Pemindaian Identitas di Lobi Kantor: Praktik Sepele yang Melanggar Undang-Undang
Setiap pagi, ribuan orang melintasi lobi gedung perkantoran di kota-kota besar Indonesia. Mereka datang untuk rapat, wawancara kerja, mengantar dokumen, atau sekadar bertemu kolega. Di meja resepsioni...
Setiap pagi, ribuan orang melintasi lobi gedung perkantoran di kota-kota besar Indonesia. Mereka datang untuk rapat, wawancara kerja, mengantar dokumen, atau sekadar bertemu kolega. Di meja resepsionis, satu permintaan yang kini nyaris menjadi ritual: "Boleh lihat KTP-nya, Pak/Bu?" Tidak hanya dilihat, kartu identitas itu kerap difotokopi, difoto dengan ponsel petugas keamanan, atau dipindai melalui perangkat digital. Tangan Anda menyerahkan selembar plastik kecil yang memuat nama lengkap, nomor induk kependudukan (NIK), alamat, tanggal lahir, hingga tanda tangan—dan Anda tidak pernah tahu ke mana data itu benar-benar pergi.
Praktik yang tampak administratif dan tidak berbahaya ini menyimpan bom waktu yang jauh lebih besar dari yang dibayangkan kebanyakan orang. Ibarat memberikan kunci rumah beserta denah seluruh isinya kepada orang asing yang berjanji akan menjaganya—tetapi Anda tidak pernah diberi tahu di mana kunci itu disimpan, siapa yang bisa menyalinnya, dan kapan janji itu bisa berubah menjadi penyalahgunaan.
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang mulai berlaku penuh pada Oktober 2024 secara eksplisit mengatur bagaimana data pribadi—khususnya data yang bersifat spesifik seperti NIK dan data biometrik—harus dikumpulkan, disimpan, dan diproses. Setiap pemrosesan data memerlukan dasar hukum yang sah: persetujuan eksplisit dari pemilik data, kepentingan yang diatur undang-undang, atau kewajiban kontraktual. Meminta dan menggandakan KTP di lobi gedung tanpa pemberitahuan tujuan yang jelas dan tanpa persetujuan tertulis adalah bentuk pelanggaran yang nyata.
Apa Kata Undang-Undang: Mengupas Lapis Pelindungan Data Pribadi
UU PDP mendefinisikan data pribadi spesifik sebagai informasi yang pemrosesannya dapat mengakibatkan dampak lebih besar terhadap pemilik data—termasuk diskriminasi, kerugian finansial, atau kerugian sosial. Di dalam kategori ini terdapat data biometrik, data kependudukan, dan informasi keuangan. NIK, foto wajah, alamat lengkap, dan tanda tangan yang tertera di KTP adalah contoh nyata dari data pribadi spesifik yang dilindungi secara ketat.
Setiap pengelola gedung atau penyedia layanan yang bertindak sebagai pengendali data pribadi—istilah hukum untuk pihak yang menentukan tujuan pemrosesan data—wajib memiliki dasar pemrosesan yang sah. Tanpa dokumen persetujuan (consent form) yang ditandatangani pengunjung dan penjelasan tentang tujuan, durasi penyimpanan, serta pihak ketiga yang mungkin mengakses data tersebut, praktik pemindaian KTP berada di wilayah abu-abu hukum, atau bahkan sudah melanggar secara terang-benderang.
"Masyarakat sipil belum sepenuhnya memahami bahwa KTP bukan sekadar kartu identitas biasa. Di dalam satu keping itu terkandung lebih dari cukup informasi untuk melakukan pembobolan akun digital, pengajuan pinjaman daring ilegal, hingga penipuan identitas penuh. Kita sedang duduk di atas gunung data yang tidak terlindungi," ujar pengamat keamanan siber dari Lembaga Studi Digital Nusantara dalam sebuah diskusi panel awal tahun ini.
Rantai Kebocoran: Teknologi Lemah di Balik Meja Resepsionis
Masalahnya tidak berhenti pada aspek legal. Dari sisi infrastruktur keamanan informasi, gedung perkantoran rata-rata tidak memiliki sistem penyimpanan terenkripsi, kebijakan retensi data yang jelas, maupun protokol penghapusan data setelah masa kunjungan berakhir. Foto KTP yang diambil melalui kamera ponsel petugas keamanan kerap tersimpan di galeri pribadi, berpindah melalui aplikasi pesan instan seperti WhatsApp untuk keperluan koordinasi internal, atau menumpuk di folder bersama (shared folder) yang aksesnya tidak terlacak.
Setiap titik dalam rantai tersebut adalah potensi celah kebocoran. Data yang tersimpan tanpa enkripsi di perangkat yang tidak diawasi dapat diekstraksi oleh pihak tidak berwenang—mulai dari serangan malware (perangkat lunak berbahaya) sederhana hingga tindakan orang dalam (insider threat) yang sulit dideteksi. Konsekuensinya mengerikan: satu kebocoran data KTP dapat menjadi fondasi untuk membangun profil identitas palsu yang digunakan dalam berbagai skema kejahatan digital, termasuk social engineering (manipulasi psikologis untuk memperoleh informasi sensitif) dan identity theft (pencurian identitas).
Kekhawatiran ini bukan sekadar paranoia digital. Data dari sejumlah insiden keamanan siber yang tercatat sejak 2023 menunjukkan peningkatan eksploitasi data kependudukan dalam kasus pinjaman daring ilegal dimana korban tidak pernah mengajukan pinjaman namun tiba-tiba ditagih oleh entitas tidak dikenal. Pola tersebut nyaris mustahil terjadi tanpa akses ke data KTP yang lengkap dan valid.
Menimbang Ulang Prosedur: Alternatif Tanpa Mencuri Identitas
Langkah paling mendesak yang harus dilakukan oleh pengelola gedung dan penyewa kantor adalah mendesain ulang prosedur penerimaan tamu agar selaras dengan prinsip minimalisasi data yang diamanatkan UU PDP. Alih-alih memindaikan seluruh permukaan KTP, petugas cukup mencatat nama lengkap dan institusi asal pengunjung—tanpa menyentuh NIK, alamat, atau melakukan penggandaan dokumen.
Bagi gedung yang bersikeras memerlukan identifikasi lebih ketat, tersedia teknologi yang lebih menghormati privasi. Sistem manajemen pengunjung digital (visitor management system) modern dapat dirancang untuk mencatat nama dan foto pengunjung tanpa menyimpan salinan identitas permanen, serta secara otomatis menghapus data setelah 1x24 jam. Beberapa platform bahkan telah mendukung mekanisme one-time token—kode akses sekali pakai yang dikirimkan tuan rumah kepada tamu melalui email atau aplikasi, menghilangkan kebutuhan akan pendataan di lobi sama sekali.
Kesadaran kolektif harus segera dibangun dari dua arah. Pengelola gedung dan perusahaan perlu segera mengaudit prosedur keamanan mereka berdasarkan kerangka UU PDP, sementara masyarakat sebagai pemilik data harus mulai berani bertanya: untuk apa KTP saya digandakan, di mana data saya disimpan, dan kapan data itu akan dimusnahkan? Pertanyaan-pertanyaan sederhana ini bukan bentuk kecurigaan berlebihan, melainkan pelaksanaan hak yang dijamin oleh konstitusi dan undang-undang yang kini sudah berlaku penuh.
Baca juga:
Comments (0)