Keterangan DPR mengenai Pengujian UU Terhadap UUD 1945

Kerugian Konstitusional:
Dalam Perkara 108
Pemohon Perkara 108 dalam permohonannya mengemukakan bahwa hak konstitusionalnya telah dirugikan dan dilanggar oleh berlakunya ketentuan Pasal 1 angka 4, Pasal 2 ayat (2), dan Pasal 19 UU 27/2022. Pemohon beranggapan bahwa ketiadaan keterlibatan badan hukum dalam pengendalian dan pemrosesan data pribadi sebagaimana diatur dalam Pasal 1 angka 4 jo. Pasal 19 UU 27/2022 mengakibatkan kerugian tidak dapatnya Pemohon Perkara 108 menunjuk suatu badan hukum yang ahli di bidang pemrosesan data sebagai pengendali dan prosesor data pribadinya sehingga dengan demikian dapat berpotensi terjadinya kebocoran data. Selanjutnya, terhadap ketentuan Pasal 2 ayat (2) UU a quo juga menimbulkan kerugian Pemohon Perkara 108 karena dianggap belum mampu memberikan payung hukum bagi pengguna data pribadi khususnya bagi pelaku bisnis berskala rumah tangga yang rentan akan kebocoran data utamanya saat transaksi finansial yang dapat saja dilakukan oleh peretas dengan melakukan cybercrime economy atas insiden kebocoran data (vide Perbaikan Permohonan hlm. 9 dan 11).
Dalam Perkara 110
Pemohon Perkara 110 mendalilkan bahwa Pasal 15 ayat (1) huruf a UU 27/2022 merupakan salah satu bentuk pengaturan dari pengecualian hak-hak subjek data pribadi dalam konteks pemrosesan data pribadi, namun tidak menjabarkan apa yang dimaksud dengan “kepentingan pertahanan dan keamanan nasional”. Hal ini dapat merugikan Pemohon Perkara 110 dalam konteks kurangnya kepastian hukum dalam Pasal a quo dan adanya kemungkinan akan pelanggaran terhadap hak-hak subjek data pribadi yang dapat dilakukan pemrosesan data pribadi secara sepihak tanpa sepengetahuan subjek data pribadi dalam rangka “kepentingan pertahanan dan keamanan nasional” (vide Perbaikan Permohonan hlm. 6 huruf b).

Legal Standing:
1. Adanya hak dan/atau kewenangan konstitusional Para Pemohon yang diberikan oleh UUD NRI Tahun 1945
Dalam Perkara 108
Pemohon Perkara 108 mengajukan Permohonannya sebagai perorangan warga negara Indonesia mendalilkan memiliki hak konstitusional yang diberikan oleh Pasal 28D ayat (1) UUD NRI Tahun 1945.
Terhadap dalil tersebut, DPR menerangkan bahwa ketentuan Pasal 28D ayat (1) UUD NRI Tahun 1945 telah dipenuhi dengan adanya Pasal 1 angka 4, Pasal 2 ayat (2), dan Pasal 19 UU 27/2022. Ketentuan Pasal 1 angka 4 UU 27/2022 mengatur definisi Pengendali Data Pribadi sehingga jelas batasan dan ruang lingkupnya. Apabila dikaitkan dengan pengaturan dalam Pasal 19 UU 27/2022, pengaturan Pasal 1 angka 4 telah sejalan dan tidak ditemukan potensi melanggar ketentuan Pasal 28D ayat (1) UUD NRI Tahun 1945 dalam keberlakuannya. Sedangkan Pasal 2 ayat (2) UU 27/2022 yang mengatur mengenai pengecualian keberlakuan UU 27/2022 terhadap pemrosesan Data Pribadi oleh perseorangan dalam kegiatan pribadi atau rumah tangga juga telah relevan mengingat lingkup kegiatan pribadi atau rumah tangga merupakan ranah privat bagi subjek data sebagai individu dan merupakan manifestasi hak privasi individu dalam menggunakan data pribadinya untuk tujuan pribadi maupun rumah tangga.
Dalam menyusun argumennya terkait dengan keberlakuan Pasal 2 ayat (2) UU 27/2022, seharusnya Pemohon Perkara 108 terlebih dahulu memahami ruang lingkup pengaturan UU 27/2022 mengingat terdapat beberapa undang-undang yang mengatur terkait data pribadi. Meskipun terdapat pengecualian sebagaimana diatur dalam Pasal 2 ayat (2) UU 27/2022, perlindungan terhadap data perseorangan dalam kegiatan pribadi atau rumah tangga telah diatur dalam peraturan perundang-undangan lainnya, seperti Undang-Undang tentang Administrasi Kependudukan, Undang-Undang tentang Informasi dan Transaksi Elektronik, dan Undang-Undang tentang Perbankan. Dengan demikian adanya Pasal 1 angka 4, Pasal 2 ayat (2), dan Pasal 19 UU 27/2022 telah sejalan dengan pengaturan dalam Pasal 28D ayat (1) UUD NRI Tahun 1945.

Dalam Perkara 110
Pemohon Perkara 110 mendalilkan bahwa memiliki hak-hak konstitusional yang diberikan oleh UUD NRI Tahun 1945 sebagaimana tertuang dalam Pasal 28D ayat (1) dan Pasal 28G ayat (1) (vide Perbaikan Permohonan Perkara 110 hlm 6 huruf a).
Terhadap dalil tersebut, DPR berpandangan bahwa pembentukan UU 27/2022 bertujuan untuk memberikan kepastian hukum dan perlindungan terhadap data pribadi yang merupakan bentuk manifestasi pengakuan dan perlindungan serta kepastian hukum sebagaimana dimaksud dalam Pasal 28D ayat (1) UUD NRI Tahun 1945. Terkait dengan Pasal 28G ayat (1) UUD NRI Tahun 1945, berdasarkan penjelasan umum dalam UU a quo, pembentukan UU 27/2022 merupakan amanat dari Pasal 28G ayat (1) UUD NRI Tahun 1945 karena semakin banyaknya pelanggaran terhadap data pribadi yang dialami oleh orang dan/atau badan hukum yang menimbulkan kerugian materiil dan imateriil. Pengaturan dalam UU a quo berfokus pada mendorong pertumbuhan perekonomian dan peningkatan daya saing nasional.
Selanjutnya, dalam pelindungan data pribadi yang menjadi hak dan kebebasan subjek data pribadi (individu) dalam rangka penerapan Pasal 28G ayat (1) UUD NRI Tahun 1945, Pemohon Perkara 110 juga harus memperhatikan pengaturan dalam Pasal 28J ayat (2) UUD NRI Tahun 1945 yang menyatakan dalam menjalankan hak dan kebebasannya, setiap orang wajib tunduk kepada pembatasan yang ditetapkan dengan undang-undang dengan maksud semata-mata untuk menjamin pengakuan serta penghormatan atas hak dan kebebasan orang lain dan untuk memenuhi tuntutan yang adil sesuai dengan pertimbangan moral, nilai-nilai agama, keamanan, dan ketertiban umum dalam suatu masyarakat demokratis. Hal ini menjelaskan ketentuan Pasal 15 ayat (1) huruf a UU a quo merupakan wujud pembatasan penggunaan data pribadi untuk kepentingan menjaga pertahanan dan keamanan nasional, dimana negara dapat langsung menggunakan data pribadi untuk menjaga pertahanan dan keamanan nasional. Dengan demikian, pengecualian dalam ketentuan Pasal 15 ayat (1) huruf a UU 27/2022 sangat jelas tidak dapat dianggap sebagai pelanggaran terhadap Pasal 28G ayat (1) UD NRI Tahun 1945.
Selain itu, dalam permohonannya Pemohon Perkara 110 mendalilkan bahwa ketentuan Pasal 15 ayat (1) huruf a UU 27/2022 juga bertentangan dengan Pasal 28E ayat (2) UUD NRI Tahun 1945 yang mengatur mengenai hak atas kebebasan meyakini kepercayaan, menyatakan pikiran dan sikap, sesuai dengan hati nuraninya namun Pemohon Perkara 110 tidak menguraikan lebih lanjut pertautannya dengan pasal a quo. Sehingga dalam hal ini dapat dikatakan terdapat inkonsistensi penggunaan batu uji oleh Pemohon Perkara 110 yang akan berpengaruh pada ada tidaknya kerugian hak/kewenangan konstitusional yang dialami Pemohon Perkara 110 atas berlakunya ketentuan yang dimohonkan pengujian dalam perkara a quo.

2. Adanya hak dan/atau kewenangan konstitusional Para Pemohon tersebut dianggap oleh Pemohon telah dirugikan oleh suatu undang-undang yang diuji
Dalam Perkara 108
a. Pemohon Perkara 108 mendalilkan adanya kerugian konstitusional yang diakibatkan oleh Pasal 1 angka 4 dan Pasal 19 UU 27/2022, yaitu dengan ketiadaan keterlibatan badan hukum dalam melakukan pemrosesan data pribadi atau pengendali data pribadi sebagaimana diatur dalam Pasal a quo menyebabkan hilangnya hak Pemohon Perkara 108 untuk dapat menggunakan badan hukum yang ahli di bidang pemrosesan dan perlindungan data pribadi sebagai pencegah terjadinya kebocoran data (vide perbaikan permohonan hlm. 7 dan hlm. 8).
Terhadap dalil kerugian konstitusional tersebut, DPR menerangkan bahwa Pasal a quo telah jelas mengatur bahwa subjek hukum setiap orang, badan publik, dan organisasi internasional dapat ditunjuk/berlaku sebagai Pengendali Data Pribadi baik bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Dalam memahami subjek hukum “setiap orang” sebagai Pengendali Data Pribadi juga harus memperhatikan definisi yang diberikan dalam Pasal 1 angka 7 dan angka 8 UU 27/2022 yang mengatur bahwa “Setiap Orang adalah orang perseorangan atau korporasi” dan “Korporasi adalah kumpulan orang dan/atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum”. Mengacu pada definisi tersebut maka sejatinya badan hukum sudah diatur dalam UU 27/2022 untuk menjadi salah satu subjek hukum yang dapat ditunjuk sebagai Pengendali Data Pribadi.
b. Selain itu, Pemohon Perkara 108 mendalilkan bahwa kerugian konsitusional Pemohon Perkara 108 juga diakibatkan oleh tidak adanya penjelasan Pasal 2 ayat (2) UU 27/2022 yang dapat menimbulkan tidak adanya perlindungan pemrosesan data pribadi dalam kegiatan bisnis yang dilakukan di rumah serta semakin maraknya kemungkinan kelemahan perlindungan terhadap data pribadi orang perseorangan dalam kegiatan pribadi atau rumah tangga (vide perbaikan permohonan hlm.10 dan hlm. 11).
Terhadap dalil kerugian konstitusional tersebut, DPR menerangkan bahwa perlindungan Data Pribadi diberikan karena adanya kebutuhan untuk melindungi hak individu di dalam masyarakat sehubungan dengan pemrosesan Data Pribadi baik yang dilakukan secara elektronik maupun nonelektronik menggunakan perangkat olah data. Perlindungan data pribadi tetap harus menghormati hak konstitusional individu sebagai subjek data untuk dapat bebas dalam menggunakan data pribadi untuk kegiatan diri sendiri dan/atau rumah tangga. Mengacu kepada konsep perlindungan yang demikian maka terhadap pemrosesan data untuk keperluan pribadi atau rumah tangga dikecualikan dari berlakunya UU 27/2022. Pengaturan Data Pribadi dalam UU 27/2022 ini bertujuan untuk melindungi dan menjamin hak dasar warga negara terkait dengan pelindungan diri pribadi, menjamin masyarakat untuk mendapatkan pelayanan dari Korporasi, Badan Publik, Organisasi Internasional, dan Pemerintah, mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi, dan mendukung peningkatan daya saing industri dalam negeri, yang sejatinya tidak relevan dengan kegiatan pemrosesan data untuk keperluan pribadi atau rumah tangga.
Selain itu, Pemohon Perkara 108 tidak dengan jelas memberikan pertautan hak konstitusionalnya dengan keberlakuan ketentuan Pasal UU a quo yang diujikan sehingga tidak terdapat kerugian hak dan/atau kerugian konstitusionalitas Pemohon Perkara 108 atas berlakunya Pasal a quo. Dalil kerugian konstitusionalitas Pemohon Perkara 108 juga tidak dibangun dengan konstruksi yang jelas sehingga Pemohon tidak dapat mengkorelasikan kerugian yang dialaminya dengan ketentuan Pasal-Pasal a quo. Pemohon Perkara 108 hanya menafsirkan sendiri dengan pemaknaan dan kepentingan yang didasarkan pada asumsi tanpa terlebih dahulu memahami apa yang menjadi maksud dari ketentuan Pasal-Pasal a quo.
Dalam Perkara 110
Pemohon Perkara 110 mendalilkan bahwa berlakunya Pasal 15 ayat (1) UU 27/2022 merupakan salah satu bentuk pengaturan dari pengecualian hak-hak Subjek Data Pribadi namun tidak terdapat penjelasan terkait “kepentingan pertahanan dan keamanan nasional” sehingga merugikan Pemohon dan adanya kemungkinan pelanggaran terhadap hak-hak Subjek Data Pribadi yang berupa pemrosesan data pribadi secara sepihak tanpa sepengetahuan Subjek Data Pribadi dalam rangka "kepentingan pertahanan dan keamanan nasional" (vide Perbaikan Permohonan hlm 6 huruf b).
DPR berpandangan bahwa Subjek Data Pribadi diberikan hak-hak untuk mengatur data pribadinya namun tetap dibatasi dalam beberapa hal untuk kepentingan hukum. Perlindungan Data pribadi yang merupakan hak konstitusional dapat dibatasi keberlakuannya berdasarkan Pasal 28J ayat (2) UUD NRI Tahun 1945. Penggunaan data pribadi untuk kepentingan pertahanan dan keamanan nasional harus tetap mengacu kepada batasan dan ruang lingkup dari pertahanan dan keamanan yang diatur secara khusus dalam Undang-Undang Nomor 3 Tahun 2002 tentang Pertahanan Negara (UU 3/2022) dan Undang-Undang Nomor 2 Tahun 2002 tentang Kepolisian Negara Republik Indonesia (UU 2/2002). Selain itu, pengaturan ini merupakan bentuk pelaksanaan amanat pembentukan pemerintahan Indonesia berdasarkan pembukaan UUD NRI Tahun 1945.
Hak-hak Subjek Data Pribadi yang secara sepihak dapat diproses tanpa sepengetahuan Subjek Data Pribadi dalam rangka kepentingan pertahanan dan keamanan nasional hanya kekhawatiran Pemohon Perkara 110 belaka. Selain itu, berlakunya Pasal 15 ayat (1) UU 27/2022 tidak dapat dipisahkan dari ketentuan Pasal 16 yang mengatur terkait batasan-batasan dalam pemrosesan data Subjek Data Pribadi sehingga aparat penegak hukum hanya melakukan pemrosesan data pribadi untuk kepentingan yang diamanatkan dalam Pasal 15 ayat (1) UU 27/2022 dengan tetap memperhatikan perlindungan hak Subjek Data Pribadi. Tidak hanya itu, ketentuan Pasal 15 ayat (1) UU 27/2022 tidak memuat Pasal 12 UU 27/2022, sehingga Pemohon Perkara 110 tetap berhak menggugat dan menerima ganti rugi jika terjadi pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan. Dengan demikian apa yang kekhawatiran Pemohon Perkara 110 tidak berdasar, sebab telah terdapat ketentuan ganti rugi dalam UU a quo yang dapat digunakan jika Pemohon Perkara 110 merasa terjadi pelanggaran dalam penggunaan data pribadinya untuk kepentingan pertahanan dan keamanan nasional. Oleh karena itu tidak ada hak dan/atau kewenangan konstitusional Pemohon yang dilanggar dengan berlakunya Pasal a quo.

3. Adanya kerugian hak dan/atau kewenangan konstitusional Para Pemohon yang dimaksud bersifat spesifik (khusus) dan aktual atau setidaknya bersifat potensial yang menurut penalaran yang wajar dapat dipastikan akan terjadi
Bahwa pelindungan yang memadai atas Data Pribadi akan mampu memberikan kepercayaan masyarakat untuk menyediakan Data Pribadi guna berbagai kepentingan masyarakat yang lebih besar tanpa disalahgunakan atau melanggar hak pribadinya. Dengan demikian, pengaturan ini akan menciptakan keseimbangan antara hak individu dan masyarakat yang diwakili kepentingannya oleh negara. Pengaturan tentang Pelindungan Data Pribadi ini akan memberikan kontribusi yang besar terhadap terciptanya ketertiban dan kemajuan dalam masyarakat informasi.
Bahwa sebagaimana telah diuraikan diatas, berlakunya Pasal 1 angka 4, Pasal 2 ayat (2), Pasal 15 ayat (1) huruf a, dan Pasal 19 UU 27/2022 tidak memiliki pertautan dengan hak dan/atau kewenangan konstitusional Para Pemohon yang dalam hal ini dijamin oleh ketentuan Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945 karena hak konstitusional Para Pemohon justru menjadi terlindungi dengan keberlakukan Pasal a quo. Dengan tidak adanya kerugian hak dan/atau kewenangan konstitusional Para Pemohon maka tidak terdapat juga kerugian konstitusional yang bersifat spesifik (khusus) dan aktual atau setidaknya bersifat potensial yang menurut penalaran yang wajar dapat dipastikan akan terjadi.

4. Adanya hubungan sebab akibat (causal verband) antara kerugian hak dan/atau kewenangan konstitusional dengan undang-undang yang dimohonkan pengujian
Bahwa sebagaimana telah dikemukakan di atas, Para Pemohon tidak menguraikan secara spesifik dan aktual mengenai kerugian konstitusionalnya sehingga tidak ditemukan adanya hubungan sebab akibat (causal verband) antara kerugian konstitusional yang didalilkan oleh Para Pemohon dengan ketentuan pasal-pasal a quo yang menguatkan tidak terdapat kerugian hak dan/atau kewenangan konstitusional yang dialami oleh Para Pemohon. Disamping itu, kerugian konstitusional Para Pemohon merupakan kekhawatiran Para Pemohon yang tidak berdasar. Dengan demikian, tidak ada hubungan sebab akibat (causal verband) antara kerugian dan berlakunya Undang-Undang a quo yang dimohonkan pengujian.

5. Adanya kemungkinan bahwa dengan dikabulkannya permohonan, maka kerugian hak dan/atau kewenangan konstitusional yang didalilkan tidak akan atau tidak lagi terjadi
Bahwa karena tidak adanya kerugian hak dan/atau kewenangan konstitusional Para Pemohon atas berlakunya ketentuan Pasal-Pasal a quo yang bersifat spesifik (khusus) dan aktual atau setidaknya bersifat potensial yang menurut penalaran yang wajar dapat dipastikan akan terjadi, maka sudah dapat dipastikan bahwa dikabulkannya permohonan a quo tidak akan berdampak apapun pada Para Pemohon. Dengan demikian menjadi tidak relevan lagi bagi MK untuk memeriksa dan memutus permohonan a quo, karena Para Pemohon tidak memiliki kedudukan hukum (legal standing) sehingga sudah sepatutnya MK tidak mempertimbangkan pokok permohonan Para Pemohon.
Namun, apabila Majelis Hakim Konstitusi mengabulkan permohonan a quo, hal ini justru akan mengakibatkan ketidakpastian hukum khususnya dalam upaya melindungi masyarakat, bangsa, dan negara dalam kaitannya dengan pelindungan data pribadi.

Pokok Permohonan:
Dalam Perkara 108
1. Terhadap dalil Pemohon Perkara 108 yang beranggapan bahwa dengan berlakunya Pasal 2 ayat (2) UU 27/2022 dapat menimbulkan kerugian tidak adanya perlindungan pemrosesan data pribadi dalam kegiatan bisnis yang dilakukan di rumah dan semakin kemungkinan maraknya kelemahan perlindungan data pribadi orang perseorangan dalam kegiatan pribadi atau rumah tangga (vide Perbaikan Permohonan hlm. 11-17), DPR menerangkan sebagai berikut:
a. Bahwa data pribadi sebagai hak milik pribadi juga wajib dilindungi oleh negara karena hak milik tersebut tidak boleh diambil alih secara sewenang-wenang oleh siapapun sebagaimana diatur dalam Pasal 28H ayat (4) UUD NRI Tahun 1945. Dalam konteks hak milik pribadi tersebut maka terhadap data pribadi melekat pula hak privasi perseorangan yang memiliki data pribadi tersebut dan dalam rangka memberikan perlindungan terhadap hak konstitusional tersebut negara wajib hadir untuk memberikan pelindungan dari potensi terjadinya pelanggaran dalam penggunaannya oleh pihak lain. Hal ini juga telah menjadi pertimbangan pembentuk undang-undang dengan mencantumkan Pasal 28H ayat (4) UUD NRI Tahun 1945 dalam konsideran mengingat UU 27/2022.
b. Bahwa pelaksanaan perlindungan data pribadi tetap harus memberikan penghormatan terhadap Data Pribadi sebagai privasi (the right to private life) yang dimiliki oleh pemilik data. Kebebasan dalam menggunakan data pribadi oleh si pemilik data merupakan bagian dari hak privasi yang dimiliki oleh pemilik data. Mengacu kepada konsep penghormatan terhadap privasi pemilik data pribadi tersebut maka terhadap pemrosesan data pribadi yang dilakukan oleh pemilik data untuk keperluan pribadi atau rumah tangga dikecualikan dari pelaksanaan perlindungan data pribadi sebagai ranah publik dalam peraturan perundang-undangan. Hal ini diakomodir dalam UU 27/2022 yang memberikan pengecualian dalam Pasal 2 ayat (2) UU UU 27/2022. Pengecualian tersebut diberikan karena pemrosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga merupakan ranah privat masing-masing individu sebagai pemilik data yang melakukan pemrosesan Data Pribadi.
c. Bahwa pengaturan yang terdapat dalam Pasal 2 ayat (2) UU 27/2022 merupakan bentuk partisipasi bermakna karena mengakomodir masukan yang disampaikan oleh Dr. Edmon Makarim, S.Kom., S.H., LL.M. dan Asosiasi Fintech Indonesia (AFTECH) yang menyampaikan masukan terkait adanya pengaturan data pribadi dalam International Covenant on Civil and Political Rights adopted by the General Assembly of the United Nations on 19 December 1966 (ICCPR) dan General Data Protection Regulation (GDPR).
d. Bahwa Article 17 ICCPR mengatur:
1. No one shall be subjected to arbitrary or unlawful interference with his privacy, family, home or correspondence, nor to unlawful attacks on his honour and reputation.
2. Everyone has the right to the protection of the law against such interference or attacks.

Dengan adanya pengaturan ICCPR terkait privasi, hal ini sejalan dengan upaya Pembentuk Undang-Undang memenuhi kewajibannya sebagaimana diatur dalam Pasal 28I ayat (4) UUD NRI Tahun 1945 dalam kaitannya dengan pemenuhan hak setiap orang atas atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi sebagaimana diatur dalam Pasal 28G ayat (1) UUD NRI Tahun 1945. Bahwa data yang dimiliki oleh setiap orang tersebut selama tidak diberikan kepada pihak ketiga maka hal itu merupakan ranah privasi orang yang dijamin oleh UUD NRI Tahun 1945 dan diatur dengan berbagai peraturan perundang-undangan. Dalam hal data pribadi tersebut telah disampaikan dan diproses oleh pihak ketiga atau badan publik maka Negara melindungi melalui UU a quo.
e. Bahwa GDPR disebut sebagai “The toughest data protection law in the world” karena memiliki aturan yang cukup ketat dengan sanksi yang berat bagi pelanggar. GDPR juga memiliki efek ekstra teritorial karena regulasi ini berlaku bagi semua pihak di manapun berada, termasuk yang berada di luar Uni Eropa, selama mereka melakukan kegiatan-kegiatan yang berkaitan dengan pemrosesan data individu yang tinggal di kawasan Uni Eropa. GDPR memaksa perusahaan untuk lebih akuntabel, transparan, bertanggung jawab pada data pribadi pengguna dan meningkatkan cybersecurity-nya, jika tidak mau terkena denda. Pemberlakukan GDPR membuat UE menjadi sorotan internasional, dimana:
 UE mempertahankan sepak terjangnya sebagai leader dan global trendsetter dalam tech regulation dengan hadirnya GDPR yang juga banyak menjadi katalis bagi negara lain untuk menerapkan regulasi serupa.
 Selama tiga tahun penerapan, GDPR menjatuhkan sanksi kepada sejumlah raksasa teknologi mulai Google, Facebook’s WhatsApp, hingga Amazon dengan denda puluhan juta euro atas pelanggaran data pribadi yang mereka lakukan.
 Pemberlakukan GDPR berhasil mengundang masyarakat untuk melaporkan pelanggaran terhadap perlindungan data pribadi. Setidaknya 59,000 aduan dilaporkan hanya dalam waktu 8 bulan diberlakukannya aturan ini.
f. Bahwa Recital (18), Chapter 1 Article 2 (2c) GDPR mengatur pengecualian penerapan GDPR atas kegiatan pribadi atau rumah tangga.
Recital (18) menyatakan:
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities (https://gdpr.eu/Recital-18-Not-applicable-to-personal-or-household-activities/).

Chapter 1 Article 2 GDPR menyatakan:
This regulation does not apply to the processing of personal data:
(a)…
(b)…
(c) by a natural person in the course of a purely personal or household activity.

g. Bahwa berdasarkan ketentuan tersebut, pengaturan data pribadi dalam GDPR dikecualikan untuk pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga murni yang tidak ada hubungannya dengan kegiatan profesional atau komersial. Aktivitas pribadi atau rumah tangga dapat mencakup antara lain korespondensi data pribadi, penyimpanan data pribadi, aktivitas jejaring sosial dan aktivitas online yang dilakukan dalam konteks aktivitas pribadi atau rumah tangga tersebut. UU 27/2022 sebagai landasan hukum perlindungan data pribadi yang dibentuk dengan tetap memberikan penghormatan kepada penggunaan data pribadi sebagai hak milik pribadi (hak privasi) juga mengacu kepada ketentuan pengecualian yang diatur dalam GDPR terkait penggunaan data pribadi dalam kegiatan pribadi dan rumah tangga. Hal ini menjelaskan bahwa pengaturan pengecualian pemrosesan data pribadi dalam kegiatan pribadi dan rumah tangga dalam Pasal 2 ayat (2) UU a quo telah selaras dengan ketentuan yang diatur dalam ICCPR maupun GDPR.
h. Bahwa terkait perlindungan data pribadi di Indonesia saat ini, selain diatur dalam UU 27/2022 juga sudah diatur secara sektoral dan parsial yang tersebar pada beberapa peraturan perundang-undangan. Hal ini dikuatkan dengan adanya ketentuan Pasal 75 UU a quo yang menyatakan bahwa ketentuan peraturan perundang-undangan yang mengatur mengenai Pelindungan Data Pribadi, dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam UU a quo.
i. Bahwa perlindungan data pribadi dalam kegiatan bisnis yang dilakukan di rumah tetap dilindungi undang-undang di sektor terkait. Dalam hal kegiatan bisnis dilakukan secara online dan masuk kedalam konteks transaksi elektronik maka data pribadi yang digunakan untuk transaksi dilindungi oleh Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 (UU ITE) dan peraturan pelaksananya, yakni PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE). UU ITE jo. PP PSTE telah memberikan pengaturan peran Pemerintah dalam memfasilitasi pemanfaatan Teknologi Informasi dan Transaksi Elektronik, melindungi kepentingan umum dari segala jenis gangguan sebagai akibat penyalahgunaan Informasi Elektronik dan Transaksi Elektronik yang mengganggu ketertiban umum, dan mencegah penyebarluasan dan penggunaan Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan yang dilarang sesuai dengan ketentuan peraturan perundang-undangan.
j. Bahwa selain UU ITE jo. PP PSTE, kegiatan perdagangan dalam rumah tangga tentunya tidak lepas dari pengaturan dalam UU Nomor 7 Tahun 2014 tentang Perdagangan yang telah diubah terakhir dengan Perpu Nomor 2 Tahun 2022 tentang Cipta Kerja (UU Perdagangan) dan peraturan pelaksanaannya yaitu PP Nomor 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik (PP PMSE) yang mengatur aspek hukum Perdagangan dalam penyelenggaraan dan pemanfaatan Sistem Elektronik yang ditujukan khusus untuk Perdagangan. PP PMSE ini mencakup semua kegiatan Perdagangan yang dilakukan dengan menggunakan berbagai moda dan jenis sistem komunikasi elektronik, baik yang online maupun secara offline. Hal tersebut akan mencakup hubungan hukum dalam konteks antara pelaku usaha (business to business) maupun pelaku usaha dengan konsumen (business to customer). Selain itu, PP PMSE ini telah mengatur subjek hukum dalam PMSE terdiri dari pelaku usaha, konsumen, pribadi, dan instansi penyelenggara negara dengan jenis skema kegiatan PMSE diantaranya: pelaku usaha dengan pelaku usaha; pelaku usaha dengan konsumen; pribadi dengan pribadi; dan instansi penyelenggara negara dengan pelaku usaha.
k. Bahwa dengan demikian, perlindungan Data Pribadi di berbagai sektor telah jelas diberikan melalui peraturan perundang-undangan sektor lain selain UU 27/2022. Kebocoran data pribadi dalam kegiatan tersebut menjadi terlindungi dan dijamin oleh negara melalui peraturan perundang-undangan sektor terkait. Mengacu pada penjelasan tersebut maka dalam hal kegiatan bisnis atau perdagangan dilakukan di rumah, tetap saja pelaksanaannya tunduk dengan pengaturan yang ada dalam UU ITE, UU Perdagangan, PP PSTE dan PP PMSE, dan oleh karena itu dalil Pemohon Perkara 108 seharusnya memahami bahwa data pribadi yang digunakan dalam kegiatan bisnis di rumah telah diatur dan dilindungi dalam berbagai peraturan perundang-undangan.
l. Bahwa dengan demikian pengecualian dalam ketentuan Pasal 2 ayat (2) UU a quo telah memberikan perlindungan terhadap hak privasi pemilik data dalam menggunakan data pribadinya untuk kegiatan pribadi atau kegiatan rumah tangga. Oleh karena itu, dalil Pemohon Perkara 108 yang menyebutkan bahwa pengecualian Pasal 2 ayat (2) UU a quo menyebabkan lemahnya perlindungan data pribadi sebagai pemenuhan hak atas data pribadi adalah tidak benar dan hanya merupakan kekhawatiran Pemohon Perkara 108 yang telah jelas pengaturannya.
2. Terhadap dalil Pemohon Perkara 108 yang beranggapan bahwa dengan berlakunya Pasal 1 angka 4 jo. Pasal 19 UU 27/2022 dapat menimbulkan kerugian tidak dapatnya Pemohon Perkara 108 menunjuk suatu badan hukum yang ahli dibidang pemrosesan data sebagai pengendali dan prosesor data pribadinya, DPR menerangkan sebagai berikut:
a. Bahwa UU 27/2022 telah mengatur perlindungan data pribadi sebagai bagian dari pelindungan diri pribadi dan jaminan bagi masyarakat untuk mendapatkan pelayanan dari Korporasi, Badan Publik, Organisasi Internasional, dan Pemerintah dalam hal pemrosesan dan pengendalian data pribadi, sebagai upaya mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi, dan mendukung peningkatan daya saing industri dalam negeri.
b. Bahwa korporasi yang diatur dalam UU 27/2022 menjadi masuk kedalam pengertian frasa “Setiap Orang” sebagaimana diatur dalam Pasal 1 angka 7 dan angka 8 UU 27/2022 sebagai berikut:
Pasal 1 angka 7 UU 27/2022:
“Setiap Orang adalah orang perseorangan atau korporasi”

Pasal 1 angka 8 UU 27/2022:
“Korporasi adalah kumpulan orang dan/atau kekayaan terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum”.

Dilihat dari norma definisi yang diatur tersebut maka frasa “badan hukum” sudah diakomodir dalam frasa “Setiap Orang” yang ada dalam ketentuan-ketentuan UU a quo. Oleh karenanya Pasal 19 UU 27/2022 telah mencakup badan hukum sebagai pengendali dan prosesor data pribadi dan dalil Pemohon Perkara 108 terkait dengan frasa “badan hukum” menjadi tidak berdasar.
c. Bahwa mengacu kepada definisi tersebut maka maksud Pasal 1 angka 4 dan angka 5 jo. Pasal 19 UU 27/2022 menjadi jelas bahwa badan hukum dapat ditunjuk sebagai Pengendali Data Pribadi atau Prosesor Data Pribadi, dimana pengendali data pribadi merupakan pihak yang memiliki kendali penuh dalam pemrosesan data pribadi, sementara prosesor data pribadi hanya melakukan pengolahan data pribadi berdasarkan perintah atau atas nama pengendali data pribadi, yang artinya kewajiban perlindungan data pribadi yang berlaku kepada Pengendali Data Pribadi juga berlaku kepada Prosesor Data Pribadi. Bahkan Pasal 70 UU 27/2022 juga mengatur ketentuan sanksi bagi korporasi yang melakukan pelanggaran, dalam hal ini badan hukum termasuk didalamnya, berupa denda dan pidana tambahan.
d. Dengan demikian, suatu perusahaan yang berbadan hukum, dapat ditunjuk oleh pemilik data pribadi untuk menjadi Pengendali Data Pribadi atau Prosesor Data Pribadi yang tentunya dengan mengikuti ketentuan dalam UU 27/2022.

Dalam Perkara 110
1. Pemohon Perkara 110 mendalilkan bahwa ketentuan dalam Pasal 15 ayat (1) huruf a UU 27/2022 berpotensi menimbulkan kerugian konstitusional karena dapat digunakan secara sepihak dan tanpa persetujuan dan/atau sepengetahuan Pemohon untuk kepentingan pertahanan dan keamanan nasional serta frasa tersebut tidak secara terang dijelaskan dalam undang-undang a quo (vide Perbaikan Permohonan hlm. 7 dan 15).
Terhadap dalil tersebut, DPR berpandangan:
a. Bahwa ketentuan Pasal 16 UU 27/2022 telah mengatur prinsip-prinsip perlindungan data pribadi, diantaranya pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan; pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan, dan pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas. Berdasarkan prinsip-prinsip tersebut, maka telah jelas bahwa dalam pengelolaan data pribadi tidak akan lepas dari prinsip-prinsip tersebut.
b. Bahwa meskipun dalam konsideran mengingat UU 27/2022 dan penjelasan umum disebutkan Pasal 28G ayat (1) UUD NRI Tahun 1945 sebagai salah satu dasar pembentukan UU 27/2022, namun dalam konsideran mengingat tersebut terdapat ketentuan Pasal 28H ayat (4) dan Pasal 28J UUD NRI Tahun 1945. Sehingga adanya ketentuan pengecualian sebagaimana diatur dalam Pasal 15 UU 27/2022 tidak menjadikan pengaturan tersebut bertentangan dengan UUD NRI Tahun 1945.
c. Bahwa adanya pengecualian dalam Pasal a quo UU 27/2022 selaras dengan doktrin pembatasan hak konstitusional yang dikemukakan oleh Aharon Barak (Robert Alexy: A Theory of Constitutional Rights) dimana pembatasan konstitusional terjadi saat negara mencegah penggunaan hak oleh warga negara dalam ruang lingkup yang penuh. Namun, demikian hanya pembatasan proporsional yang disebut sebagai pembatasan konstitusional. Artinya, pembatasan tersebut harus melewati proportionality test yang terdiri atas empat aturan yaitu tujuan yang sah (legitimate ends), kesesuaian (suitability), kebutuhan (necessity), dan proporsionalitas dalam arti sempit (fair balance). Sehingga adanya pembatasan terhadap pengecualian data pribadi yang diperuntukkan demi pertahanan dan keamanan dapat dianalisis melalui keempat indikator tersebut.
d. Bahwa keempat prinsip tersebut diuraikan sebagai berikut:
Pertama, adanya faktor legitimate ends dalam pengecualian pada Pasal 15 ayat (1) huruf a UU 27/2022 merupakan bentuk pembatasan yang memiliki tujuan yang sah (legitimate) yakni untuk kepentingan kedaulatan negara.
Kedua, faktor suitability, yang mengukur bahwa memang benar adanya batasan tersebut mencapai tujuan yang sah, yakni adanya kebutuhan yang sangat penting untuk melindungi pertahanan dan keamanan negara.
Ketiga, necessity pada pengecualian dalam Pasal 15 ayat (1) huruf a UU 27/2022 mengatur bahwa adanya pelanggaran atas hak menimbulkan sedikit kerugian atau bahkan tidak merugikan sama sekali dibandingkan dengan menimbulkan kerugian yang lebih besar terhadap pertahanan dan keamanan. Keempat, faktor fair balance dalam Pasal 15 ayat (1) huruf a menimbulkan manfaat yang lebih besar untuk melindungi kedaulatan negara atau dapat dikatakan melindungi hak yang bersifat universal bagi seluruh warga negara.
e. Bahwa adanya pembatasan pada dasarnya memungkinkan timbulnya pertentangan, sebab hak konstitusional tidak hanya menyangkut persoalan rules sebagaimana tercantum dalam pasal-pasal UUD NRI Tahun 1945, melainkan juga persoalan principles yang memiliki values, goals, dan burden argumentation. Sehingga pemberlakuan hak konstitusional harus melibatkan keseimbangan. Dalam konteks ini konsep principle yang berkaitan erat dengan prinsip proporsionalitas (Robert Alexy: A Theory of Constitutional Rights) dinyatakan sebagai berikut:
“It has already been hinted that there is a connection between the theory of principles and the principle of proportionality. This connection is as close as it could possibly be. The nature of principles implies the principle of proportionality and vice versa. That the nature of principles implies the principle of proportionality means that the principle of proportionality with its three sub-principles of suitability, necessity (use of the least restrictive means), and proportionality in its narrow sense (that is, the balancing requirement) logically follows from the nature of principles; it can be deduced from them”

Berdasarkan prinsip tersebut maka terdapat kemungkinan-kemungkinan faktual yang mengintervensi adanya suatu prinsip maupun hukum (legal and factually possible). Prinsip tersebut dapat mengintervensi terhadap suatu prinsip lainnya. Contoh prinsip yang mungkin bertabrakan adalah persoalan public security dan hak privasi warga negara (data protection), jika negara mengumpulkan data-data tertentu yang mengganggu hak privasi warga, maka tindakan tersebut harus berkontribusi terhadap realisasi public security. Hal inilah yang memunculkan batasan yang legally possible. (Muller dalam buku A Theory of Constitutional Rights). Adanya prinsip yang saling bertentangan juga terjadi dalam penerapan Pasal 15 ayat (1) huruf a UU 27/2022, yakni terdapat kepentingan negara yang saling bertentangan dengan kepentingan pribadi sehingga dapat dikatakan dalam prinsip batasan yang legally possible, hak konstitusional tidak bersifat absolut. Oleh karena itu berdasarkan prinsip tersebut, jika terdapat benturan antara kepentingan pribadi dalam hal ini adalah hak dan/atau kewenangan konstitusional warga negara dengan kepentingan negara maka kepentingan negara lebih diutamakan dengan batasan-batasan sesuai peraturan perundang-undangan.
f. Bahwa terdapat kewajiban konstitusional warga negara untuk ikut serta dalam usaha pertahanan dan keamanan negara sebagaimana yang termaktub dalam Pasal 30 ayat (1) UUD NRI Tahun 1945. Untuk melaksanakan amanat tersebut dibentuklah Undang-Undang Nomor 3 Tahun 2002 tentang Pertahanan Negara (UU Pertahanan Negara) yang menyebutkan bahwa terhadap ancaman terhadap pertahanan dan keamanan negara yang bersifat multidimensional yang dapat bersumber, baik dari permasalahan ideologi, politik, ekonomi, sosial budaya maupun permasalahan keamanan yang terkait dengan kejahatan internasional, antara lain terorisme, imigran gelap, bahaya narkotika, pencurian kekayaan alam, bajak laut, dan perusakan lingkungan, menjadi tanggung jawab bersama dan memerlukan keterlibatan warga negara bersama-sama dengan instansi pemerintah dan non pemerintah (vide Penjelasan Umum UU Pertahanan Negara). Berdasarkan penjelasan tersebut maka Negara memiliki kewenangan untuk memproses data pribadi masyarakat dalam hal menjaga pertahanan dan keamanan Negara yang saat ini sudah bersifat multidimensional dan memerlukan penanganan dalam jangka waktu cepat.
g. Bahwa dalam implementasinya, pengecualian hak-hak subjek pribadi tetap dilaksanakan sesuai dengan asas-asas yang diatur dalam Pasal 3 UU 27/2022 khususnya asas kepentingan umum. Pengecualian hak subjek pribadi terkait kepentingan pertahanan dan keamanan nasional disebutkan secara jelas dalam penjelasan asas kepentingan umum sebagai berikut:
“Yang dimaksud dengan “asas kepentingan umum” adalah bahwa dalam menegakkan Perlindungan Data Pribadi harus memperhatikan kepentingan umum untuk masyarakat secara luas. Kepentingan umum tersebut antara lain kepentingan penyelenggaraan negara dan pertahanan dan keamanan nasional”.

sehingga adanya pengecualian dalam Pasal 15 ayat (1) huruf a UU 27/2022 dalam hal pemrosesan data pribadi untuk kepentingan pertahanan dan keamanan nasional telah sejalan dengan asas kepentingan umum dimana pemrosesan data pribadi oleh negara digunakan untuk menjaga kepentingan umum dan masyarakat secara luas.
h. Selain itu, UU a quo juga mengatur terkait hak subjek data pribadi untuk menggugat dan menerima ganti rugi apabila terdapat pelanggaran dalam pemrosesan Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan sebagaimana yang tercantum dalam Pasal 12 UU 27/2022. Ketentuan Pasal 12 UU 27/2022 ini tidak termasuk dalam pasal-pasal yang dikecualikan dalam Pasal 15 ayat (1) UU 27/2022. Berdasarkan ketentuan tersebut, maka dalam pemrosesan data pribadi untuk kepentingan pertahanan dan keamanan oleh Negara tentunya dilakukan dengan pertimbangan khusus untuk melindungi kepentingan umum dan masyarakat luas dan dalam hal ini negara harus dapat menjamin pemrosesan data pribadi tepat subjek dan tepat sasaran. Sehingga, ganti rugi tersebut merupakan salah satu bentuk jaminan Negara dalam pelaksanaan pemrosesan data pribadi yang dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.
i. Bahwa dengan demikian, materi muatan Pasal a quo tidak bertentangan dan telah sesuai dengan Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945.

108 DAN 110/PUU-XX/2022

Pemohon Perkara 108 mengajukan pengujian materiil terhadap Pasal 1 angka 4, Pasal 2 ayat (2), dan Pasal 19 UU 27/2022 dan Pemohon Perkara 110 mengajukan pengujian materiil terhadap Pasal 15 ayat (1) huruf a UU 27/2022

Pemohon Perkara 108 mengemukakan bahwa Pasal 1 angka 4, Pasal 2 ayat (2), dan Pasal 19 UU 27/2022 bertentangan dengan Pasal 28D ayat (1) UUD NRI Tahun 1945 dan Pemohon Perkara 110 mengemukakan bahwa Pasal 15 ayat (1) huruf a UU 27/2022 bertentangan dengan Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945