Resume Putusan MK - Menyatakan Menolak, Tidak Dapat Diterima

Leonardo Siahaan, S.H., yang selanjutnya disebut sebagai Pemohon.

Pasal 1 angka 4, Pasal 2 ayat 2, dan Pasal 19 UU 27/2022

Pasal 28D ayat (1) UUD NRI Tahun 1945

perwakilan DPR RI dihadiri secara virtual oleh Kepala Pusat Pemantauan Pelaksanaan Undang-Undang dan jajarannya di lingkungan Pusat Pemantauan Pelaksanaan Undang-Undang, Badan Keahlian, Sekretariat Jenderal DPR RI.

Bahwa terhadap pengujian UU 27/2022 dalam permohonan a quo, Mahkamah Konstitusi memberikan pertimbangan hukum sebagai berikut:
[3.12] Menimbang bahwa berkenaan dengan dalil yang dikemukakan Pemohon dalam permohonannya, terdapat dua hal pokok persoalan konstitusional yang harus dijawab oleh Mahkamah. Pertama, Pemohon mempersoalkan mengenai norma Pasal 1 angka 4 dan Pasal 19 UU 27/2022 di mana kedua norma a quo tidak mengatur mengenai keterlibatan badan hukum dalam melakukan pemrosesan data pribadi atau pengendali data pribadi. Kedua, Pemohon mempersoalkan mengenai norma Pasal 2 ayat (2) UU 27/2022 menurut Pemohon norma a quo mengecualikan perlindungan terhadap pemrosesan data pribadi oleh perseorangan dalam kegiatan pribadi atau rumah tangga. Lebih lanjut, menurut Pemohon, norma Pasal 1 angka 4, Pasal 2 ayat (2) dan Pasal 19 UU 27/2022 bertentangan dengan hak atas pengakuan jaminan, perlindungan, dan kepastian hukum yang adil serta perlakuan yang sama di hadapan hukum sebagaimana dijamin dalam ketentuan Pasal 28D ayat (1) UUD 1945. Terhadap dua hal pokok persoalan konstitusional dalam dalil Pemohon a quo, Mahkamah mempertimbangkan selengkapnya sebagai berikut:
[3.12.1] Bahwa norma Pasal 1 angka 4 dan Pasal 19 UU 27/2022 yang dimohonkan pengujian oleh Pemohon apabila dicermati oleh Mahkamah adalah mengatur hal yang sama, yaitu pengertian mengenai subjek hukum yang diklasifikasikan sebagai pengendali data pribadi dan prosesor data pribadi. Bahwa yang dimaksud dengan pengendali data pribadi dalam Pasal 1 angka 4 UU 27/2022 adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Lebih lanjut dijelaskan, norma Pasal 1 angka 4 UU 27/2022 merupakan norma yang termaktub dalam Bab I Ketentuan Umum, di mana hal-hal yang tercantum dalam ketentuan umum mengatur mengenai pengertian atau definisi, singkatan atau akronim yang dituangkan dalam batasan pengertian atau definisi dan/atau hal-hal lain yang bersifat umum yang akan diatur dalam pasal atau beberapa pasal berikutnya antara lain ketentuan yang mencerminkan asas, maksud dan tujuan sebagaimana diatur dalam UU a quo. Demikian pula yang dimaksud dengan pengendali data pribadi dan prosesor data pribadi sebagaimana yang dimaksud dalam Pasal 19 UU 27/2022 adalah setiap orang, badan publik, dan organisasi internasional. Bahwa norma Pasal 19 UU 27/2022 ini merupakan norma yang terdapat dalam Bab VI yang mengatur mengenai kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi.
Bahwa dalam Bab I Ketentuan Umum UU 27/2022 diatur mengenai definisi siapa saja yang dapat menjadi subjek hukum sebagaimana yang dimaksud dengan setiap orang, badan publik, dan organisasi internasional dengan uraian, sebagai berikut: bahwa yang dimaksud dengan setiap orang adalah orang perseorangan atau korporasi [vide Pasal 1 angka 7 UU 27/2022], dan yang dimaksud dengan korporasi adalah kumpulan orang dan/atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum [vide Pasal 1 angka 8 UU 27/2022]. Selanjutnya, yang dimaksud dengan badan publik adalah lembaga eksekutif, legislatif, yudikatif, dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara, yang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara dan/atau Anggaran Pendapatan dan Belanja Daerah, atau organisasi nonpemerintah sepanjang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara dan/atau Anggaran, Pendapatan dan Belanja Daerah, sumbangan masyarakat, dan/atau luar negeri [vide Pasal 1 angka 9 UU 27/2022]. Sementara itu, yang dimaksud dengan Organisasi Internasional adalah organisasi yang diakui sebagai subjek hukum internasional dan mempunyai kapasitas untuk membuat perjanjian internasional [vide Pasal 1 angka 10 UU 27/2022].
Bahwa berdasarkan uraian fakta hukum di atas, maka selanjutnya apabila dikaitkan dengan dalil Pemohon yang menyatakan Pasal 1 angka 4 dan Pasal 19 UU 27/2022 tidak mengatur mengenai keterlibatan badan hukum dalam melakukan pemrosesan data pribadi atau pengendali data pribadi, menurut Mahkamah subjek hukum yang turut berperan dalam pengendali dan pemroses data pribadi yang berbentuk badan hukum seperti yang dimaksudkan oleh Pemohon sesungguhnya telah tercakup dalam definisi “Setiap Orang” pada Ketentuan Umum Pasal 1 angka 7 UU 27/2022. Di mana, dalam definisi “Setiap Orang” tersebut mencakup korporasi yang kemudian diatur lebih lanjut dalam Pasal 1 angka 8 UU 27/2022, bahwa dalam ketentuan tersebut telah ditegaskan, korporasi dapat berbentuk badan hukum. Oleh karena itu, berdasarkan ketentuan norma tersebut korporasi yang berbentuk badan hukum dapat ditunjuk sebagai Pengendali Data Pribadi atau Prosesor Data Pribadi.
Bahwa lebih lanjut dijelaskan, Pengendali Data Pribadi dan Prosesor Data Pribadi memiliki kewajiban untuk bertanggung jawab atas pemrosesan data pribadi dan menunjukkan pertanggung jawaban dalam pemenuhan kewajiban pelaksanaan prinsip perlindungan pribadi dan dalam hal Pengendali Data Pribadi menunjuk Prosesor Data Pribadi, dan selanjutnya Prosesor Data Pribadi wajib melakukan pemrosesan Data Pribadi berdasarkan perintah Pengendali Data Pribadi. Dengan demikian, menurut Mahkamah, jika Pemohon memperhatikan secara saksama, UU 27/2022 ternyata telah memberikan kesempatan kepada badan hukum untuk dapat bertindak sebagai pengendali data pribadi. Terlebih, dalam ketentuan norma Pasal 48 UU 27/2022 diatur pula tentang mekanisme jika Pengendali Data Pribadi yang berbentuk badan hukum ketika sedang menangani pemrosesan data pribadi atas subjek data pribadi dengan melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum maka badan hukum tersebut memiliki kewajiban untuk menyampaikan pemberitahuan pengalihan Data Pribadi kepada Subjek Data Pribadi. Oleh karena itu, fakta hukum a quo membuktikan, UU 27/2022 telah melibatkan badan hukum sebagai salah satu subjek hukum yang dapat menjadi pengendali data pribadi, sehingga hal ini menegaskan bahwa berkaitan dengan dalil Pemohon tidak dilibatkannya badan hukum sebagai Pengendali data Pribadi dan hal tersebut melanggar hak konstitusional Pemohon untuk memperoleh pengakuan, jaminan, perlindungan dan kepastian hukum yang dilindungi dalam Pasal 28D ayat (1) UUD 1945 adalah dalil yang tidak dapat dibuktikan. Terlebih, apabila permohonan Pemohon agar Pasal 1 angka 4 UU 27/2022 dikabulkan dan dinyatakan bertentangan dengan UUD 1945 dan tidak mempunyai kekuatan hukum mengikat maka hal ini justru akan berpengaruh pada struktur UU 27/2022 secara keseluruhan. Dalam hal ini, publik akan kehilangan norma yang mengatur siapa saja yang dapat menjadi subjek hukum untuk bertindak sebagai Pengendali Data Pribadi, yang memiliki kewajiban untuk melindungi data pribadi dan tentu saja hal ini akan berdampak juga terhadap ketentuan Pasal 19 dan pasal lainnya yang ada dalam UU 27/2022.
Bahwa berdasarkan uraian pertimbangan hukum di atas, dalil Pemohon berkenaan dengan inkonstitusionalitas norma Pasal 1 angka 4 dan Pasal 19 UU 27/2022 adalah tidak beralasan menurut hukum.

[3.12.2] Bahwa selanjutnya berkenaan dengan dalil Pemohon berkaitan dengan ketentuan norma Pasal 2 ayat (2) UU 27/2022 yang dimohonkan oleh Pemohon yang menyatakan, “Undang-Undang ini tidak berlaku untuk pemrosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga”. Menurut Pemohon, Pasal 2 ayat (2) UU 27/2022 tidak memberikan perlindungan terhadap pemrosesan data pribadi dalam kegiatan bisnis yang dilakukan di rumah, khususnya dengan maraknya bisnis e-commerce sehingga banyak kegiatan bisnis yang dilakukan oleh pribadi atau rumah tangga serta tidak ada perlindungan atau lemahnya perlindungan terhadap data pribadi orang perseorangan di dalam kegiatan pribadi atau rumah tangga.
Bahwa terhadap dalil Pemohon tersebut, Mahkamah mempertimbangkan, pelindungan data pribadi merupakan salah satu bentuk pelindungan terhadap hak asasi manusia, hal ini disebabkan dengan adanya perkembangan teknologi informasi dan komunikasi yang memungkinkan manusia saling terhubung tanpa mengenal batas wilayah negara. Pemanfaatan teknologi informasi tersebut mengakibatkan data pribadi seseorang dapat dengan mudah dikumpulkan dan dipindahkan dari satu pihak ke pihak yang lain tanpa sepengetahuan Subjek Data Pribadi yang bersangkutan, oleh karena itu hal yang demikian dapat mengancam hak konstitusional Subjek Data Pribadi yang bersangkutan. Hal tersebut relevan dengan alasan bahwa Pelindungan Data Pribadi diperlukan karena keprihatinan akan pelanggaran terhadap Data Pribadi yang dapat dialami oleh setiap orang dan/atau badan hukum yang bermuara pada terlanggarnya hak asasi. Dengan demikian, perumusan aturan tentang Pelindungan Data Pribadi sangat diperlukan, karena adanya kebutuhan untuk melindungi hak individu di dalam masyarakat sehubungan dengan pemrosesan Data Pribadi baik yang dilakukan secara elektronik dan nonelektronik menggunakan perangkat olah data. Sehingga, pelindungan yang memadai dan komprehensif atas Data Pribadi akan mampu memberikan kepercayaan dan pelindungan masyarakat, di samping mampu menyediakan dan memberikan Data Pribadi yang diperlukan untuk berbagai kepentingan masyarakat, tanpa disalahgunakan atau melanggar hak pribadi yang bersifat privat.
Bahwa berdasarkan salah satu pertimbangan ratio legis di atas lahirlah UU 27/2022 a quo, yang sejatinya Undang-Undang ini memuat ketentuan-ketentuan antara lain standar Pelindungan Data Pribadi secara umum, baik yang diproses sebagian atau keseluruhan dengan cara elektronik dan nonelektronik, di mana masing-masing sektor dapat menerapkan Pelindungan Data Pribadi sesuai karakteristik sektor masing-masing. Namun, secara universal Pengaturan Data Pribadi mempunyai tujuan yang sama, yaitu antara lain melindungi dan menjamin hak dasar warga negara terkait dengan pelindungan diri pribadi, menjamin masyarakat untuk mendapatkan pelayanan dari Korporasi, Badan Publik, Pemerintah, dan Organisasi Internasional mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi, serta mendukung peningkatan daya saing industri dalam negeri [vide Penjelasan Umum UU 27/2022].
Bahwa berkaitan dengan dalil Pemohon yang juga mempersoalkan pengecualian yang terdapat dalam ketentuan norma Pasal 2 ayat (2) UU 27/2022 di mana ketentuan norma tersebut menegaskan, bahwa Undang-Undang a quo tidak berlaku untuk pemrosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga. Terhadap hal tersebut, Mahkamah berpendapat, bahwa dalam memahami maksud dari norma tersebut harus dipahami terlebih dahulu maksud dari pemrosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga. Menurut Mahkamah, pemrosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga adalah suatu bentuk kegiatan pemrosesan Data Pribadi yang hanya dilakukan dalam kegiatan pribadi dengan kata lain kegiatan tersebut dikategorikan sebagai kegiatan dalam ranah privat yang tentu saja kegiatan pemrosesan data tersebut bersifat non-komersial. Oleh karena itu, tanpa bermaksud menilai kasus yang dialami oleh Pemohon jika hal tersebut benar ada, kegiatan pemrosesan data pribadi dilakukan seperti yang didalilkan oleh Pemohon yaitu kegiatan pemrosesan data pribadi terhadap kegiatan bisnis atau e-commerce walaupun kegiatan tersebut adalah kegiatan pribadi atau rumah tangga dan kegiatan tersebut dilakukan di rumah, namun terhadap kegiatan pemrosesan data pribadi seperti ini tidak dapat dikecualikan sebagaimana diatur norma Pasal 2 ayat (2) UU 27/2022, melainkan termasuk kegiatan yang sudah termaktub dalam ketentuan yang diatur dalam Pasal 2 ayat (1) UU 27/2022. Dengan demikian, kegiatan pemrosesan data pribadi tersebut harus memenuhi syarat-syarat dan tunduk serta patuh pada semua ketentuan dan kewajiban yang diatur dalam UU 27/2022.
Bahwa demikian halnya dengan argumentasi Pemohon, norma Pasal 2 ayat (2) UU 27/2022 menyebabkan hilangnya pelindungan terhadap data pribadi orang perseorangan dalam kegiatan pribadi atau rumah tangga. Terhadap hal tersebut, menurut Mahkamah, justru dengan keberadaan norma Pasal 2 ayat (2) UU 27/2022, memberikan pelindungan terhadap kegiatan-kegiatan yang hanya dilakukan dalam lingkup pribadi atau keluarga atau dengan kata lain merupakan ranah privat. Norma a quo memberikan pelindungan hak privasi sebagai orang perseorangan dalam menggunakan data pribadi untuk terbatas pada tujuan pribadi ataupun rumah tangga yang tidak perlu mengikuti ketentuan sebagaimana diatur dalam UU 27/2022, seperti ketentuan mengenai pemenuhan prinsip pemrosesan data pribadi, dasar hukum dalam pemrosesan data pribadi, beserta kewajiban dan hal-hal lain yang bersifat membebani kegiatan pribadi atau rumah tangga, kecuali jika kegiatan pribadi atau rumah tangga tersebut ternyata disalahgunakan untuk kegiatan profit oriented (e-commerce), maka harus dipenuhi syarat-syarat sebagaimana diatur dalam UU 27/2022. Oleh karenanya menurut Mahkamah, norma Pasal 2 ayat (2) UU 27/2022 telah memberikan pelindungan kepada pemrosesan data pribadi yang dilakukan oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga, dan menurut Mahkamah hal ini tidak melanggar hak konstitusional untuk memperoleh pengakuan, jaminan, pelindungan dan kepastian hukum yang dilindungi dalam Pasal 28D ayat (1) UUD 1945. Apabila permohonan Pemohon agar Pasal 2 ayat (2) UU 27/2022 dikabulkan dan dinyatakan bertentangan dengan UUD 1945 dan tidak mempunyai kekuatan hukum mengikat maka hal ini justru akan menghilangkan pelindungan terhadap Data Pribadi sebagai hak privasi yang dimiliki oleh pemilik data, di samping akan menghilangkan batasan atau terminologi tentang Pengendali Data beserta unsur-unsur subjek hukumnya. Dengan demikian, dalil Pemohon berkenaan dengan inkonstitusionalitas norma Pasal 2 ayat (2) UU 27/2022 adalah tidak beralasan menurut hukum.
[3.13] Menimbang bahwa berdasarkan pertimbangan hukum sebagaimana diuraikan di atas, Mahkamah berpendapat ketentuan norma Pasal 1 angka 4, Pasal 2 ayat (2) dan Pasal 19 UU 27/2022 telah ternyata tidak menimbulkan hilangnya hak atas pengakuan jaminan, perlindungan, dan kepastian hukum yang 120 adil serta perlakuan yang sama di hadapan hukum yang dijamin dalam UUD 1945 sebagaimana didalilkan Pemohon. Oleh karena itu, dalil-dalil Pemohon adalah tidak beralasan menurut hukum untuk seluruhnya.
[3.14] Menimbang bahwa berkenaan dengan hal-hal lain dalam permohonan Pemohon tidak dipertimbangkan karena tidak ada relevansinya.