Regulasi Face Recognition Indonesia: UU PDP, OJK, dan Panduan Kepatuhan Bisnis
Data biometrik wajah termasuk kategori data pribadi yang bersifat sensitif berdasarkan Undang-Undang Pelindungan Data Pribadi (UU PDP) No. 27 Tahun 2022. Perusahaan yang menggunakan face recognition wajib memperoleh persetujuan eksplisit pengguna, menerapkan perlindungan data berlapis, dan memenuhi ketentuan OJK untuk sektor keuangan. Pelanggaran dapat dikenai sanksi administratif hingga pidana.
Apa Itu Regulasi Face Recognition dan
Regulasi face recognition adalah kerangka hukum yang mengatur cara pengumpulan, pemrosesan, dan penyimpanan data biometrik wajah oleh organisasi. Di Indonesia, kerangka ini diatur oleh tiga lapisan regulasi: UU PDP sebagai payung utama, peraturan sektoral OJK dan Bank Indonesia untuk industri keuangan, serta ketentuan teknis pelaksana dari Kementerian Komunikasi dan Informatika.
Mengapa Bisnis Perlu Memahaminya
Bisnis yang mengabaikan regulasi ini menghadapi risiko nyata: denda administratif, penghentian operasional sistem biometrik, hingga tuntutan pidana bagi direksi perusahaan.
UU PDP No. 27/2022 mengklasifikasikan data biometrik wajah sebagai data sensitif, sehingga pemrosesannya memerlukan dasar hukum yang lebih ketat dibanding data pribadi biasa.
Regulasi Utama yang Mengatur Face Recognition di Indonesia
UU PDP No. 27 Tahun 2022: Fondasi Hukum Data Biometrik Wajah
UU PDP mewajibkan tiga hal utama bagi pengendali data yang memproses biometrik wajah:
- Persetujuan eksplisit: Subjek data harus memberikan izin tertulis yang spesifik sebelum data wajah dikumpulkan.
- Batas tujuan pemrosesan: Data wajah hanya boleh digunakan sesuai tujuan yang dinyatakan saat pengumpulan. Penggunaan lintas tujuan tanpa persetujuan baru adalah pelanggaran.
- Hak subjek data: Pengguna berhak mengakses, mengoreksi, dan menghapus data biometrik mereka kapan saja.
Sanksi administratif UU PDP dapat mencapai 2% dari pendapatan tahunan perusahaan. Untuk pelanggaran yang disengaja, ancaman pidana penjara berlaku bagi penanggung jawab.
Regulasi OJK dan Bank Indonesia untuk Sektor Keuangan
Di sektor perbankan dan fintech, proses eKYC menggunakan face recognition tunduk pada POJK No. 12/POJK.01/2017 tentang Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme. OJK mewajibkan:
- Verifikasi identitas nasabah menggunakan dokumen resmi yang dicocokkan dengan data biometrik.
- Jejak audit digital lengkap untuk setiap sesi verifikasi.
- Sistem deteksi penipuan terintegrasi, termasuk liveness detection untuk mencegah spoofing.
Bank Indonesia melalui PBI tentang Penyelenggaraan Teknologi Informasi juga mewajibkan standar keamanan data nasabah yang relevan dengan pemrosesan biometrik.
Perbandingan Regulasi Indonesia vs. GDPR Uni Eropa
| Aspek | Indonesia (UU PDP) | Uni Eropa (GDPR) |
|---|---|---|
| Status data biometrik | Data sensitif | Data khusus (Article 9) |
| Dasar pemrosesan | Persetujuan eksplisit | Persetujuan eksplisit atau kepentingan vital |
| Penilaian dampak (DPIA) | Dianjurkan | Wajib untuk pemrosesan berisiko tinggi |
| Sanksi maksimum | 2% pendapatan tahunan | 4% omzet global atau EUR 20 juta |
| Otoritas pengawas | Kominfo / BSSN | Masing-masing DPA nasional |
Cara Menerapkan Face Recognition yang Patuh Regulasi
Perusahaan yang menggunakan autentikasi wajah perlu menjalankan langkah-langkah berikut:
- Susun kebijakan privasi biometrik yang menjelaskan jenis data yang dikumpulkan, tujuan, durasi retensi, dan hak pengguna.
- Terapkan mekanisme persetujuan eksplisit sebelum sistem mengakses kamera atau menyimpan template wajah.
- Enkripsi data biometrik menggunakan standar minimum AES-256 saat penyimpanan dan TLS 1.2 saat transmisi.
- Batasi retensi data sesuai tujuan awal. Data wajah yang tidak diperlukan harus dihapus secara permanen.
- Dokumentasikan jejak audit setiap sesi verifikasi untuk keperluan audit regulasi OJK atau Kominfo.
- Integrasikan liveness detection untuk mencegah serangan spoofing dan pemalsuan identitas berbasis deepfake.
Kesalahan Umum Perusahaan dalam Kepatuhan Regulasi Face Recognition
- Mengumpulkan data wajah tanpa persetujuan tertulis. Kamera di ruang publik atau area kerja yang langsung merekam dan menganalisis wajah tanpa pemberitahuan adalah pelanggaran UU PDP.
- Menyimpan template biometrik tanpa enkripsi. Data wajah yang bocor bersifat permanen karena wajah tidak dapat diganti seperti kata sandi.
- Menggunakan data untuk tujuan sekunder. Data wajah yang dikumpulkan untuk absensi karyawan tidak boleh digunakan untuk keperluan pemantauan produktivitas tanpa izin baru.
- Tidak memiliki prosedur penghapusan data. UU PDP mewajibkan perusahaan memiliki mekanisme untuk memenuhi permintaan penghapusan data dari pengguna.
FAQ: Regulasi Face Recognition di Indonesia
Apakah perusahaan ritel boleh menggunakan face recognition untuk keamanan toko? Ya, namun wajib memasang pemberitahuan visual di area pengambilan gambar, memperoleh persetujuan implisit melalui pemberitahuan tersebut, dan tidak menyimpan data biometrik lebih lama dari kebutuhan operasional.
Apakah data wajah karyawan untuk sistem absensi termasuk data sensitif? Ya. Berdasarkan UU PDP, data biometrik karyawan termasuk data sensitif meskipun dikumpulkan dalam konteks hubungan kerja. Perusahaan tetap wajib memperoleh persetujuan eksplisit.
Berapa lama data wajah boleh disimpan? UU PDP tidak menetapkan batas waktu spesifik, namun prinsip minimasi data mewajibkan penghapusan begitu tujuan pemrosesan tercapai atau kontrak berakhir.
Apakah wajib melakukan penilaian dampak privasi (DPIA) sebelum menggunakan face recognition? Di Indonesia, DPIA belum diwajibkan secara eksplisit, namun sangat direkomendasikan sebagai praktik terbaik, terutama untuk sistem yang memproses data wajah dalam skala besar.
Bagaimana regulasi mengatur face recognition di sektor perbankan? OJK mewajibkan sistem e-KYC berbasis biometrik memenuhi standar keamanan tertentu. Pelajari lebih lanjut tentang solusi verifikasi biometrik untuk fintech yang patuh regulasi OJK.
Pilar Regulasi Face Recognition di Indonesia
Regulasi face recognition di Indonesia dibangun di atas tiga pilar: UU PDP sebagai landasan hukum data sensitif, regulasi OJK dan Bank Indonesia untuk sektor keuangan, serta prinsip-prinsip perlindungan privasi yang berkiblat pada standar global seperti GDPR. Bisnis yang mengintegrasikan face recognition harus menempatkan kepatuhan regulasi sebagai persyaratan teknis bawaan, bukan tambahan. Persetujuan eksplisit, enkripsi data, liveness detection, dan jejak audit digital bukan sekadar praktik terbaik, melainkan kewajiban hukum yang berlaku.
Untuk memastikan implementasi face recognition bisnis Anda sesuai dengan UU PDP dan regulasi OJK, hubungi Verihubs di sini.
