Jakarta, CNBC Indonesia - Praktik meninggalkan kartu tanda penduduk (KTP) atau diminta swafoto untuk bisa masuk ke gedung perkantoran dinilai berpotensi melanggar Undang-Undang Pelindungan Data Pribadi (UU PDP).
Sejumlah pakar menegaskan, kebiasaan yang dianggap lumrah itu justru mencerminkan ketidakpatuhan pengelola gedung terhadap prinsip dasar pelindungan data.
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM) Parasurama Pamungkas, menyebut pengumpulan data pribadi seperti KTP atau foto wajah untuk sekadar akses masuk gedung tidak relevan dengan aktivitas yang dilakukan pengunjung.
"Pengumpulan data pribadi yang sebenarnya tidak relevan dengan aktivitas yang kita lakukan, seperti masuk tower atau gedung, itu merupakan ketidakpatuhan terhadap prinsip-prinsip pelindungan data pribadi," kata Parasurama kepada CNBC Indonesia, dikutip Sabtu (10/1/2026).
Ia menegaskan, praktik tersebut bahkan dapat dikategorikan sebagai pelanggaran karena tidak memenuhi sejumlah prinsip utama UU PDP, salah satunya prinsip pembatasan tujuan dan relevansi data. Menurutnya, pengendali data tidak memiliki dasar hukum yang sah ketika mengumpulkan data pribadi yang tidak diperlukan, apalagi jika kemudian digunakan untuk tujuan lain.
"Ketika data itu tidak relevan dan digunakan untuk tujuan lain, pengendali data kehilangan dasar hukumnya untuk melanjutkan pemrosesan data tersebut," ujarnya.
Indonesia sendiri telah memiliki UU Pelindungan Data Pribadi sejak 2022 yang mengatur hak warga negara sebagai pemilik data, sekaligus ancaman sanksi bagi perusahaan maupun institusi pemerintah yang lalai. Namun, implementasi aturan ini masih dinilai lemah karena hingga kini pemerintah belum membentuk badan pengawas pelindungan data pribadi sebagaimana diperintahkan UU. Seharusnya, lembaga tersebut sudah berdiri paling lambat 17 Oktober 2024.
Parasurama menilai, pengelola gedung seharusnya dapat mencari mekanisme alternatif selain mengumpulkan KTP atau memindai wajah, yakni cara-cara yang tidak berisiko terhadap privasi masyarakat. Ia juga menekankan pentingnya menyediakan opsi agar akses publik tidak dibatasi hanya karena penolakan menyerahkan data pribadi.
"Privasi itu seharusnya diberikan secara default dan by design. Pelindungan data harus menjadi tanggung jawab pengelola area terbatas, termasuk gedung," tegasnya.
Ia menambahkan, praktik tersebut sejatinya serupa dengan pelanggaran di platform digital. "Ini sama seperti kita dipaksa menyerahkan data untuk menikmati layanan tertentu. Itu bagian dari pelanggaran pelindungan data pribadi," jelas Parasurama.
Senada, Pakar Keamanan Siber dari Vaksincom Alfons Tanujaya menegaskan, foto swafoto maupun KTP bukanlah alat identifikasi resmi yang diakui oleh Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil).
"Soal aman atau tidak, itu sangat bergantung pada pengelolaan datanya. Bagaimana data disimpan, apakah sistemnya aman atau tidak," ujar Alfons.
Ia mengingatkan, risiko kebocoran data sangat besar jika pengelola tidak memiliki sistem keamanan memadai.
"Kalau tidak disimpan dengan aman dan datanya bocor, ya selesai. Datanya bocor beserta fotonya, wajahnya, selfienya. Itu bisa disalahgunakan, apalagi sekarang dengan AI bisa dimanipulasi," pungkasnya.
(dce)
