Pengecualian pada Perlindungan Data Pribadi Dipersoalkan ke MK
UU PDP mengatur subyek data dapat mengendalikan data pribadinya. Namun, hak itu tak berlaku untuk kepentingan pertahanan dan keamanan nasional. Hal ini dipersoalkan ke Mahkamah Konstitusi.
JAKARTA, KOMPAS - Setidaknya dua perihal terkait dengan pengelolaan data pribadi seperti diatur dalam Undang-Undang Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi dipersoalkan ke Mahkamah Konstitusi. Hal pertama yang dipersoalkan terkait ketentuan pengecualian terhadap hak-hak subyek data untuk kepentingan pertahanan dan keamanan nasional. Hal ini dipersoalkan antara lain karena UU Pelindungan Data Pribadi tidak memberikan batasan yang jelas mengenai apa yang dimaksud dengan kepentingan keamanan dan ketahanan nasional itu.
Hal lainnya yang dipersoalkan adalah tak berlakunya UU Pelindungan Data Pribadi (PDP) untuk pemrosesan data pribadi oleh orang perseorangan atau rumah tangga.
Kedua persoalan itu, berdasarkan hasil penelusuran Kompas di situs Mahkamah Konstitusi (MK), pada Selasa (8/11/2022), didiaftarkan dalam dua perkara berbeda untuk permohonan uji materi UU No 27/2022 tentang Perlindungan Data Pribadi (PDP) ke MK. Persoalan pertama terkait dengan penggunaan data pribadi untuk kepentingan pertahanan dan keamanan nasional diajukan oleh Dian Leonaro Benny pada 7 November lalu.
Sementara yang terkait penggunaan data pribadi untuk pemrosesan oleh perseorangan diajukan oleh Leonardo Siahaan. Perkaranya telah memperoleh registrasi dengan Nomor 108/PUU-XX/2022.
Dalam permohonannya, Dian Leonaro Benny meminta agar MK menghapus Pasal 15 ayat (1) huruf a UU PDP yang memuat ketentuan bahwa hak-hak subjek data pribadi sebagaimana dimaksud dalam Pasal 8, Pasal 9, Pasal 10 Ayat 1, Pasal 11, dan Pasal 13 Ayat 1 dan 2 dikecualikan untuk; a. kepentingan pertahanan dan keamanan nasional. Padahal seperti diatur dalam Pasal 8, bahwa subjek data berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnakan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundan-undangan.
Baca juga: UU Pelindungan Data Pribadi Akhirnya Disahkan, Asa Baru Mencegah Kebocoran Data
Urgensi UU Perlindungan Data Pribadi
Jika tak menghapus pasal tersebut, Dian meminta MK memberikan definisi yang pasti untuk menghindari pasal tersebut multitafsir dan menimbulkan ketidakpastian hukum. Menurutnya, Pasal 15 Ayat (1) Huruf a UU PDP itu bertentangan dengan Pasal 28D ayat (1) dan Pasal 28E ayat (1) UUD 1945.
Untuk kepentingan pertahanan dan keamanan nasional, menurut penjelasan Dian, hak subjek data pribadi untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadinya, untuk menarik kembali persetujuan pemrosesan data pribadi yang telah diberikan kepada pengendali data pribadi, menjadi hilang. Subjek data pribadi juga tidak lagi dapat untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis termasuk pemrofilan yang menimbulkan akibat hukum atau berdampak signifikan pada subjek data pribadi.
“Hak subjek data pribadi untuk mendapatkan dan/atau menggunakan data pribadinya dan mengirimkan ke pengendali data pribadi lain juga dikecualikan,” jelas Dian dalam permohonannya.
Dian pun mempersoalkan tidak adanya penjabaran mengenai frasa “kepentingan pertahanan dan keamanan nasional”. Hal tersebut dinilai merugikan karena tidak ada kepastian hukum di dalam pasal tersebut.
Dian pun mempersoalkan tidak adanya penjabaran mengenai frasa “kepentingan pertahanan dan keamanan nasional”. Hal tersebut dinilai merugikan karena tidak ada kepastian hukum di dalam pasal tersebut. “Adanya kemungkinan akan pelanggaran terhadap hak-hak subjek data pribadi yang dapat dilakukan pemrosesan data pribadi secara sepihak tanpa sepengetahuan subjek data pribadi dalam rangka kepentingan pertahanan dan keamanan nasional. Tentunya hal ini menabrak hak konstitusional pemohon mengenai perlindungan diri pribadi, in casu perlindungan data pribadi sebagai hak asasi,” kata Dian.
Hak fundamental
Dalam permohonannya, ia juga menguraikan bahwa perlindungan data merupakan hak asasi manusia yang fundamental. Sejumlah negara pun telah mengakui bahwa perlindungan data sebagai hak konstitusional atau dalam bentuk “habeas data”, yakni hak seseorang untuk mendapatkan pengamanan terhadap datanya dan untuk mendapatkan pembenaran ketika ditemukan kesalahan terhadap datanya.
Baca juga: UU Pelindungan Data Pribadi Belum Sepenuhnya Bertaji
Infografik Perlindungan Data Pribadi Makin Diperlukan
Dalam putusan MK sebelumnya, yaitu putusan nomor 5/PUU-VIII/2011, disebutkan, hak atas privasi atau right to privacy merupakan bagian dari hak asasi manusia (derogable rights). Cakupan dari right to privacy meliputi informasi atau right to information privacy yang disebut juga data privacy. Perlindungan dan kerahasiaan data pribadi juga diatur di sejumlah regulasi termasuk diantaranya UU Informasi dan Transaksi Elektronik dan aturan turunannya.
“Ketentuan di dalam Pasal 15 ayat (1) huruf a tidak secara terang dan jelas menjelaskan secara pasti dan akurat mengenai yang dimaksud dengan “kepentingan pertahanan dan keamanan nasional”. Menurut pandangan pemohon (itu) dapat berpotensi menjadi Pasal yang multitafsir dan bermasalah di kemudian hari, dan digunakan sebagai justifikasi untuk mengecualikan hak-hak subjek data pribadi,” kata Dian dalam berkas permohonannya.
Terkait dengan hal tersebut, ia meminta MK untuk membatalkan Pasal 15 ayat (1) UU PDP karena bertentangan dengan konstitusi. Alternatif lainnya, apabila MK tidak bersedia membatalkan ketentuan tersebut, Dian meminta MK untuk memberi Batasan terhadap kepentingan ketahanan dan keamanan nasional.
“Menyatakan Pasal 15 ayat (1) huruf a UU PDP bertentangan dengan UUD 1945 dan tidak memiliki kekuatan hukum mengikat sepanjang tidak dimaknai “yang dimaknai dengan ‘kepentingan pertahanan dan keamanan nasional’ adalah kepentingan yang berkaitan dengan upaya untuk menjaga dan melindungi kedaulatan negara, kebutuhan wilayah Negara Kesatuan Republik Indonesia, dan keselamatan segenap bangsa dari segala bentuk ancaman”, demikian amar putusan yang dimohonkan oleh Dian.
Kegiatan rumah tangga
Leonardo Siahaan mempersoalkan Pasal 2 Ayat 2 UU PDP yang menyebutkan bahwa Undang-undang ini tidak berlaku untuk pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga. Padahal, menurutnya, teknologi informasi telah mengakibatkan data pribadi seseorang sangat mudah dikumpulkan dan dipindahkan dari satu pihak ke pihak lain tanpa sepengetahuan subjek data pribadi.
“Pasal 2 ayat (2) UU 27/2022 tentang PDP dikhawatirkan akan menimbulkan perbedaan penafsiran dari penegak hukum sehingga semangat dari tujuan dibentuknya UU PDP menjadi tidak ada gunanya,” demikian ungkap Leonardo dalam berkas permohonan.
Baca juga : Ancaman Serius Kebocoran Data di Indonesia
Apalagi, saat ini banyak kegiatan bisnis daring (e-commerce) yang dilakukan dari rumah. Kegiatan bisnis itu tidak luput dari kerentanan kebocoran data yang diakibatkan peretasan guna meraup keuntungan yang sebesar-besarnya. Leonardo pun khawatir pengaturan yang tidak diberi penjelasan lebih detail tersebut dapat memunculkan ketidakpastian hukum.
Leonardo juga khawatir jika pengaturan yang tidak diberi penjelasan lebih detail tersebut dapat memunculkan ketidakpastian hukum. “Pasal 2 ayat (2) UU 27/2022 tentang PDP dikhawatirkan akan menimbulkan perbedaan penafsiran dari penegak hukum sehingga semangat dari tujuan dibentuknya UU PDP menjadi tidak ada gunanya,” demikian ungkap Leonardo dalam berkas permohonan.
Leonardo juga khawatir jika pengaturan yang tidak diberi penjelasan lebih detail tersebut dapat memunculkan ketidakpastian hukum.
Leonardo mendapatkan contoh kasus dari pengaturan serupa di Belanda. Seorang ibu yang memiliki tiga anak yang masih bawah umur mengajukan gugatan ke pengadilan untuk menghentikan unggahan foto anak-anaknya oleh si nenek di media sosial seperti facebook, pinterest dan lainnya. Ibu tersebut mendalilkan bahwa penggunaan foto-foto anaknya di media sosial tersebut tidak mendapat persetujuan dari mantan pasangannya. Mantan pasangannya bertanggung jawab penuh terhadap anak bungsunya.
Saat diprotes, si nenek bersedia untuk menghapus foto-foto dari cucu pertama dan keduanya. Namun, ia enggan untuk menghapus foto cucu bungsunya. Atas kasus tersebut, Pengadilan Tingkat Pertama Gelderland memutuskan bahwa pemrosesan data pribadi (foto) anak di bawah umum oleh nenek penggugat adalah melanggar hukum dan harus mendapatkan persetujuan perwakilan hukum. Pengadilan menghukum nenek tersebut untuk membayar denda harian sebesar 50 euro hingga 1000 euro. Pengadilan juga melarang si nenek untuk memposting tanpa izin foto anak-anak itu di media sosial.
Pengadilan memutuskan bahwa tidak mungkin untuk menetapkan dengan pasti bahwa postingan foto di media sosial termasuk dalam “pengecualian rumah tangga” dari Pasal 2 (2) c GDPR.
Hingga Selasa kemarin, MK belum menjadwalkan sidang pemeriksaan perkara kedua permohonan uji materi UU PDP tersebut.