Praktik meminta KTP dan memfoto pengunjung saat masuk gedung masih sering dianggap wajar sebagai bagian dari keamanan. Namun, langkah itu bisa berubah menjadi masalah hukum bila data yang dikumpulkan tidak relevan dengan tujuan akses yang diberikan.
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, menilai pengambilan data seperti KTP, foto wajah, atau selfie untuk sekadar masuk tower dapat mencerminkan ketidakpatuhan terhadap prinsip pelindungan data pribadi. Ia menegaskan bahwa pengumpulan data harus punya tujuan yang terbatas, relevan, dan sah.
Risiko saat data dipakai di luar tujuan
Menurut Parasurama, pelanggaran muncul ketika data pribadi dikumpulkan untuk tujuan yang tidak sesuai dengan kebutuhan akses. Jika data itu kemudian dipakai untuk kepentingan lain, pengendali data juga kehilangan dasar hukum untuk memprosesnya lebih lanjut.
Ia juga menyoroti bahwa pengelola gedung seharusnya mencari cara lain yang tidak berisiko bagi masyarakat. Opsi akses yang tidak membatasi aktivitas warga menjadi penting agar perlindungan privasi tetap berjalan tanpa mengganggu kepentingan umum.
Parasurama menilai privasi semestinya tersedia secara default dan by design. Artinya, pengelola area terbatas termasuk gedung perlu menempatkan perlindungan data sebagai bagian dari sistem sejak awal, bukan sekadar tambahan setelah data terkumpul.
Sudah ada UU, tapi pengawasan masih tersendat
Indonesia sebenarnya telah memiliki Undang-Undang Pelindungan Data Pribadi sejak 2022. Aturan ini mengatur hak warga sebagai pemilik data pribadi sekaligus memuat ancaman sanksi bagi perusahaan maupun institusi pemerintah yang lalai melindungi data.
Meski begitu, pelaksanaannya belum berjalan mulus. Pemerintah belum membentuk badan pengawas pelindungan data pribadi yang seharusnya berdiri satu tahun sejak UU diterbitkan, yakni pada 17 Oktober 2024.
Kondisi ini membuat sorotan terhadap praktik pengumpulan KTP dan foto di gedung menjadi semakin relevan. Sebab, aturan sudah ada, tetapi mekanisme pengawasan yang dijanjikan belum sepenuhnya terbentuk.
Foto selfie dan KTP bukan identitas resmi
Dari sisi teknis, Pakar Keamanan Siber Vaksincom, Alfons Tanujaya, mengingatkan bahwa foto selfie dan KTP bukan alat identifikasi yang diakui menurut Dukcapil. Ia menilai persoalan utamanya tetap ada pada cara pengelola menyimpan data tersebut.
Alfons mengatakan keamanan data sangat bergantung pada pengelolaan. Jika penyimpanan tidak aman, kebocoran data bisa berdampak luas karena bukan hanya nomor identitas yang tersimpan, tetapi juga foto wajah dan selfie pengunjung.
Ia juga mengingatkan bahwa data yang bocor dapat dimanfaatkan lebih jauh dengan teknologi AI. Wajah, foto, dan data pendukung lain bisa diproses ulang untuk kepentingan yang merugikan pemilik data.
Pengunjung perlu lebih waspada
Kebiasaan menyerahkan KTP dan difoto saat masuk gedung tidak selalu aman hanya karena terlihat sebagai prosedur standar. Saat pengelola tidak bisa menjelaskan relevansi data yang diminta, risiko pelanggaran perlindungan data pribadi ikut meningkat.
Karena itu, publik perlu lebih waspada saat diminta menyerahkan identitas dan wajah untuk akses yang sebenarnya tidak memerlukan data sedetail itu. Di sisi lain, pengelola gedung juga dituntut menyesuaikan prosedur keamanan agar tetap melindungi privasi tanpa mengumpulkan data berlebihan.