Meminta KTP dan memfoto pengunjung saat masuk gedung kerap dianggap wajar demi keamanan. Namun, praktik yang terlihat sederhana ini bisa berubah jadi persoalan hukum jika data yang dikumpulkan tidak relevan dengan tujuan akses.
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, menilai pengambilan data seperti KTP, foto wajah, atau selfie untuk sekadar masuk tower menunjukkan ketidakpatuhan terhadap prinsip pelindungan data pribadi. Menurut dia, pengumpulan data harus punya tujuan yang terbatas, relevan, dan sah.
Data yang dipakai di luar tujuan awal berisiko
Parasurama menjelaskan, pelanggaran muncul saat data pribadi dikumpulkan untuk tujuan yang tidak sesuai dengan kebutuhan akses. Jika data itu kemudian dipakai untuk kepentingan lain, pengendali data juga kehilangan dasar hukum untuk memprosesnya lebih lanjut.
Ia menekankan bahwa pengelola gedung semestinya mencari cara lain yang tidak berisiko bagi masyarakat. Opsi akses yang tidak membatasi aktivitas warga menjadi penting agar perlindungan privasi tetap berjalan tanpa mengganggu kepentingan umum.
Parasurama juga menyebut privasi semestinya tersedia secara default dan by design. Artinya, perlindungan data perlu dipasang sejak awal sebagai bagian dari sistem, bukan hanya setelah data terkumpul.
Aturan sudah ada, pengawasan belum sepenuhnya terbentuk
Indonesia sebenarnya sudah memiliki Undang-Undang Pelindungan Data Pribadi sejak 2022. Aturan itu mengatur hak warga sebagai pemilik data pribadi dan memuat ancaman sanksi bagi perusahaan maupun institusi pemerintah yang lalai melindungi data.
Meski begitu, pelaksanaannya belum berjalan mulus karena pemerintah belum membentuk badan pengawas pelindungan data pribadi yang seharusnya berdiri satu tahun sejak UU diterbitkan, yakni pada 17 Oktober 2024. Kondisi ini membuat perhatian terhadap praktik pengumpulan KTP dan foto di gedung menjadi semakin relevan.
Foto selfie dan KTP juga menyimpan risiko teknis
Pakar Keamanan Siber Vaksincom, Alfons Tanujaya, mengingatkan bahwa foto selfie dan KTP bukan alat identifikasi yang diakui menurut Dukcapil. Ia menilai masalah utamanya tetap ada pada cara pengelola menyimpan data tersebut.
Alfons mengatakan keamanan data sangat bergantung pada pengelolaan. Jika penyimpanan tidak aman, kebocoran bisa berdampak luas karena yang tersimpan bukan hanya nomor identitas, tetapi juga foto wajah dan selfie pengunjung.
Ia juga mengingatkan bahwa data yang bocor dapat dimanfaatkan lebih jauh dengan teknologi AI. Wajah, foto, dan data pendukung lain bisa diproses ulang untuk kepentingan yang merugikan pemilik data.
Pengunjung perlu lebih waspada saat diminta menyerahkan data
Kebiasaan menyerahkan KTP dan difoto saat masuk gedung tidak otomatis aman hanya karena terlihat sebagai prosedur standar. Saat pengelola tidak bisa menjelaskan relevansi data yang diminta, risiko pelanggaran pelindungan data pribadi ikut meningkat.
Karena itu, publik perlu lebih waspada ketika diminta menyerahkan identitas dan wajah untuk akses yang sebenarnya tidak memerlukan data sedetail itu. Di sisi lain, pengelola gedung juga dituntut menyesuaikan prosedur keamanan agar tetap melindungi privasi tanpa mengumpulkan data berlebihan.
