 |
Advokat Zico Leonard Djagardo Simanjuntak – Foto Tribunnews.com |
BORNEOTREND.COM, JAKARTA – Mahkamah Konstitusi (MK) menolak permohonan pengujian Pasal 20 ayat (2) huruf a Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang diajukan Advokat Zico Leonard Djagardo Simanjuntak. Permohonan ini didasari permasalahan data pribadi Zico yang digunakan tanpa izin untuk pengajuan pinjaman online (pinjol) yang sama sekali tidak pernah dilakukan Pemohon.
Peristiwa tersebut merugikannya karena dia harus menanggung kerugian finansial, rasa aman, waktu dan tenaga, serta reputasi keuangan yang masuk ke sistem credit scoring.
Pemohon menduga kejadian tersebut diduga timbul karena Pemohon menyerahkan data pribadi seperti foto diri dan scan KTP untuk syarat pemrosesan pengajuan kartu kredit melalui agen-agen kredit.
Pemohon kemudian mengajukan upaya hukum gugatan kepada pinjol tersebut yang berujung pada Pemohon ditawarkan perdamaian dari pihak lawan.
Dalam prosesnya, Pemohon mengetahui pinjol tersebut pernah dua kali digugat oleh orang lain yang mengalami permasalahan yang sama yakni data pribadinya digunakan tanpa izin.
“Saya memiliki privilege karena berlatar belakang hukum dan advokat. Tapi bahkan saya sendiri yang mengerti hukum harus berbelit-beli menempuh upaya hukum. Bagaimana dengan mereka yang bukan berlatar belakang hukum?” kata Zico.
Karena itu, Pemohon mengajukan permohonan pengujian materiil Pasal 20 ayat (2) huruf a UU PDP yang berbunyi “persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi.”
Menurut Pemohon, pasal itu tidak mengatur seperti apa yang dimaksud dengan persetujuan yang sah, sehingga akibatnya bisa ditafsirkan secara luas, termasuk dengan penggunaan click box yang bisa saja dilakukan oleh siapa saja meskipun bukan dirinya yang memiliki data pribadi yang bersifat spesifik tersebut.
Pemohon menyatakan negara belum mampu menyediakan infrastruktur autentikasi yang memadai untuk melindungi warga negara dari penyalahgunaan data pribadi, sehingga kewajiban penggunaan Tanda Tangan Elektronik (TTE) tersertifikasi menjadi kebutuhan mendesak bagi perlindungan konstitusional warga negara. Keberadaan TTE tersertifikasi juga memberikan mekanisme pertanggungjawaban yang jelas.
Dalam hal terjadi kegagalan autentikasi atau penyalahgunaan identitas, tanggung jawab tidak lagi dibebankan sepenuhnya kepada nasabah, melainkan dapat dialihkan secara proporsional kepada Penyelenggara Sertifikasi Elektronik yang memberikan jaminan keabsahan identitas melalui sertifikat elektronik. Dengan demikian, perlindungan hukum bersifat preventif dan tidak semata-mata represif setelah kerugian terjadi.
Pemohon dalam petitumnya memohon kepada Mahkamah untuk menyatakan Pasal 20 ayat (2) huruf a UU PDP bertentangan dengan UUD NRI Tahun 1945 dan tidak mempunyai kekuatan hukum mengikat secara bersyarat sepanjang tidak dimaknai “persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi, dan dalam hal pemrosesan Data Pribadi yang memiliki potensi risiko tinggi dilakukan melalui sistem elektronik, persetujuan tersebut wajib diberikan dengan menggunakan Tanda Tangan Elektronik yang diamankan dengan Sertifikat Elektronik sesuai ketentuan peraturan perundang-undangan.”
MK melalui Hakim Konstitusi Arsul Sani menegaskan pemrosesan data pribadi hanya dapat dilakukan dengan persetujuan yang sah dari subjek data pribadi.
“Sesungguhnya undang-undang a quo sudah memberikan aturan secara rinci mengenai pemrosesan data pribadi yang hanya dapat dilakukan dengan persetujuan yang sah dari subjek data pribadi dan merupakan salah satu bentuk perlindungan data pribadi yang dijamin pelaksanaannya oleh pengendali data pribadi dalam undang-undang a quo,” ujar Arsul Sani membacakan pertimbangan hukum Putusan Nomor 284/PUU-XXIII/2025 pada Senin (2/3/2026) di Ruang Sidang Pleno MK, Jakarta.
Arsul menjelaskan persetujuan yang sah yang dimaksud Pasal 20 ayat (2) huruf a UU PDP tidak serta merta langsung didapatkan oleh pengendali data pribadi dari subjek data pribadi.
UU PDP telah membatasi cara pengendali data pribadi mendapatkan persetujuan yang sah yaitu dengan terlebih dahulu menyampaikan informasi kepada subjek data pribadi mengenai legalitas dan tujuan pemrosesan data pribadi, jenis dan relevansi data yang akan diproses, jangka waktu retensi dokumen yang memuat data pribadi, rincian mengenai informasi yang dikumpulkan, serta jangka waktu pemrosesan dan hak dari subjek data pribadi.
Selain itu, jika terdapat perubahan informasi maka pengendali data pribadi harus memberitahukan hal tersebut kepada subjek data pribadi sebelum perubahan dilakukan.
Persetujuan yang sah sebagai dasar pemrosesan data pribadi tersebut dilakukan melalui persetujuan tertulis atau terekam dan dapat disampaikan kepada subjek data pribadi secara elektronik maupun non-elektronik.
Karena itu, pemrosesan data pribadi yang dilakukan oleh pengendali data pribadi wajib dilakukan secara terbatas dan spesifik sebagaimana tujuan pemrosesan yang telah ditentukan pada saat pengumpulan data pribadi serta sah secara hukum dan transparan dengan memastikan subjek data pribadi telah mengetahui data pribadi yang diproses dan bagaimana data pribadi tersebut diproses. Melalui UU PDP, data pribadi yang dimiliki oleh masyarakat atau subjek data pribadi telah ternyata dibatasi penggunaannya dan tidak dapat serta merta digunakan secara sembarangan oleh pengendali data pribadi karena setiap pemrosesannya harus dilakukan sesuai dengan tujuan pemrosesan yang disetujui oleh subjek data pribadi atau selaku pemilik data pribadi tersebut.
Dengan demikian, frasa “persetujuan yang sah” dalam norma Pasal 20 ayat (2) huruf a UU PDP dimaksudkan untuk memberikan jaminan perlindungan bagi data pribadi secara berkepastian hukum sehingga tidak bertentangan dengan Pasal 28D ayat (1) dan Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia (UUD NRI) Tahun 1945.
Jika dalam klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan data pribadi, tidak memuat persetujuan yang sah secara eksplisit dari subjek data pribadi, maka perjanjian tersebut dinyatakan batal demi hukum.
Sumber: Mahkamah Kontitusi