JAKARTA (KASTANEWS.COM)- Mahkamah Konstitusi (MK) mengabulkan gugatan yang diajukan oleh Eric Cihanes dan Garin Arian Reswara terkait Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Adapun pemohon mempersoalkan Pasal 53 ayat (1) dalam UU tersebut.
“Amar putusan, mengadili, mengabulkan permohonan para pemohon untuk seluruhnya,” ucap Ketua MK Suhartoyo di ruang sidang, Rabu (30/7/2025).
Sekedar informasi, pemohon mempersoalkan frasa “dan” pada akhir kalimat butir b dalam pasal a quo terkait ketentuan kewajiban pengendali data pribadi dan prosesor data pribadi menunjuk pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi.
Pasal 53 ayat (1) UU PDP selengkapnya berbunyi, “Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dalam hal:
(a) pemrosesan Data Pribadi untuk kepentingan pelayanan publik; (b) kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan (c) kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.
Adapun sebelumnya, dalam perbaikan permohonannya, pemohon menguraikan komparasi mengenai pengaturan kewajiban penunjukan Pejabat/Petugas Perlindungan Data Pribadi (PPDP) atau dikenal dengan Mandatory Appointment of Data Protection Officer (DPO) di beberapa negara serta perbandingan ke negara-negara Uni Eropa yang tunduk pada regulasi terkait General Data Protection Regulation (GDPR).
“Baik dari perbandingan negara ataupun ke instrumen GDPR opsinya hanya dua, jika tidak menggunakan kata or maka dia mewajibkan seluruh pengendali data untuk melakukan penunjukan PPDP sehingga scope-nya lebih jelas,” ujar Eric dalam sidang perbaikan permohonan pada Selasa (12/11/2024) di Ruang Sidang MK, Jakarta.
Negara-negara yang dimaksud antara lain Singapura, Thailand, Malaysia, dan Korea. Dari keempat negara itu, hanya Thailand yang merumuskan aturan dengan menggunakan kata “or” sehingga kriteria syarat penunjukan PPDP di PDP Act Thailand dirumuskan secara alternatif.
Sedangkan, Singapura, Malaysia, dan Korea mewajibkan setiap pengendali data menunjuk PPDP-nya untuk memastikan kepatuhan terhadap peraturan PDP. Sementara itu, kata Para Pemohon, sejak diundangkan pada 2016, GDPR telah menjadi gold standart dalam pengaturan PDP di banyak negara selain negara anggota Uni Eropa, termasuk Indonesia.
Hal ini dapat dilihat bahwa banyak pasal di dalam UU PDP milik Indonesia yang memiliki tingkat kemiripan dengan GDPR, termasuk Pasal 53 ayat (1) UU PDP yang sedang diuji konstitusionalitasnya dalam permohonan a quo.
Namun, pengaturan mengenai kewajiban untuk melakukan penunjukan DPO/PPDP dalam GDPR diatur menggunakan kata “or” yang artinya “atau” sehingga kriteria syarat penunjukan DPO/PPDP GDPR juga dirumuskan secara alternatif.
Sedangkan, menurut para Pemohon, kriteria syarat Pasal 53 ayat (1) UU PDP dapat dipenuhi secara alternatif maupun kumulatif. Karena itu, mereka memohon untuk mengubah kata “dan” menjadi “dan/atau” dalam rumusan Pasal 53 ayat (1) UU PDP demi memperluas cakupan organisasi pengendali data dan prosesor data yang wajib untuk menunjuk PPDP.
Sebab, menurut Pemohon, kehadiran PPDP yang makin luas terutama terhadap pengendali data dan prosesor data yang melakukan pemrosesan data pribadi yang berisiko tinggi tentunya berbanding lurus dengan tingkat kepatuhan pengendali data dan prosesor data tersebut terhadap kewajibannya yang pada akhirnya akan meningkatkan tingkat pelindungan dan jaminan hak-hak konstitusional dan subjek data.(rah)
