Sumber Foto: Mahkamah Konstitusi RI
Hukum
MK Ubah Frasa "dan" Jadi "dan/atau" di Pasal 53 UU PDP untuk Perkuat Pelindungan Data Pribadi
JAKARTA, HUMAS MKRI – Mahkamah Konstitusi (MK) menegaskan data pribadi sebagai hak bagi setiap warga negara wajib untuk dilindungi secara maksimal sehingga tidak dapat dijadikan sebagai objek yang merugikan yang bertentangan dengan asas perlindungan, kehati-hatian, dan kerahasiaan demi menjaga eksklusivitas kerahasiaan data pribadi. Hal ini disampaikan dalam pertimbangan hukum Putusan Nomor 151/PUU-XXII/2024 mengenai pengujian konstitusionalitas Pasal 53 ayat (1) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) terhadap Undang-Undang Dasar Negara Republik Indonesia (UUD NRI) Tahun 1945.
“Perlindungan data pribadi merupakan bagian yang tidak terpisahkan dari hak atas perlindungan diri pribadi sebagaimana dimaksud dalam Pasal 28G ayat (1) UUD NRI Tahun 1945,” ucap Hakim Konstitusi Arief Hidayat dalam sidang putusan yang digelar pada Rabu (30/7/2025) di Ruang Sidang MK, Jakarta.
Pasal 53 ayat (1) UU PDP selengkapnya berbunyi, “Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dalam hal: (a) pemrosesan Data Pribadi untuk kepentingan pelayanan publik; (b) kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan (c) kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.”
Dirumuskannya kata “dan” sebagai kata penghubung dalam Pasal 53 ayat (1) huruf b UU PDP setelah akhir kalimat “ kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar;” dikhawatirkan para Pemohon bahwa pengendali data pribadi dan prosesor data pribadi dalam melaksanakan kegiatan pemrosesan data pribadi baru wajib menunjuk Petugas atau Pejabat Pelindungan Data Pribadi (PPDP) apabila unsur/kriteria pada huruf a, huruf b, dan huruf c ketiganya terpenuhi semua. Hal demikian terjadi karena rumusan kata “dan” tersebut mengandung makna kumulatif.
Sementara sesuai dengan maksud pembentuk undang-undang dalam merumuskan huruf a, huruf b, dan huruf c dalam norma Pasal 53 ayat (1) UU PDP dimaksudkan sebagai kriteria mandiri/independen, yang jika terpenuhi salah satu, dua, atau keseluruhan kriteria persyaratan oleh pengendali data pribadi atau prosesor data pribadi, maka wajib baginya menunjuk PPDP. Dengan demikian, menurut Mahkamah, rumusan yang tepat adalah bersifat alternatif kumulatif yaitu menggunakan frasa “dan/atau” yang lazim digunakan dalam perumusan suatu peraturan perundang-undangan sebagaimana diatur dalam angka 90 Lampiran II UU Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-Undangan.
Hal demikian sesungguhnya telah menjawab kekhawatiran subjek data dikarenakan adanya aktivitas pemrosesan data pribadi yang berisiko tinggi (high risk data processing activities) sehingga pelindungan dan jaminan terhadap hak-hak konstitusional subjek data benar-benar terlindungi sedemikian rupa. Sebab, pelindungan data pribadi merupakan bagian yang tidak terpisahkan dari hak atas perlindungan data pribadi sebagaimana dimaksud Pasal 28G ayat (1) UUD NRI 1945.
“Sehingga kata ‘dan’ dalam Pasal 53 ayat (1) huruf b Undang-Undang Nomor 27 Tahun 2022 haruslah dinyatakan inkonstitusional,” tutur Arief.
Dalam amar Putusan Nomor 151/PUU-XXII/2024, Mahkamah mengabulkan permohonan para Pemohon untuk seluruhnya. Mahkamah menyatakan kata “dan” dalam Pasal 53 ayat (1) huruf b UU 27 Tahun 2022 tentang PDP bertentangan dengan UUD NRI Tahun 1945.
“Dan tidak mempunyai kekuatan hukum mengikat secara bersyarat sepanjang tidak dimaknai 'dan/atau',” ujar Ketua MK Suhartoyo.
Sebagai informasi, para Pemohon yakni Eric Cihanes (Pemohon I) dan mahasiswa Garin Arian Reswara (Pemohon II) mempersoalkan frasa “dan” pada akhir kalimat butir b dalam pasal a quo terkait ketentuan kewajiban pengendali data pribadi dan prosesor data pribadi menunjuk pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi. Menurut Pemohon, kriteria penunjukan PPDP yang dirumuskan secara kumulatif tersebut telah mempersempit cakupan dari organisasi pengendali data dan prosesor data yang diwajibkan melakukan penunjukkan PPDP.
Dalam hal ini, kata para Pemohon, organisasi pengendali data dan prosesor data yang hanya memenuhi salah satu atau dua dari ketiga syarat dalam Pasal 53 ayat (1) UU PDP menjadi tidak diwajibkan untuk menunjuk PPDP. Padahal, masing-masing kriteria dalam setiap butir pada pasal itu merupakan kriteria aktivitas pemrosesan data pribadi yang dikategorikan sebagai pemrosesan data pribadi yang memiliki potensi risiko tinggi terhadap subjek data pribadi yang juga ditegaskan Pasal 34 ayat (2) UU PDP. (*)
Penulis: Mimi Kartika
editor: Lulu Anjarsari P.
Humas: Fauzan Febriyan
