Kita semua pernah mengalaminya. Mau masuk gedung kantor, apartemen, atau bahkan acara, lalu dimintai KTP. Lebih parah lagi, KTP itu difoto atau bahkan diminta ditinggalkan di meja resepsionis. Rasanya ini normal, lumrah, bagian dari prosedur. Tapi tahukah Anda? Ini adalah pelanggaran serius terhadap Undang-Undang Perlindungan Data Pribadi (UU PDP) yang sudah berlaku di Indonesia sejak 2022.
Parasurama Pamungkas dari ELSAM menyebut praktik ini sebagai ketidakpatuhan terhadap prinsip perlindungan data pribadi. Tujuannya tidak relevan. Data yang dikumpulkan tidak sesuai dengan aktivitas yang akan kita lakukan. Mengapa mereka butuh NIK atau alamat lengkap kita hanya untuk masuk gedung? Ini adalah pemrosesan data yang tidak sah.
"Pengumpulan data pribadi yang sebenarnya tidak relevan dengan aktivitas yang kita lakukan, seperti masuk tower, kemudian daftar akun, itu merupakan sebenarnya ketidakpatuhan pengontrolan terhadap prinsip-prinsip pelindungan data pribadi."
Masalahnya bukan hanya pada praktik di lapangan. Akar masalahnya lebih dalam: mandeknya pembentukan badan pengawas perlindungan data pribadi. UU PDP dengan jelas memerintahkan pembentukan badan ini dalam waktu satu tahun setelah UU diterbitkan, yaitu 17 Oktober 2024. Sekarang sudah Maret 2026, dan badan ini belum juga ada. Ini bukan sekadar keterlambatan administratif. Ini adalah lubang besar yang membuat UU PDP ompong.
Tanpa badan pengawas, siapa yang akan menegakkan aturan? Siapa yang akan menjatuhkan sanksi? Siapa yang akan mengedukasi masyarakat dan pelaku usaha tentang hak dan kewajiban mereka? UU PDP itu bagus di atas kertas, tapi tanpa penegak, ia hanya jadi macan kertas. Praktik pengambilan KTP yang serampangan ini hanyalah salah satu dari sekian banyak pelanggaran yang mungkin terjadi setiap hari, tanpa ada yang mengawasi atau menindak.
Bayangkan jika data KTP Anda yang difoto itu bocor. Nomor NIK, nama lengkap, alamat, tempat tanggal lahir — semua informasi sensitif itu bisa disalahgunakan untuk pinjaman online ilegal, penipuan, atau bahkan pencurian identitas. Ini bukan lagi teori konspirasi, tapi risiko nyata yang terus meningkat seiring digitalisasi.
Pihak pengelola gedung atau siapa pun yang mengumpulkan data harus mencari cara yang lebih aman dan minim risiko. Ada banyak teknologi yang bisa digunakan tanpa harus mengorbankan privasi. Verifikasi identitas bisa dilakukan dengan cara yang tidak menyimpan data sensitif atau dengan opsi anonimitas. Privasi harus menjadi standar default dan by design.
Pemerintah harus segera bertindak. Pembentukan badan pengawas data pribadi bukan lagi pilihan, tapi keharusan mendesak. UU PDP itu ada untuk melindungi kita. Tapi tanpa badan pengawas, perlindungan itu hanya ilusi. Jangan biarkan KTP kita terus-menerus jadi jaminan masuk gedung atau jadi santapan pihak tak bertanggung jawab. Kita berhak atas privasi, dan negara wajib menjaminnya.