Opini Resmi Oleh Daeng Supriyanto, SH, MH – Advokat dan Konsultan Hukum Bidang Hukum Tata Negara dan Perlindungan Data Pribadi
Dalam dinamika hukum Indonesia yang terus berkembang, fenomena sehari-hari yang sering dianggap sepele—yaitu tuntutan pengelola gedung untuk meminta KTP dan melakukan pengambilan foto terhadap pengunjung sebelum memasuki fasilitas—ternyata menyimpan kompleksitas normatif yang melanggar kerangka hukum yang telah ditetapkan. Sebagai advokat yang telah mengkaji aspek perlindungan hak asasi manusia dan hukum data pribadi selama lebih dari dua dekade, saya melihat praktik ini bukan hanya sebagai pelanggaran terhadap peraturan perundang-undangan, tetapi juga sebagai ancaman terhadap prinsip-prinsip epistemologis yang mendasari negara hukum, yaitu kebebasan individu dan perlindungan informasi pribadi.
Dari perspektif filosofis hukum, setiap tindakan yang meminta identitas pribadi dan melakukan dokumentasi tanpa dasar hukum yang jelas mencerminkan pergeseran yang berbahaya dari paradigma perlindungan hak ke kontrol sosial yang tidak terkendali. KTP sebagai dokumen identitas resmi yang dikeluarkan oleh negara memiliki fungsi untuk memverifikasi identitas dalam konteks yang diatur oleh hukum, seperti pendaftaran administrasi, transaksi hukum, atau interaksi dengan lembaga negara. Pengambilan foto terhadap pengunjung, di sisi lain, merupakan pengumpulan data biometrik yang bersifat sensitif, karena mencakup ciri-ciri fisik yang unik dan tidak dapat diubah. Praktik ini melanggar prinsip proportionalitas dalam hukum administrasi, yaitu bahwa tindakan pengaturan harus sesuai dengan tujuan yang sah dan tidak berlebihan dalam mengeksekusi kekuasaan.
Secara normatif, praktik meminta KTP dan difoto sebelum memasuki gedung jelas melanggar beberapa peraturan hukum nasional. Pertama, Undang-Undang Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi (UU PDP) yang menegaskan bahwa pengumpulan, pengolahan, dan penyimpanan data pribadi hanya dapat dilakukan dengan persetujuan yang sah, spesifik, dan terinformasi dari pemilik data. Tuntutan KTP dan pengambilan foto tanpa penjelasan yang jelas mengenai tujuan penggunaan data, serta tanpa memberikan pilihan kepada pengunjung untuk menolak, merupakan pelanggaran terhadap Pasal 18 dan Pasal 22 UU PDP. Kedua, Undang-Undang Nomor 12 Tahun 2011 Tentang Sistem Informasi dan Transaksi Elektronik (UU ITE) yang melindungi kerahasiaan informasi elektronik, termasuk data identitas dan biometrik yang disimpan dalam bentuk digital. Ketiga, Konstitusi Republik Indonesia Tahun 1945 Pasal 28G ayat (1) yang menjamin hak setiap orang untuk perlindungan terhadap penyebaran informasi pribadi yang tidak sah.
Berdasarkan studi perbandingan dengan negara-negara seperti Jerman dan Kanada, di mana pengumpulan data pribadi oleh pihak swasta diatur dengan ketat melalui prinsip data minimization (pengumpulan data hanya sebatas yang diperlukan) dan purpose limitation (penggunaan data hanya untuk tujuan yang telah ditetapkan), Indonesia masih memiliki celah regulasi dalam pengawasan praktik pengumpulan data oleh pengelola gedung. Di Jerman, misalnya, pengelola tempat umum hanya dapat meminta identitas jika ada dasar hukum yang spesifik, seperti untuk keamanan nasional atau pencegahan kejahatan, dan harus memberikan informasi yang jelas kepada pihak yang bersangkutan. Di Indonesia, sebagian besar pengelola gedung melakukan praktik ini berdasarkan alasan keamanan yang tidak terstruktur, tanpa memiliki peraturan internal yang jelas atau izin dari otoritas yang berwenang.
Selain pelanggaran hukum, praktik ini juga menimbulkan risiko substantif bagi pengunjung. Data pribadi yang dikumpulkan, seperti nomor KTP dan foto, dapat disalahgunakan untuk keperluan penipuan identitas, pencurian data, atau pemasaran tidak diinginkan. Selain itu, adanya stigma terhadap pengunjung yang menolak untuk memberikan KTP atau difoto dapat menimbulkan pelanggaran terhadap hak atas kebebasan bergerak dan hak atas martabat manusia. Sebagai contoh, seorang pengunjung yang menolak untuk memberikan KTP dapat dilarang memasuki gedung, padahal tidak ada dasar hukum yang mengatur larangan tersebut.
Dalam konteks penegakan hukum, Komisi Perlindungan Data Pribadi (KDP) telah memiliki wewenang untuk menindak pelanggaran UU PDP melalui pemberitahuan perbaikan, denda, atau bahkan tuntutan pidana bagi pihak yang bersalah. Namun, hingga saat ini, masih sedikit kasus yang dilaporkan atau ditindaklanjuti terkait praktik meminta KTP dan difoto di gedung-gedung publik atau swasta. Hal ini menunjukkan kurangnya kesadaran masyarakat terhadap hak mereka dalam perlindungan data pribadi, serta kurangnya pengawasan yang efektif dari otoritas yang berwenang.
Sebagai solusi, diperlukan beberapa langkah normatif dan praktis. Pertama, pengelola gedung harus mengembangkan kebijakan internal yang sesuai dengan UU PDP, termasuk mendapatkan persetujuan yang sah dari pengunjung sebelum mengumpulkan data pribadi, menjelaskan tujuan penggunaan data, dan memberikan pilihan untuk menolak. Kedua, pemerintah daerah dan otoritas keamanan harus memberikan panduan yang jelas mengenai kondisi di mana pengumpulan data identitas dan biometrik dapat dilakukan dengan sah. Ketiga, masyarakat perlu diberikan edukasi mengenai hak mereka dalam perlindungan data pribadi dan cara melaporkan pelanggaran kepada KDP.
Sebagai kesimpulan, praktik meminta KTP dan difoto sebelum memasuki gedung adalah manajemen yang jelas melanggar undang-undang, yang tidak hanya merusak prinsip-prinsip hukum negara hukum tetapi juga menimbulkan risiko bagi keamanan data pribadi masyarakat. Sebagai advokat, saya menegaskan bahwa perlindungan data pribadi adalah hak asasi manusia yang tidak dapat diabaikan, dan setiap pihak yang melakukan pelanggaran harus ditindak tegas sesuai dengan peraturan yang berlaku. Hanya dengan penerapan hukum yang konsisten dan kesadaran masyarakat yang tinggi, kita dapat menciptakan lingkungan yang aman dan adil bagi semua individu.
