Hati-hati! Menahan KTP untuk ditukar dengan Kartu Akses saat masuk gedung berpotensi melanggar UU PDP

Pendahuluan 

Praktik menyerahkan dan menahan Kartu Tanda Penduduk (“KTP”) di meja resepsionis atau pos keamanan merupakan prosedur standar yang sangat lazim ditemui ketika seseorang hendak memasuki gedung perkantoran, pusat bisnis, atau apartemen. Alasan klasik yang sering digunakan oleh manajemen pengelola gedung adalah demi menjaga keamanan dan ketertiban area properti. Namun, sejak berlakunya regulasi pelindungan data secara penuh, praktik menahan fisik KTP ini memicu pelanggaran hukum. 

KTP merupakan dokumen identitas resmi yang memuat informasi penting dan masuk dalam kategori data pribadi. Penahanan KTP fisik tanpa sistem mitigasi yang jelas membuka peluang terjadinya tindakan penyalinan, pemotretan, atau perekaman data oleh pihak ketiga yang tidak bertanggung jawab. Di era digital saat ini, kebocoran data tersebut sangat rentan disalahgunakan untuk tindak pidana seperti pencurian identitas, penipuan, hingga pendaftaran pinjaman online ilegal. Oleh karena itu, penting bagi seluruh pengelola properti untuk meninjau kembali kebijakan operasional keamanan mereka agar tidak terjerat sanksi hukum.

Dasar Hukum 

Analisis ini merujuk pada regulasi utama berikut: Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”).

Pasal 16 ayat (2) huruf a

Pasal 16 ayat (2) huruf a: "pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;" 

Ketentuan ini menekankan asas minimisasi data. Pengumpulan data identitas pengunjung harus dibatasi pada kebutuhan minimum untuk akses keamanan dasar. Praktik menahan KTP tanpa kejelasan tujuan pengolahan dinilai berlebihan dan melanggar prinsip proporsionalitas. 

Pasal 20 ayat (1)

Pasal 20 ayat (1): "Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi."

Pengelola gedung bertindak sebagai Pengendali Data Pribadi. Berdasarkan ayat tersebut, mereka wajib memiliki landasan hukum atau legalitas yang sah (seperti persetujuan eksplisit dari pengunjung) sebelum memproses atau menahan dokumen identitas tersebut. Menahan KTP sebagai syarat masuk tanpa dasar regulasi sektoral yang mewajibkannya merupakan pelanggaran.

Pasal 65 ayat (1)

Pasal 65 ayat (1): "Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi."

Ayat ini melarang siapa pun mengumpulkan atau menguasai data pribadi milik orang lain secara ilegal yang dapat berpotensi menimbulkan kerugian bagi pemilik identitas tersebut.

Pasal 67 ayat (1)

Pasal 67 ayat (1): "Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah)." 

Sanksi pidana tersebut mengancam setiap pihak (termasuk personel atau manajemen korporasi) yang terbukti mengumpulkan data pribadi orang lain secara melawan hukum dan memicu kerugian bagi pemilik data. 

Implikasi Praktis

Penerapan UU PDP terhadap operasional akses gedung membawa dampak nyata sebagai berikut:

• Pengelola gedung dapat membangun sistem pengamanan properti yang lebih modern, terpercaya, dan memiliki reputasi baik di mata publik serta tenan karena menghormati hak privasi.

• Manajemen gedung kini wajib menyusun dokumen Kebijakan Privasi (Privacy Policy) yang transparan, mengedukasi petugas sekuriti di lapangan, serta memastikan data digital pengunjung (jika dicatat/difoto) disimpan dalam sistem enkripsi yang aman agar tidak bocor.

• Menjadi momentum bagi pengelola untuk beralih ke teknologi Visitor Management System yang lebih praktis, seperti penggunaan kartu akses temporer, pemindaian kode QR, atau sekadar verifikasi visual tanpa menyentuh fisik kartu identitas.

• Apabila pengelola gedung mengabaikan kepatuhan ini dan terjadi kebocoran atau penyalahgunaan data KTP pengunjung oleh oknum internal, korporasi dapat menghadapi gugatan ganti rugi perdata, denda administratif yang masif, hingga ancaman pidana kurungan bagi penanggung jawab manajemen.

Rekomendasi

Langkah strategis yang dapat diambil oleh manajemen pengelola gedung dan vendor keamanan: 

• Hentikan Kebijakan Menahan KTP Fisik: Segera ubah Standard Operating Procedure (SOP) di pos penjagaan. KTP pengunjung cukup ditunjukkan sekadar untuk memverifikasi kesesuaian wajah dan identitas pemesan akses, bukan untuk ditinggal atau ditahan.

• Terapkan Prinsip Minimisasi Data: Ganti metode jaminan penahanan KTP dengan alternatif yang lebih minim risiko, seperti pencatatan nama dan nomor kontak terbatas secara digital, lalu memberikan visitor badge atau kartu akses temporer sebagai gantinya.

• Lakukan Audit Kepatuhan Data (PDP Audit): Pengelola gedung disarankan menghubungi konsultan hukum untuk melakukan audit kepatuhan tata kelola data serta memberikan pelatihan berkala kepada petugas keamanan agar memahami batasan hukum pemrosesan data pribadi.

Penutup

Berlakunya UU PDP menuntut perubahan pendekatan dalam pengelolaan keamanan dan akses di lingkungan properti maupun kawasan usaha. Praktik-praktik konvensional yang selama ini dianggap lazim, termasuk penahanan KTP sebagai jaminan akses, perlu dievaluasi dan disesuaikan dengan prinsip-prinsip pelindungan data pribadi yang kini memiliki konsekuensi hukum yang lebih tegas.

Dalam konteks tersebut, kepatuhan terhadap UU PDP bukan sekadar aspek administratif, melainkan bagian integral dari tata kelola perusahaan yang baik (good corporate governance). Setiap pengelola gedung, kawasan, maupun pelaku usaha perlu memastikan bahwa mekanisme pengamanan yang diterapkan tetap efektif tanpa mengabaikan hak-hak subjek data pribadi.

Praktik lama penahanan KTP untuk akses gedung berpotensi menimbulkan risiko hukum bagi pengelola properti, pengelola gedung, maupun pemilik aset komersial. Penting bagi manajemen gedung untuk bijak dalam menerapkan peraturan kaitannya dengan akses masuk pengunjung. Perlindungan data pribadi adalah tanggung jawab hukum yang harus dipenuhi untuk menghindari potensi denda yang masif dan sanksi pidana. Kepatuhan terhadap ketentuan pelindungan data pribadi bukan lagi sekadar praktik terbaik (best practice), melainkan kewajiban hukum yang harus dipenuhi guna meminimalkan risiko sanksi administratif, tuntutan perdata, maupun konsekuensi pidana yang dapat timbul akibat pelanggaran.