ET Hadi Saputra, SH
Jakarta 30 Oktober 2025. Kita berada dalam ilusi kebebasan berekspresi. Di era ‘Post-Privacy’ ini, gawai di tangan seolah memberikan kita mandat untuk merekam dan menyebarkan apa pun, di mana pun. Namun, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) hadir sebagai palu godam, menegaskan satu hal: wajah seseorang, meskipun terekam di sudut pasar yang paling ramai, adalah Data Pribadi Spesifik, dan Anda butuh Izin Eksplisit.
Inilah titik terberat UU PDP: Wajah adalah data biometrik, dilindungi setara data sensitif. Pemrosesan data spesifik—mulai dari memotret hingga mengunggah—harus didasarkan pada persetujuan yang tegas, spesifik, dan dapat dibuktikan.
Coba bayangkan: Sesi foto di reuni. Secara hukum, untuk membebaskan diri dari risiko, Anda idealnya harus meminta persetujuan setiap individu yang terekam, bukan sekadar asumsi “dia pasti setuju.” Logika hukum yang kaku ini seolah melumpuhkan spontanitas kehidupan sosial kita.
Jalan Aman: Blur atau Mundur
Karena hukum tidak memberikan toleransi yang jelas antara ‘fokus’ dan ‘latar belakang’, maka strategi mitigasi menjadi vital, terutama bagi mereka yang mencari keuntungan komersial (YouTuber, vlogger, akun bisnis):
- Jika Wajah itu Fokus: Izin Eksplisit adalah harga mati. Jika tidak didapat, wajib di-blur atau di-crop. Jangan pertaruhkan potensi tuntutan hukum demi satu frame yang jernih.
- Wajah Latar Belakang (Tidak Sengaja): Meskipun tidak sengaja, penyebarannya bisa melanggar Prinsip Pembatasan Tujuan. Solusi teraman: pelajari aplikasi blur wajah atau pilihlah lokasi pengambilan gambar yang ‘bersih’ dari orang lain. Sebelum mengunggah, tanyakan pada diri sendiri: “Apakah orang yang terekam itu berpotensi dirugikan atau tidak nyaman?” Jika jawabannya ya, jangan diunggah.
Ancaman Balik Maling: Dilema Hukum yang Konyol
Ini ironi hukum yang paling pahit: ketika Anda menyebar video CCTV atau Dashcam maling untuk tujuan keadilan, Anda—sebagai individu yang menyebarkan—justru berpotensi melanggar hukum.
Pasal 65 ayat (2) UU PDP melarang “secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.” Maling tetaplah Subjek Data yang memiliki hak atas data biometriknya. Jika penyebaran dilakukan di luar mekanisme penegakan hukum resmi, maling dapat menggugat Anda atas ganti rugi. Niat baik membantu penegakan hukum tidak lantas menghapus tanggung jawab Anda dalam melindungi data pribadi orang lain, sekotor apa pun perbuatannya.
Realitas Kekuasaan: Jebakan Data Biometrik Korporasi
Di sinilah letak anomali terbesar. Sementara individu harus berhati-hati saat mengunggah satu wajah, korporasi besar (seperti PT KAI, penyedia e-wallet, atau perbankan) secara masif mengumpulkan dan menyimpan data biometrik kita (sidik jari, face recognition) untuk memverifikasi transaksi atau akses layanan.
Meskipun pengumpulan ini dibenarkan oleh kebutuhan layanan esensial atau kewajiban hukum, persetujuan yang kita berikan seringkali adalah ‘izin terpaksa’ (forced consent). Kita tidak punya pilihan selain memberikan data itu jika ingin menggunakan layanan. Ini adalah realitas kekuasaan dalam transaksi.
Namun, forced consent TIDAK membebaskan korporasi dari dua kewajiban fundamental sebagai Pengendali Data:
- Kewajiban Pengamanan Data (Pasal 35): Mereka harus menjamin keamanan data biometrik itu dari kebocoran atau akses ilegal.
- Kewajiban Pertanggungjawaban (Accountability): Jika terjadi kebocoran—seperti yang sudah berulang kali dialami masyarakat—korporasi tersebut tetap bertanggung jawab penuh. Sanksi administratif berupa denda (hingga 2% dari pendapatan tahunan) hingga pencabutan izin usaha sudah menanti mereka. Ironisnya, individu yang datanya bocor selalu menjadi pihak yang paling dirugikan, meski korporasi yang salah.
Tanda Tangan, Ijazah, dan Jurnalistik
Data lain seperti tanda tangan, nomor ijazah, atau data keuangan jelas berada pada level perlindungan tertinggi sebagai Data Pribadi Spesifik. Kelalaian dalam menyebarkan data-data ini akan berhadapan dengan sanksi terberat.
Sementara itu, ketiadaan pengecualian eksplisit untuk kegiatan jurnalistik dalam UU PDP masih menjadi celah hukum. UU PDP berpotensi menjadi “senjata” yang membahayakan kebebasan pers, di mana kepentingan publik dapat dikalahkan oleh dalih perlindungan privasi, bahkan dalam kasus peliputan kejahatan.
Sanksi yang Tidak Main-Main
Konsekuensi pelanggaran UU PDP, terutama yang melibatkan Data Pribadi Spesifik (wajah/biometrik), bukanlah main-main. UU PDP mengancam individu yang menggunakan Data Pribadi orang lain secara melawan hukum dengan pidana penjara maksimum hingga 5 tahun dan denda hingga Rp 5 Miliar.
Pada akhirnya, setiap individu kini adalah subjek hukum yang harus berpikir seperti pengacara sebelum menekan tombol upload. Di era UU PDP, ketenangan di media sosial hanya bisa didapatkan dengan satu cara: izin eksplisit atau mengaburkan wajah.
