpatuhan serius terhadap prinsip privasi warga negara.
Para ahli menyoroti bahwa tindakan tersebut seringkali tidak relevan dengan tujuan keamanan yang diklaim oleh manajemen gedung. Data yang diminta, seperti nomor identitas lengkap atau pemindaian wajah, jauh melampaui kebutuhan sederhana untuk mencatat waktu dan tujuan kunjungan.
Analisis Pelanggaran Prinsip Perlindungan Data
Parasurama Pamungkas, seorang peneliti dari Lembaga Studi & Advokasi Masyarakat (ELSAM), menegaskan bahwa pengumpulan data yang tidak relevan adalah inti masalahnya. Menurutnya, jika aktivitas yang dilakukan hanya sekadar masuk ke sebuah menara perkantoran atau mendaftar akun sederhana, data KTP yang bersifat sensitif tidak diperlukan.
Ia menilai bahwa praktik ini menunjukkan ketidakpatuhan pengontrol data terhadap prinsip-prinsip dasar pelindungan data pribadi. Salah satu prinsip utama yang dilanggar adalah tujuan pengumpulan data harus terbatas, spesifik, dan relevan dengan aktivitas yang dilakukan oleh subjek data.
Lebih lanjut, pengendali data (dalam hal ini pengelola gedung) dinilai kehilangan dasar hukumnya untuk memproses data-data yang tidak relevan tadi. Mereka berisiko menggunakan informasi sensitif tersebut untuk tujuan lain di luar konteks keamanan gedung, yang secara eksplisit dilarang oleh UU PDP.
Mandat UU PDP yang Tersendat: Kewajiban Pengelola Gedung
Indonesia sebenarnya telah memiliki payung hukum yang kuat melalui Undang-Undang Perlindungan Data Pribadi (UU PDP) yang disahkan pada tahun 2022. Regulasi ini secara ketat mengatur hak-hak warga negara sebagai pemilik data pribadi dan menjanjikan sanksi berat bagi institusi yang lalai melindungi data.
Sayangnya, pelaksanaan UU ini berjalan tersendat lantaran pemerintah belum mendirikan badan pengawas pelindungan data pribadi seperti yang diperintahkan. Badan pengawas tersebut seharusnya sudah berdiri sejak 17 Oktober 2024, setahun setelah UU diterbitkan, untuk memastikan kewajiban pengelola gedung dan perusahaan dipatuhi.
Ketiadaan badan pengawas ini membuat pengawasan dan penegakan hukum terhadap pelanggaran data menjadi kurang optimal. Hal ini memberikan celah bagi manajemen properti untuk terus menerapkan prosedur yang berisiko tanpa adanya sanksi yang jelas dan cepat.
Solusi Alternatif dan Risiko Keamanan Siber
Pihak pengelola gedung seharusnya bisa mencari solusi identifikasi pengunjung yang minim risiko dan tidak bersifat invasif. Mereka harus menyediakan opsi yang tidak membatasi akses publik sekaligus tidak memaksa pengunjung menyerahkan data sensitif seperti nomor KTP atau pemindaian biometrik.
Parasurama menekankan bahwa privasi harus diberikan secara *default* dan *by design* oleh pengelola area terbatas. Prinsip ini berarti perlindungan data sudah menjadi standar bawaan dalam setiap prosedur, bukan sekadar tambahan opsional yang bisa diabaikan.
Sementara itu, Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya, mengingatkan bahwa KTP dan foto *selfie* yang dikumpulkan bukanlah alat identifikasi yang diakui secara resmi menurut Dukcapil. Oleh karena itu, keabsahan penggunaan data tersebut sebagai alat keamanan patut dipertanyakan.
Keamanan data tersebut sepenuhnya bergantung pada cara pengelola gedung menyimpannya dan mengelolanya. Jika data KTP atau foto wajah disimpan tanpa enkripsi yang memadai atau diakses oleh pihak yang tidak berwenang, risiko kebocoran data sangat tinggi.
Oleh karena itu, masyarakat harus semakin waspada terhadap praktik perlindungan data pribadi di gedung yang tidak transparan. Konsumen dan pengunjung memiliki hak untuk menolak menyerahkan data yang tidak relevan dan menuntut opsi keamanan yang lebih menghargai privasi.