MK Permudah Proses Penunjukan Petugas yang Lindungi Data Pribadi Tanpa Harus Penuhi Tiga Kriteria

FORUM KEADILAN – Mahkamah Konstitusi (MK) menyatakan bahwa penunjukan Pejabat atau Petugas Pelindungan Data Pribadi (PPDP) harus dipermudah agar perlindungan dan jaminan terhadap hak konstiusional subjek data dapat terlindungi.

Hal tersebut tertuang dalam Putusan MK Nomor 151/PUU-XXII/2024 di mana Mahkamah mengabulkan perkara tersebut. Adapun perkara tersebut diajukan oleh Eric Cihanes dan Garin Arian Reswara yang mempersoalkan kata ‘dan’ dalam Pasal 53 ayat 1 Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.

Mereka minta agar Mahkamah mengganti kata ‘dan’ menjadi kata ‘dan/atau’ pada Pasal 53 ayat 1. Adapun pasal tersebut berbunyi, “Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dalam hal: (a) pemrosesan Data Pribadi untuk kepentingan pelayanan publik; (b) kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan (c) kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.”

“Mengabulkan permohonan para Pemohon untuk seluruhnya,” kata Ketua MK Suhartoyo saat membacakan amar putusan di ruang sidang, Rabu, 30/7/2025.

Mahkamah menilai bahwa perubahan kata tersebut membuat organisasi pengendali data pribadi dan prosesor data pribadi tidak lagi wajib memenuhi seluruh kriteria dalam pasal tersebut untuk menunjuk PPDP. Melainkan, hanya memenuhi salah satu unsur dari tiga kriteria pada huruf a, b, dan/atau c.

Dalam pertimbangannya, Hakim Konstitusi Arief Hidayat menjelaskan bahwa ketiga unsur tersebut seharusnya dipahami sebagai unsur yang berdiri sendiri dan tidak bersifat kumulatif.

“Bahwa berkenaan dengan penempatan ketiga unsur/kriteria dalam norma Pasal 53 ayat 1 UU 27/2022 yang dimuat dalam bentuk tabulasi (structured listing) dimaksudkan untuk memudahkan identifikasi kegiatan yang masing-masing berdiri sendiri yang dapat menjadi dasar kewajiban penunjukan PPDP,” ujarnya.

Mahkamah menyebut, penggunaan kata ‘dan’ dalam ketentuan tersebut telah menimbulkan tafsir di mana seluruh unsur tersebut harus dipenuhi agar kewajiban penunjukan PPDP muncul. Padahal, pemerintah dan DPR dalam keterangannya menyatakan bahwa masing-masing kriteria cukup berdiri sendiri.

Arief menambahkan bahwa penggunaan kata ‘dan’ tidak sejalan dengan maksud pembentuk UU.

“Dengan demikian, maksud pembentuk undang-undang untuk memberikan pelindungan data pribadi melalui UU 27/2022 yang hendak memastikan keamanan pemrosesan data pribadi oleh pengendali data dan prosesor data, tidak sejalan dengan rumusan unsur/kriteria pada huruf a, huruf b, dan huruf c dalam norma Pasal 53 ayat 1 UU 27/2022,” katanya.

Namun, MK menilai bahwa jika ketiga kriteria itu harus terpenuhi sekaligus (kumulatif), maka dapat menimbulkan celah hukum dan berpotensi melemahkan perlindungan data pribadi.

“Pelindungan data pribadi merupakan bagian dari hak atas perlindungan diri pribadi sebagaimana dijamin Pasal 28G ayat 1 UUD 1945. Maka negara wajib memastikan pemrosesan data pribadi yang berisiko tinggi diawasi oleh petugas pelindungan data yang kompeten,” ujar Arief.

Mahkamah juga menyebut, penggunaan frasa ‘dan/atau’ lebih tepat sesuai dengan kaidah perundang-undangan sebagaimana diatur dalam Lampiran II UU Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan.*