"Maaf Pak/Bu, KTP-nya kami tahan dulu sebagai jaminan.” Kalimat ini masih terlalu sering terdengar di meja resepsionis hotel, pos keamanan perumahan, loket layanan publik, bahkan di sebagian kantor penegak hukum. Pertanyaannya sederhana: untuk apa Undang-Undang Pelindungan Data Pribadi (UU PDP) diundangkan jika praktik menahan KTP tetap berjalan seperti biasa? Apakah UU PDP hanya menambah beban administrasi; atau justru kita yang belum beranjak dari budaya lama?
Pertama-tama mari luruskan ruang lingkup UU PDP. Sejak 17 Oktober 2024, UU No. 27 Tahun 2022 berlaku penuh; masa transisi dua tahun sudah lewat. Artinya, setiap pihak—badan publik maupun privat—wajib mematuhi standar baru pemrosesan data pribadi: mengambil seperlunya, untuk tujuan yang jelas, menyimpannya aman, menghapusnya tepat waktu, dan bertanggung jawab. Itu bukan jargon. Ia adalah kewajiban hukum yang bisa diaudit dan dijatuhi sanksi.
Kalau begitu, apakah boleh memeriksa KTP? Boleh—kalau memang perlu untuk tujuan yang spesifik (misalnya verifikasi saat check-in hotel atau mengakses layanan tertentu), dan ada dasar pemrosesan (persetujuan, kontrak, kewajiban hukum, kepentingan publik yang sah, dsb.). Tetapi menahan fisik KTP sebagai “jaminan” nyaris selalu berlebihan: tidak proporsional dengan tujuan, menambah risiko kehilangan/penyalahgunaan, dan mengunci warga pada “jaminan identitas” ketimbang mekanisme jaminan yang lebih aman (deposit kartu, praauthorisasi kartu, atau sekadar pencatatan terukur). UU PDP menuntut minimisasi, pembatasan tujuan, pembatasan retensi, dan akuntabilitas—semua itu secara eksplisit dicantumkan sebagai prinsip dan kewajiban pengendali data.
Masalah kita bukan ketiadaan aturan—melainkan ketinggalan budaya. Budaya “fotokopi semua, tahan dulu, lihat nanti” pernah terasa efektif melawan moral hazard. Namun di era kebocoran data, pendekatan itu justru menciptakan moral hazard baru: semakin banyak kopi identitas yang beredar, semakin besar peluang penyalahgunaan. UU PDP mengubah “default”: dari collect-everything menjadi collect-as-needed. Ia juga mengikat kita pada standar notifikasi insiden paling lambat 3×24 jam bila terjadi kegagalan pelindungan data (kebocoran), sekaligus mewajibkan penghapusan atau pemusnahan data ketika tujuan tercapai atau retensi berakhir. Ringkasnya: lihat seperlunya, catat secukupnya, hapus tepat waktunya.
“Tapi kami instansi pemerintah—bahkan penegak hukum.” UU PDP memang membuka pengecualian terbatas atas pelaksanaan beberapa hak subjek data dan kewajiban tertentu demi kepentingan pertahanan-keamanan, proses penegakan hukum, penyelenggaraan negara, serta pengawasan sektor keuangan. Namun pengecualian itu bukan cek-kosong: ia harus berdasar undang-undang, proporsional, dan sejauh yang diperlukan. Di luar koridor itu, prinsip umum UU PDP tetap berlaku. Dengan kata lain: label “penegakan hukum” tidak otomatis melegalkan praktik menahan KTP padahal tujuan bisa dicapai dengan verifikasi yang lebih aman.
Di sisi lain, rezim Administrasi Kependudukan juga telah lama memberi pagar pidana bagi penyalahgunaan data kependudukan. Pasal 95A UU 24/2013 menegaskan, setiap orang yang tanpa hak menyebarluaskan data kependudukan atau data pribadi dapat dipidana. Artinya, menambah titik paparan (copies) KTP yang beredar tanpa kendali bukan saja bertentangan dengan semangat UU PDP, melainkan juga membuka pintu risiko pidana Adminduk.
Jika tidak ditahan, bagaimana verifikasi dilakukan? Justru UU PDP mendorong desain verifikasi yang hemat-data dan aman by design. Minimal tiga langkah praktis bisa segera diadopsi:
Mode “lihat-saja”: petugas memeriksa visual KTP/e-KTP untuk mencocokkan identitas tanpa menyimpan salinan, kecuali memang diwajibkan oleh regulasi sektor.
Pencatatan terukur: kalau perlu menyimpan jejak, simpan atribut minimal (mis. nama + 4 digit terakhir NIK) dengan retensi pendek dan tujuan spesifik—tidak memotret seluruh KTP tanpa alasan.
Pakai kanal digital resmi: Identitas Kependudukan Digital (IKD/KTP Digital) memungkinkan verifikasi melalui aplikasi, QR code, dan pencocokan wajah; identitas tetap dibuktikan tanpa menahan kartu fisik.
“Baik, tetapi kami butuh jaminan.” Jaminan tidak harus berarti jaminan identitas. Ada opsi yang lebih aman dan umum di best practice perhotelan dan layanan: deposit uang/kartu (atau praauthorisasi kartu) yang berakhir otomatis ketika objek jaminan (misal kunci kamar, kartu akses) dikembalikan. Jadi, meminta jaminan adalah sah; menahan KTP sebagai satu-satunya cara—itulah yang layak ditinggalkan.
Mengapa banyak institusi belum berbenah? Ada tiga kesenjangan yang saya lihat di lapangan. Pertama, SOP belum diperbarui: klausul, formulir, dan alur kerja masih mengacu pola lama; belum ada kebijakan retensi dan penghapusan yang tegas. Kedua, pemahaman dasar pemrosesan masih kabur: persetujuan dianggap solusi satu-untuk-semua, padahal persetujuan tidak menyucikan pemrosesan yang tidak perlu. Ketiga, belum ada fungsi pelindungan data internal (Data Protection Officer/fungsi sejenis) yang memantau kepatuhan harian; UU PDP justru mewajibkan penunjukan pejabat/petugas pelindungan data dalam kondisi tertentu (pelayanan publik, pemrosesan skala besar, atau data spesifik).
Di sinilah gunanya UU PDP—dan mengapa ia penting. UU PDP menggeser “permainan” dari keamanan berbasis niat baik menjadi akuntabilitas berbasis kewajiban: ada prinsip, dasar pemrosesan, kewajiban keamanan, batas retensi, hak subjek data, notifikasi insiden 3×24 jam, tanggung jawab pengendali, hingga sanksi administratif & pidana, plus kelembagaan pengawas yang sedang disiapkan pemerintah lewat aturan pelaksana. Tanpa itu, warga selalu kalah posisi ketika identitasnya tercecer. Dengan itu, warga punya hak dan jalur komplain, sementara institusi punya peta kewajiban yang jelas.
Apa yang perlu dilakukan—mulai besok pagi?(1) Cabut kebiasaan menahan KTP dari SOP. Ganti dengan verifikasi visual/digital + deposit non-identitas bila memang perlu jaminan.
(2) Tentukan dasar pemrosesan untuk setiap titik pengumpulan data (persetujuan? kontrak? kewajiban hukum?), dan pastikan tujuannya spesifik.
(3) Terapkan prinsip minimisasi & retensi: atribut minimal, masa simpan singkat, penghapusan otomatis ketika tujuan tercapai.
(4) Amankan data: batasi akses, log siapa melihat/menyalin, dan uji kebocoran secara berkala.
(5) Siapkan kanal hak subjek data (akses, koreksi, penghapusan, keberatan) dengan SLA yang jelas. UU PDP bahkan menyebut tenggat tertentu (misal, 3×24 jam untuk notifikasi insiden).
(6) Angkat fungsi pelindungan data (DPO/fungsi setara) sesuai syarat UU, latih petugas front-line, dan lakukan simulasi insiden—anggap ini sama seriusnya dengan fire-drill.
(7) Dorong adopsi IKD di titik layanan—verifikasi QR + face jauh lebih aman daripada menahan kartu.
Bagaimana dengan sektor yang mengklaim “ini perintah atasan/peraturan internal”? UU PDP berlaku lintas sektor; aturan internal yang bertentangan wajib disesuaikan. Jika ada dasar sektoral yang secara eksplisit mewajibkan penahanan dokumen, periksa apakah tujuan tersebut tak bisa dicapai dengan cara yang lebih minim data. Ingat: UU PDP memberi kerangka umum, sementara sektor khusus dapat menambah syarat sepanjang konsisten dengan prinsip-prinsipnya.
Pada akhirnya, ini bukan sekadar soal hukum—ini soal martabat digital. KTP bukan “jaminan” yang boleh berpindah tangan sesuka hati; ia adalah pintu ke seluruh jejak administratif warga. Di era di mana kebocoran satu set data bisa beranak pinak dalam hitungan jam, menahan KTP adalah kebiasaan yang harus kita akhiri bersama. UU PDP menyediakan kenopnya; kita tinggal memutarnya.
Seruan penutup: Pemerintah dan swasta sama-sama punya pekerjaan rumah—mencabut SOP menahan KTP, menata alur verifikasi hemat-data, mendigitalisasi identitas lewat IKD, dan menguatkan akuntabilitas. Masyarakat juga perlu berani bertanya dan menolak bila diminta menyerahkan atau meninggalkan KTP tanpa dasar yang jelas. UU PDP bukan pajangan. Ia adalah janji negara untuk menjaga harga diri digital setiap warga; mari kita wujudkan janji itu mulai dari meja resepsionis, pos satpam, dan loket pelayanan terdekat. (Penukis adalah Pimpinan Kantor Hukum S.Munthe & Rekan, dan Wakil Sekretaris Badan Penyuluhan dan Pembelaan Hukum Pemuda Pancasila Sumut)
