KTP Difoto di Gedung Perkantoran? Praktik Ini Melanggar Undang-Undang

Setiap kali berkunjung ke gedung perkantoran di kota besar, Anda mungkin menjumpai prosedur yang sudah dianggap lumrah: resepsionis atau petugas keamanan meminta Kartu Tanda Penduduk (KTP), lalu memfo...

Jul 12, 2026 - 11:28
0 0
KTP Difoto di Gedung Perkantoran? Praktik Ini Melanggar Undang-Undang

Setiap kali berkunjung ke gedung perkantoran di kota besar, Anda mungkin menjumpai prosedur yang sudah dianggap lumrah: resepsionis atau petugas keamanan meminta Kartu Tanda Penduduk (KTP), lalu memfotokopi atau memotretnya menggunakan ponsel. Sekilas tampak seperti langkah administratif wajar demi keamanan. Namun di balik rutinitas tersebut tersimpan persoalan serius yang menyentuh ranah hukum dan hak fundamental warga negara. Praktik pengumpulan data identitas tanpa kerangka perlindungan yang ketat bukan hanya berisiko membocorkan informasi pribadi Anda, tetapi secara langsung bertabrakan dengan Undang-Undang Pelindungan Data Pribadi (UU PDP) yang telah berlaku di Indonesia.

Payung Hukum yang Terlupakan di Balik Meja Resepsionis

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi hadir sebagai tonggak regulasi pertama yang secara komprehensif mengatur tata kelola data milik individu. Regulasi ini menetapkan bahwa setiap entitas, baik publik maupun swasta, wajib memperoleh persetujuan eksplisit (explicit consent) dari pemilik data sebelum melakukan pengumpulan, pemrosesan, atau penyimpanan informasi personal. Nomor Induk Kependudukan (NIK), alamat lengkap, foto wajah, hingga tanda tangan yang tertera pada KTP merupakan kategori data pribadi spesifik yang memerlukan perlindungan berlapis. Ketika petugas gedung begitu saja mengambil gambar KTP tanpa menjelaskan tujuan, dasar hukum, jangka waktu penyimpanan, serta mekanisme penghapusan data, maka proses tersebut telah menyimpang dari prinsip transparansi dan akuntabilitas yang menjadi fondasi UU PDP.

Lebih jauh, Pasal 20 dan Pasal 21 UU PDP mewajibkan pengendali data untuk memiliki dasar pemrosesan yang sah. Dasar tersebut meliputi persetujuan yang sah dari subjek data, pemenuhan kewajiban kontraktual, atau kepentingan hukum lainnya yang diakui. Realita di lapangan menunjukkan bahwa permintaan KTP di lobi gedung sering kali dilakukan tanpa penjelasan memadai, tanpa formulir persetujuan, dan tanpa infrastruktur keamanan data yang memenuhi standar. Ibarat menitipkan kunci rumah kepada orang asing tanpa tahu di mana kunci itu akan disimpan atau siapa saja yang dapat mengaksesnya—begitulah gambaran risiko yang ditanggung warga setiap kali KTP mereka difotokopi atau difoto oleh pihak pengelola gedung.

Mekanisme Pengumpulan yang Rentan dan Ancaman Kebocoran Masif

Dari perspektif keamanan siber, pola pengumpulan data identitas di gedung perkantoran menyimpan celah yang mengkhawatirkan. KTP yang difoto menggunakan ponsel pribadi petugas atau disimpan di komputer resepsionis tanpa enkripsi menciptakan rantai penyimpanan yang tidak terlacak. Data tersebut dapat berpindah ke aplikasi pesan instan untuk keperluan koordinasi internal, tersimpan di galeri ponsel tanpa perlindungan kata sandi, atau bahkan berakhir di server penyedia layanan komputasi awan (cloud storage) yang lokasi fisiknya berada di luar yurisdiksi Indonesia. Setiap titik dalam rantai ini merupakan permukaan serangan (attack surface) yang dapat dieksploitasi oleh pelaku kejahatan siber.

Data statistik memperkuat kekhawatiran ini. Berdasarkan laporan Badan Siber dan Sandi Negara (BSSN), sepanjang tahun 2024 tercatat lebih dari 700 juta anomali lalu lintas siber yang mengarah ke berbagai sektor di Indonesia, dengan sektor administrasi pemerintahan dan swasta menjadi target utama. Ketika KTP yang memuat NIK, nama ibu kandung, alamat domisili, dan data biometrik wajah jatuh ke tangan yang salah, konsekuensinya melampaui sekadar spam telepon. Pelaku dapat memanfaatkan data tersebut untuk pengajuan pinjaman daring ilegal, registrasi kartu SIM tanpa sepengetahuan pemilik, pencucian uang melalui rekening fiktif, hingga penipuan identitas sintetis (synthetic identity fraud) yang menggabungkan informasi nyata dengan data rekayasa. Skala kerugian ekonomi akibat kejahatan berbasis pencurian identitas di Indonesia diperkirakan mencapai triliunan rupiah per tahun.

Persoalan menjadi semakin kompleks karena banyak pengelola gedung memberlakukan kebijakan penyimpanan KTP tanpa batas waktu retensi yang jelas. Data identitas pengunjung bisa saja mengendap di arsip digital mereka selama berbulan-bulan atau bahkan bertahun-tahun tanpa adanya audit berkala. Padahal, prinsip minimalisasi data (data minimization) yang diatur dalam UU PDP menegaskan bahwa data pribadi hanya boleh disimpan selama periode yang diperlukan untuk mencapai tujuan awal pengumpulannya. Ketika tujuan pengecekan identitas telah terpenuhi—yakni saat pengunjung telah meninggalkan gedung dengan selamat—maka kewajiban penghapusan data seharusnya langsung berlaku.

Antara Kebutuhan Keamanan dan Kewajiban Melindungi Privasi

Argumen yang kerap diajukan oleh pengelola gedung adalah bahwa pencatatan identitas merupakan prosedur standar untuk menjaga keamanan aset dan penghuni. Hal ini memang tidak sepenuhnya keliru. Namun UU PDP tidak dimaksudkan untuk menghalangi upaya keamanan yang sah, melainkan memastikan bahwa upaya tersebut dijalankan secara proporsional dan patuh hukum. Solusi tengah dapat diwujudkan melalui adopsi sistem pencatatan pengunjung yang mematuhi prinsip privacy by design. Misalnya, verifikasi identitas dapat dilakukan secara real-time tanpa menyimpan salinan KTP secara permanen. Pengelola dapat menggunakan perangkat pemindai yang hanya mencocokkan nama dan foto dengan database referensi tanpa merekam seluruh data yang tertera pada kartu. Alternatif lainnya berupa pemberian kartu pengunjung sementara berbasis kode QR yang kedaluwarsa secara otomatis setelah durasi kunjungan berakhir.

Kesadaran masyarakat juga menjadi kunci. Warga berhak menanyakan kepada petugas mengenai dasar hukum, tujuan pengumpulan, dan kebijakan retensi data sebelum menyerahkan KTP mereka. Sikap kritis ini bukan bentuk resistensi terhadap aturan, melainkan perwujudan hak yang dilindungi undang-undang. Perusahaan dan pengelola fasilitas publik pun perlu segera menyesuaikan prosedur operasional standar mereka agar selaras dengan UU PDP, termasuk menyusun dokumentasi Data Protection Impact Assessment (DPIA) untuk aktivitas pemrosesan data berskala besar. Dengan pendekatan yang seimbang antara kebutuhan keamanan dan perlindungan privasi, gedung perkantoran dapat tetap menjadi ruang yang aman tanpa harus mengorbankan hak konstitusional setiap warga negara atas data pribadinya.

Baca juga:

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Wow Wow 0
Sad Sad 0
Angry Angry 0

Comments (0)

User