Kebiasaan administratif yang mewajibkan pengunjung menyerahkan atau memfoto KTP demi keamanan gedung kini dinilai bertentangan dengan prinsip perlindungan data pribadi yang diatur dalam UU PDP.
Oleh: Hamdani S. Rukiah, SH, MH *
DI BANYAK gedung pemerintahan dan perkantoran swasta di Indonesia, kebiasaan meminta pengunjung untuk menyerahkan, difoto, atau meninggalkan Kartu Tanda Penduduk (KTP) di meja resepsionis masih dianggap hal lumrah. Prosedur ini konon demi keamanan. Namun di balik alasan administratif itu, terselip pelanggaran serius terhadap hak konstitusional atas privasi dan perlindungan data pribadi.
Kebiasaan itu kini layak dikaji ulang. Sebab sejak berlakunya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), wajah hukum Indonesia telah berubah. Negara kini menempatkan data pribadi, termasuk nomor induk kependudukan (NIK), foto wajah, dan salinan KTP, sebagai sesuatu yang dilindungi secara hukum setara dengan hak milik atau hak privasi seseorang.
Antara Keamanan dan Pelanggaran
Tidak ada yang menolak pentingnya keamanan di gedung publik. Tetapi, prinsip hukum menuntut proporsionalitas. Pengumpulan data harus relevan dan terbatas pada tujuan yang jelas. Pasal 20 huruf (a) UU PDP secara tegas menyatakan bahwa pengendali data pribadi hanya boleh memproses data untuk tujuan yang spesifik, eksplisit, dan sah.
Baca juga: Hukum di Usia 101, Saat Pasal Bertemu Algoritma
Pertanyaannya, apakah menyerahkan KTP fisik, lengkap dengan NIK, alamat, dan tanda tanga, benar-benar relevan untuk sekadar mengakses sebuah gedung? Bukankah cukup dengan verifikasi nama dan tujuan kunjungan yang tidak perlu menyentuh ranah identitas penuh?
Lebih dari sekadar praktik administratif, menyimpan atau memfoto KTP tanpa dasar hukum dan tanpa persetujuan eksplisit dapat dikategorikan sebagai bentuk pemrosesan data pribadi yang melanggar hukum.
Dasar Hukum yang Sering Diabaikan
UU PDP menegaskan beberapa prinsip utama yang dilanggar dalam praktik ini:
- Prinsip Keterbatasan Tujuan (Purpose Limitation) – Data pribadi hanya boleh dikumpulkan untuk tujuan tertentu yang sah dan relevan. Menyimpan KTP untuk “keamanan umum” tanpa dasar hukum tidak memenuhi kriteria ini.
- Prinsip Minimalisasi Data (Data Minimization) – Hanya data yang benar-benar diperlukan yang boleh diminta. Mengambil seluruh identitas untuk tujuan sementara jelas berlebihan.
- Prinsip Keabsahan Pemrosesan (Lawfulness) – Pemrosesan data harus didasarkan pada persetujuan eksplisit subjek data. Menyerahkan KTP di bawah tekanan administratif bukanlah bentuk persetujuan yang sah.
- Prinsip Akuntabilitas (Accountability) – Pengendali data (dalam hal ini pengelola gedung) wajib menjamin keamanan penyimpanan dan pembuangan data. Pertanyaannya, ke mana semua salinan KTP itu berakhir setelah pengunjung pergi?
Pelanggarnya bisa dijerat pidana. Pasal 67–70 UU PDP mengatur sanksi administratif, denda miliaran rupiah, hingga pidana penjara bagi pihak yang memproses atau menyebarkan data pribadi tanpa dasar hukum.
Dimensi Etika dan Risiko Nyata
Secara etika, praktik menyerahkan KTP di resepsionis menempatkan warga dalam posisi rentan. Banyak kasus kebocoran data di Indonesia berawal dari tempat-tempat sederhana. Salinan KTP yang tercecer, difoto, atau dijadikan basis verifikasi palsu untuk pinjaman online dan registrasi akun.
Baca juga: AI Melaju, Hukum Masih Tertinggal: Jangan Ulangi Tragedi Robot Trading
Lebih mengkhawatirkan lagi, data yang tampak “biasa” seperti foto wajah dan NIK kini dapat digunakan untuk deepfake atau pemalsuan biometrik berbasis AI. Dalam konteks itu, risiko penyalahgunaan meningkat ribuan kali lipat. Sementara masyarakat belum sepenuhnya sadar akan nilainya.
Solusi, Privasi by Design
Sudah saatnya gedung-gedung di Indonesia menerapkan “privacy by design”, sebagaimana dianjurkan oleh Pasal 3 UU PDP. Artinya, sistem keamanan dan prosedur tamu harus dirancang sejak awal dengan mempertimbangkan perlindungan data pribadi.
Daripada menumpuk KTP, pengelola dapat menggunakan pendaftaran digital sementara, kode QR berbasis izin satu kali, atau pencatatan nama dan kontak tanpa menyimpan identitas sensitif.
Beberapa gedung internasional bahkan hanya menggunakan notifikasi digital dari tuan rumah untuk membuka akses sementara tanpa perlu data biometrik.
Menegakkan privasi bukan berarti melemahkan keamanan. Justru, keamanan sejati adalah ketika hak dasar individu terlindungi. Gedung aman bukan karena menimbun data, melainkan karena mengelolanya dengan bijak.
Baca juga: Surat Edaran Bukan Hukum yang Mengikat
Kebiasaan meninggalkan KTP di meja resepsionis adalah warisan dari masa ketika privasi belum dianggap hak hukum. Kini, dengan hadirnya UU PDP, setiap tindakan pengumpulan data harus tunduk pada prinsip hukum dan etika digital.
Sudah saatnya pemerintah dan sektor swasta introspeksi. Jika tidak segera berubah, praktik sederhana seperti menyerahkan KTP di resepsionis bisa menjadi bom waktu hukum dan reputasi bagi lembaga mana pun.
Dan bagi warga, sudah waktunya berani berkata, “KTP saya bukan tiket masuk. Itu data pribadi saya.” ***
- Hamdani S Rukiah, SH, MH, adalah Pemimpin Redaksi mulamula.id.
(Tulisan ini merupakan opini pribadi penulis tentang urgensi menata ulang praktik administratif yang mengancam privasi warga).
Dapatkan informasi menarik lainnya dengan bergabung di WhatsApp Channel Mulamula.id dengan klik tautan ini.