284/PUU-XXIII/2025

SALINAN PUTUSAN NOMOR 284/PUU-XXIII/2025 DEMI KEADILAN BERDASARKAN KETUHANAN YANG MAHA ESA MAHKAMAH KONSTITUSI REPUBLIK INDONESIA, [1.1] Yang mengadili pengujian undang-undang pada tingkat pertama dan terakhir, menjatuhkan putusan dalam Permohonan Pengujian Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi terhadap Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, yang diajukan oleh: Nama : Zico Leonard Djagardo Simanjuntak, S.H Pekerjaan : Advokat Alamat : Jalan Aries Asri VI E 16/3, RT/RW 009/008, Kelurahan Meruya Utara, Kecamatan Kembangan, DKI Jakarta. Dalam hal ini berdasarkan Surat Kuasa Khusus bertanggal 31 Desember 2025, memberi kuasa kepada Leon Maulana Mirza Pasha, S.H., Priskila Octaviani, S.H, dan Ratu Eka Shaira, S.H., kesemuanya adalah Tim Hukum pada Kantor Hukum Leo & Partners, yang beralamat di Grand Slipi Tower Lantai 5 Unit F, Jalan S. Parman Kavling 22-24, Kelurahan Palmerah, Kecamatan Palmerah, Jakarta Barat, DKI Jakarta, baik bersama-sama maupun sendiri-sendiri bertindak untuk dan atas nama pemberi kuasa; Selanjutnya disebut sebagai ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

2 Konstitusi Elektronik (e-BRPK) dengan Nomor 284/PUU-XXIII/2025 pada tanggal 31 Desember 2025, yang telah perbaiki dan diterima Mahkamah pada tanggal 26 Januari 2026, pada pokoknya sebagai berikut: I. K<bos>WENANGAN MAHKAMAH 1. Bahwa Pasal 24 ayat (2) Perubahan Ketiga Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (Selanjutnya disebut UUD 1945) menyatakan: "Kekuasaan kehakiman dilakukan oleh sebuah Mahkamah Agung dan badan peradilan yang berada di bawahnya dalam lingkungan peradilan umum, lingkungan peradilan agama, lingkungan peradilan militer, lingkungan peradilan tata usaha negara, dan oleh sebuah Mahkamah Konstitusi"; 2. Bahwa selanjutnya Pasal 24 C ayat (1) Perubahan Keempat UUD 1945: "Mahkamah Konstitusi berwenang mengadili pada tingkat pertama dan terakhir yang putusannya bersifat final untuk menguji undang-undang terhadap Undang-Undang Dasar, memutus sengketa kewenangan lembaga negara yang kewenangannya diberikan oleh Undang-Undang Dasar, memutus pembubaran partai politik dan memutus perselisihan tentang hasil Pemilihan Umum"; 3. Bahwa lebih lanjut Pasal 9 ayat (1) Undang-Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan sebagaimana telah diubah terakhir dalam Undang-Undang (UU) Nomor 13 Tahun 2022 tentang Perubahan Kedua atas Undang-Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan menegaskan bahwa: "Dalam hal suatu Undang-Undang diduga bertentangan dengan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, pengujiannya dilakukan oleh Mahkamah Konstitusi"; 4. Bahwa berdasarkan Pasal 29 ayat (1) Undang-Undang Nomor 48 Tahun 2009 tentang Kekuasaan Kehakiman, menyatakan: "Mahkamah Konstitusi berwenang mengadili pada tingkat pertama dan terakhir yang putusannya bersifat final untuk: a. menguji undang-undang terhadap Undang-Undang Dasar Negara Republik Indonesia Tahun 1945; b. memutus sengketa kewenangan lembaga negara yang kewenangannya diberikan oleh Undang-Undang Dasar Negara Republik Indonesia Tahun 1945; c. memutus pembubaran partai politik; d. memutus perselisihan tentang hasil pemilihan umum; dan e. kewenangan lain yang diberikan oleh undang-undang" 5. Bahwa berdasarkan Pasal 10 ayat (1) Undang-Undang Nomor 24 Tahun 2003 tentang Mahkamah Konstitusi sebagaimana yang telah diubah terakhir

3 dengan Undang-undang (UU) Nomor 7 Tahun 2020 tentang Perubahan Ketiga atas Undang-Undang Nomor 24 Tahun 2003 tentang Mahkamah Konstitusi, menyatakan: "Mahkamah Konstitusi berwenang mengadili pada tingkat pertama dan terakhir yang putusannya bersifat final untuk: a. menguji undang-undang terhadap Undang-Undang Dasar Negara Republik Indonesia Tahun 1945; b. memutus sengketa kewenangan lembaga negara yang kewenangannya diberikan oleh Undang-Undang Dasar Negara Republik Indonesia Tahun 1945; c. memutus pembubaran partai politik; dan d. memutus perselisihan tentang hasil pemilihan umum." 6. Bahwa berdasarkan Pasal 2 ayat (1) Peraturan Mahkamah Konstitusi Nomor 7 Tahun 2025 tentang Tata Beracara Dalam Perkara Pengujian Undang-Undang, menyatakan: "Objek Permohonan PUU adalah undang-undang dan Perppu"; Oleh karenanya, Mahkamah Konstitusi berwenang mengadili perkara a quo karena PEMOHON mengajukan permohonan pengujian konstitusionalitas undang-undang yaitu: Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi 7. Bahwa berdasarkan uraian sebagaimana tersebut di atas, telah nyata bahwa objek permohonan a quo memenuhi syarat sebagai objek permohonan pengujian materiil Undang-Undang terhadap UUD 1945. Oleh karenanya, Mahkamah Konstitusi berwenang untuk memeriksa, mengadili, dan memutus konstitusionalitas Undang-Undang terhadap UUD 1945 dalam perkara a quo yang diajukan oleh PEMOHON. II. KEDUDUKAN HUKUM (LEGAL STANDING) DAN KERUGIAN KONSTITUSIONAL PEMOHON 1. Bahwa Pasal 51 ayat (1) UU Mahkamah Konstitusi menyatakan bahwa pemohon adalah pihak yang menganggap hak dan/atau kewenangan konstitusionalnya dirugikan oleh berlakunya undang-undang, yaitu: a. perorangan WNI; b. kesatuan masyarakat hukum adat sepanjang masih hidup dan sesuai dengan perkembangan masyarakat dan prinsip negara kesatuan RI yang diatur dalam undang-undang; c. badan hukum publik dan privat, atau; d. lembaga negara". 2. Bahwa berdasarkan ketentuan tersebut, maka terlebih dahulu PEMOHON menguraikan kedudukan hukum (legal standing), sebagai berikut PEMOHON

merupakan perseorangan warga negara Indonesia (Bukti P-3) yang berprofesi sebagai advokat; 3. Bahwa uraian sebagaimana disebutkan dalam poin 2) menegaskan PEMOHON memenuhi dan memiliki kedudukan hukum (legal standing) sebagai perseorangan warga negara Indonesia sehingga pemohon dapat mengajukan permohonan pengujian UU terhadap UUD 1945. Selanjutnya, PEMOHON akan menguraikan kerugian konstitusional yang dialami sehubungan dengan berlakunya UU yang diujikan konstitusionalitasnya dalam perkara a quo. 4. Bahwa Putusan Mahkamah Konstitusi Nomor 006/PUU-III/2005 dan Perkara Nomor 11/PUU-V/2007, juga menyebutkan tentang kapasitas pemohon dalam mengajukan permohonan pengujian undang-undang terhadap undang-undang dasar, yaitu : a. Adanya hak konstitusional pemohon yang diberikan oleh Undang-Undang Dasar Negara Republik Indonesia 1945. b. Bahwa hak konstitusional pemohon tersebut dianggap oleh para pemohon telah dirugikan oleh suatu Undang-Undang yang diuji. c. Bahwa kerugian konstitusional pemohon yang dimaksud bersifat spesifik atau khusus dan aktual atau setidaknya bersifat potensial yang menurut penalaran yang wajar dapat dipastikan akan terjadi. d. Adanya hubungan sebab akibat antara kerugian dan berlakunya Undang-Undang yang dimohonkan untuk diuji. e. Adanya kemungkinan bahwa dengan dikabulkannya permohonan maka kerugian konstitusional yang didalilkan tidak akan atau tidak terjadi lagi. 5. Bahwa hak dan/atau kewenangan konstitusional PEMOHON dijamin oleh UUD 1945 yang telah diatur dalam beberapa pasal yang digunakan sebagai dasar pengujian dalam perkara a quo, yaitu: a) Pasal 28D ayat (1) UUD NRI 1945, menyatakan “Setiap orang berhak atas pengakuan, jaminan, Pelindungan, dan kepastian hukum yang adil serta perlakuan yang sama dihadapan hukum”. b) Pasal 28G ayat (1) UUD NRI 1945, menyatakan “Setiap orang berhak atas Pelindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang dibawah kekuasaannya, serta berhak atas rasa aman dan

5 Perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi". 6. Bahwa hak dan/atau kewenangan konstitusional yang dijamin dalam UUD 1945 tersebut telah dirugikan dengan pasal sebagai berikut: Pasal 20 ayat (2) huruf a UU PDP yang menyatakan "persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi" 7. Bahwa dengan berlakunya pasal sebagaimana tersebut dalam poin 6), PEMOHON telah mengalami kerugian konstitusional, baik yang bersifat spesifik (aktual) maupun potensial yang akan dijelaskan sebagai berikut: a) Bahwa PEMOHON merupakan perorangan warga negara Indonesia yang memiliki banyak kartu kredit, karena PEMOHON suka mengajukan apply kartu kredit melalui agen-agen kredit yang PEMOHON temui, dengan tujuan mendapatkan benefit seperti miles dan meningkatkan credit scoring. Dalam prosesnya PEMOHON acapkali dimintai untuk menyerahkan data pribadi seperti foto diri dan scan KTP untuk pemrosesannya. Serta perlu PEMOHON terangkan bahwa PEMOHON selalu membayar kredit tersebut tepat waktu dan tidak pernah terlambat; b) Bahwa permasalahan mulai timbul ketika PEMOHON mendapatkan notifikasi bahwa PEMOHON terlambat membayar pinjaman kepada suatu platform pinjaman online (financial technology lending atau pinjol) yang sama sekali tidak pernah PEMOHON lakukan atau ajukan (Bukti P-4). Dan setelah PEMOHON telusuri pengajuan pinjaman tersebut menggunakan identitas dan data pribadi PEMOHON, lengkap dengan foto dan KTP yang sebelumnya pernah diserahkan kepada agen-agen kredit sebelumnya yang sulit untuk PEMOHON ketahui siapa; c) Bahwa peristiwa ini tentu sangat merugikan PEMOHON karena PEMOHON harus menanggung kerugian finansial serta kerugian atas rasa aman, kerugian waktu dan tenaga, dan kerugian reputasi keuangan (creditworthiness) yang masuk ke SLIK atau sistem credit scoring; d) Bahwa PEMOHON kemudian mengajukan upaya hukum gugatan kepada pinjol tersebut yang berujung pada PEMOHON ditawarkan perdamaian dari pihak lawan. Dalam prosesnya, PEMOHON mengetahui

6 bahwa pinjol tersebut pun pernah 2 kali digugat oleh orang lain yang mengalami permasalahan yang sama, yakni data pribadinya digunakan tanpa izin; e) Bahwa PEMOHON memiliki *privilege* karena berlatar belakang hukum dan advokat, tapi bahkan PEMOHON sendiri yang mengerti hukum harus berbelit-belit menempuh upaya hukum. Bagaimana dengan mereka yg bukan berlatar belakang hukum? f) Bahkan, posisi PEMOHON sebenarnya cukup beruntung karena ditawari perdamaian dari pihak lawan. Seandainya pihak lawan tetap bersikeras dan tidak menawari perdamaian, PEMOHON harus "debat kusir" untuk membuktikan bahwa PEMOHON tidak pernah mengklik acc menggunakan pinjol, yang mana lebih berat beban pembuktiannya bagi PEMOHON (*unequal arms*) karena sulit nya menunjukkan bukti bahwa PEMOHON tidak pernah melakukan hal tersebut; g) Bahwa sebagaimana marak pada pemberitaan, pinjol memang memiliki banyak sekali permasalahan sehingga harus di *re-branding* menjadi pinjaman daring (pindar), namun tidak disertai pembenahan dalam ekosistem mereka, sehingga kasus yang seperti PEMOHON alami masih sering terjadi; h) Bahwa sekalipun PEMOHON juga bisa menempuh upaya hukum lain seperti melalui Kepolisian, PEMOHON tentu akan dirugikan secara prosedural dan administratif karena PEMOHON harus melapor ke kepolisian, mengumpulkan bukti, dan menempuh proses hukum yang panjang dan berbelit, belum lagi "debat kusir"; i) Bahwa andaipun PEMOHON nantinya berhasil menyelesaikan permasalahan dengan satu Pindar tersebut, tidak menutup kemungkinan potensial di masa depan PEMOHON kembali mengalami hal yang sama, sebab data pribadi PEMOHON jelas masih tersebar dan dapat disalahgunakan kembali; j) Bahwa kondisi demikian menimbulkan ketidakpastian hukum bagi Pemohon. Setiap kali peristiwa serupa terjadi, Pemohon harus kembali menempuh upaya hukum yang berulang-ulang, yang akan menghabiskan waktu, tenaga, pikiran, dan biaya, serta merusak *credit scoring* Pemohon dan menimbulkan tekanan psikologis. Padahal, seluruh

7 persoalan tersebut seharusnya dapat dicegah apabila norma Pasal a quo mewajibkan penggunaan Tanda Tangan Elektronik tersertifikasi dalam setiap transaksi atau persetujuan yang melibatkan pemrosesan data pribadi berisiko tinggi; k) Bahwa dengan demikian, akibat ketiadaan kewajiban soal penggunaan TTE tersertifikasi pada Pasal a quo menyebabkan kerugian secara aktual kepada PEMOHON karena PEMOHON saat ini dibayang-bayangi oleh pinjaman-pinjaman yang sama sekali tidak pernah PEMOHON lakukan dan spam chat dari para debt collector yang memaksa PEMOHON untuk melakukan pembayaran yang tidak pernah PEMOHON ketahui tersebut. Selain itu, selama tidak ada kewajiban soal penggunaan TTE tersertifikasi pada Pasal a quo, PEMOHON tetap memiliki kerugian potensial untuk hal yang sama terulang kembali. Disini PEMOHON merasa ketentuan Pasal a quo dalam UU PDP yang menjadi masalah utama, seandainya saja terdapat kewajiban untuk TTE tersertifikasi, maka sudah tentu proses autentifikasi bagi subjek data pribadi akan diperkuat karena hanya dan oleh persetujuan langsung dari subjek data pribadi saja pemrosesan tersebut dapat dilakukan. Sehingga akibat ketiadaan pengaturan dalam Pasal a quo ini telah terjadi kerugian konstitusional terhadap hak PEMOHON untuk mendapatkan kepastian hukum yang adil dan rasa aman sebagaimana yang diatur dalam UUD NRI Tahun 1945; 8. Bahwa untuk memperjelas kerugian konstitusional PEMOHON tersebut, maka PEMOHON telah membuatkan tabel sebagai berikut: | Kerugian Konstitusional PEMOHON | |---| | Objek Pengujian | Batu Uji | Uraian Kerugian | | Pasal 20 ayat (2) huruf a | Pasal 28D ayat (1) | Ketiadaan kewajiban TTE tersertifikasi dalam norma a quo menimbulkan ketidakpastian hukum dalam praktik penyelenggaraan transaksi dan persetujuan elektronik yang melibatkan data pribadi berisiko tinggi, termasuk dalam konteks transaksi keuangan dan pinjaman daring (online lending).<br><br>Bahwa dalam konteks yang dialami PEMOHON, ketiadaan kewajiban penggunaan TTE tersertifikasi telah |

8 menimbulkan ketidakpastian mengenai subjek hukum yang sah memberikan persetujuan. Data pribadi Pemohon (KTP, foto diri, dan data lainnya) diserahkan secara sah untuk kepentingan pengajuan kartu kredit kepada agen resmi, namun karena tidak ada mekanisme autentikasi berbasis TTE tersertifikasi, data tersebut dapat digunakan kembali oleh pihak lain tanpa sepengetahuan dan tanpa persetujuan hukum Pemohon untuk mengajukan pinjaman online. Pasal 28G ayat (1) Bahwa selain menimbulkan ketidakpastian hukum yang adil sebagaimana diuraikan sebelumnya, Pasal a quo juga telah menimbulkan celah hukum (legal gap) yang berdampak langsung terhadap hilangnya rasa aman dan Pelindungan terhadap harta benda Pemohon. Ketiadaan norma yang mewajibkan penggunaan Tanda Tangan Elektronik tersertifikasi dalam persetujuan berisiko tinggi menciptakan ruang terbuka bagi penyalahgunaan data pribadi Pemohon oleh pihak ketiga. Dalam kasus konkret yang dialami Pemohon, data pribadi berupa foto diri dan KTP yang sebelumnya diserahkan secara sah kepada agen pemasaran kartu kredit, telah digunakan kembali oleh pihak lain untuk mengajukan pinjaman online tanpa sepengetahuan dan tanpa persetujuan hukum dari PEMOHON. Kerugian seperti adanya paksaan oleh debt collector, potensi blacklist oleh lembaga pembiayaan, urusan kepolisian, dan potensi ancaman penggunaan kembali untuk masa yang akan datang tentu memberikan rasa takut kepada PEMOHON yang kembali lagi disebabkan karena norma pada pasal a quo yang tidak mewajibkan adanya TTE tersertifikasi. Dengan demikian, ketiadaan norma yang memerintahkan penggunaan TTE tersertifikasi telah menyebabkan kerentanan sistemik terhadap keamanan data pribadi warga negara, termasuk Pemohon, yang berimplikasi

9 9. Bahwa oleh karena kerugian konstitusional yang telah dijabarkan telah nyata dialami PEMOHON, maka PEMOHON memiliki kedudukan hukum (legal standing) sebagai pemohon Pengujian Undang-Undang dalam perkara a quo karena telah memenuhi ketentuan Pasal 51 ayat (1) UU Mahkamah Konstitusi beserta Penjelasannya dan syarat kerugian hak konstitusional sebagaimana tertuang dalam Putusan Mahkamah Konstitusi Nomor 006/PUU-III/2005 dan Nomor 011/PUU-V/2007. III. ALASAN PERMOHONAN A. Rumusan “persetujuan yang sah” pada Pasal 20 ayat (2) huruf a UU PDP Tidak Menjamin Keamanan Perlindungan Data Bagi Subjek Data Pribadi 1. Bahwa UU PDP sebagaimana disampaikan pada bagian Penjelasan menyatakan: Pelindungan Data Pribadi masuk dalam pelindungan hak asasi manusia Dengan demikian, pengaturan menyangkut Data Pribadi merupakan manifestasi pengakuan dan pelindungan atas hak dasar manusia. Keberadaan suatu Undang-Undang tentang Pelindungan Data Pribadi merupakan suatu keharusan yang tidak dapat ditunda lagi karena sangat mendesak bagi berbagai kepentingan nasional. Pergaulan internasional Indonesia turut menuntut adanya Pelindungan Data Pribadi. Pelindungan tersebut dapat memperlancar perdagangan, industri, dan investasi yang bersifat transnasional. Ketentuan ini tegas menjelaskan bahwa UU PDP bertujuan untuk melindungi hak konstitusional warga negara terhadap kepemilikan data pribadinya, sehingga sudah menjadi tugas dari UU PDP untuk memastikan keterjaminan tersebut; 2. Bahwa pasal 34 ayat (2) huruf b jo. Pasal 4 ayat (2) kemudian menjelaskan tentang data pribadi yang bersifat spesifik yang masuk dalam ketentuan Pemrosesan Data Pribadi yang memiliki Potensi Resiko tinggi dalam Pasal 34. Dalam Pasal 4 ayat (2) UU PDP disebutkan yang termasuk dalam data pribadi yang bersifat spesifik seperti: a. Data dan informasi kesehatan; b. Data biometrik; c. Data genetika; d. Catatan kejahatan; e. Data anak; f. Data keuangan pribadi; dan/atau; g data lainnya sesuai ketentuan perundang-undangan. Selanjutnya dalam Pasal

10 34 ayat (2) UU PDP sendiri juga telah disebutkan kriteria apa saja agar suatu pemrosesan dikategorikan sebagai pemrosesan Data Pribadi yang memiliki potensi tinggi: a. pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap Subjek Data Pribadi; b. pemrosesan atas Data Pribadi yang bersifat spesifik; c. pemrosesan Data Pribadi dalam skala besar; d. pemrosesan Data Pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap Subjek Data Pribadi; e. pemrosesan Data Pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data; f. penggunaan teknologi baru dalam pemrosesan Data Pribadi; dan/atau g. pemrosesan Data Pribadi yang membatasi pelaksanaan hak Subjek Data Pribadi. 3. Bahwa pemrosesan data untuk pelaksanaan layanan pinjaman online dikategorikan sebagai pemrosesan data pribadi yang berisiko tinggi karena melibatkan pemrosesan data spesifik seperti: Foto wajah/Selfie dengan KTP, Data Pekerjaan, Data Penghasilan, Slip Gaji, Rekening Bank, Data Kontak yang kesemua data ini merupakan Data Pribadi bersifat spesifik. Sehingga pemrosesan data pribadi untuk memperoleh pinjaman dari Pindar termasuk Pemrosesan Data Pribadi yang memiliki potensi risiko tinggi; 4. Bahwa jika melihat keberadaan Pasal 20 ayat (2) UU PDP secara *expressive verbis* berperan sebagai pasal yang memberikan beban tanggung jawab kepada Pengendali Data Pribadi karena disitu disebutkan “Bagian Kedua: Kewajiban Pengendali Data Pribadi” sehingga secara *Titulus Est Lex* pasal 20 UU PDP yang termuat di dalamnya merupakan pengaturan atas kewajiban-kewajiban terhadap Pengendali Data Pribadi. In casu dalam permohonan ini Pindar Sebagai LPBBTI merupakan Pengendali Data Pribadi (Pasal 1 angka 4 UU PDP *juncto* Pasal 1 Angka 1 POJK No. 10/POJK.05/2022 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi). Pindar sebagai

LPBBTI menjalankan beberapa fungsi sehingga layak disebut sebagai Pengendali Data Pribadi seperti: - Menentukan tujuan pengumpulan dan penggunaan data (misalnya untuk *scoring*, verifikasi identitas, dan analisis kelayakan kredit); - Menentukan cara dan teknologi pengolahan data (melalui aplikasi, API, *biometric verification*, dan sebagainya); - Menentukan kebijakan keamanan dan penyimpanan data pengguna; serta - Memutuskan kepada pihak mana data dapat diakses atau dibagikan (misalnya ke pihak ketiga seperti agen pemasaran atau mitra analitik) 5. Bahwa secara holistik ketentuan Pasal 20 ayat (2) UU PDP apabila di bedah mengandung makna berikut: | Bunyi Pasal | Makna Terkandung | |---|---| | a. persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi; | Persetujuan Eksplisit | | b. pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian; | Perjanjian | | c. pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan | Kewajiban Hukum | | d. Pemenuhan perlindungan kepentingan vital Subjek Data Pribadi | Kepentingan Vital | | e. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; | Kepentingan Publik | | f. Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi | Kepentingan Sah lainnya |

12 6. Bahwa pada huruf a mengandung prinsip persetujuan yang berarti Persetujuan merupakan bentuk manifestasi kedaulatan individu atas data pribadinya. Dalam konteks pemberlakuan Tanda Tangan Elektronik tersertifikasi berada pada tahap Persetujuan Eksplisit. Frasa "persetujuan yang sah secara eksplisit" tidak mengatur bahwa persetujuan yang sah harus dapat dibuktikan dengan cara yang menjamin pencegahan pemalsuan persetujuan (Dalam praktik fintech lending, ini berarti cukup dengan tanda centang (checklist), unggah KTP, atau foto wajah yang sering kali bahkan sudah dimiliki sebelumnya oleh agen kredit); 7. Bahwa saat ini berbagai transaksi keuangan melalui sistem elektronik dapat dilakukan tanpa tatap muka secara fisik dan tanpa tanda tangan basah pada kertas. Misal pembukaan rekening tabungan lewat aplikasi *mobile banking* dan pengajuan pinjaman daring lewat aplikasi Fintech Lending yang tentunya melibatkan pemrosesan data pribadi nasabah, khususnya pemrosesan data pribadi yang memiliki potensi resiko tinggi bagi Subjek Data Pribadi, antara lain Data Pribadi bersifat spesifik seperti biometrik wajah dan data keuangan pribadi (Pasal 34 jo. Pasal 4 ayat (2) UU PDP); 8. Bahwa ini menjadi krusial karena pasal a *quo* tidak mengatur seperti apa yang dimaksud dengan persetujuan yang sah, sehingga akibatnya bisa ditafsirkan secara luas, termasuk dengan penggunaan *click box* yang bisa saja dilakukan oleh siapa saja, meskipun bukan dirinya yang memiliki data pribadi yang bersifat spesifik tersebut. Hal ini diperburuk dengan keadaan saat ini bahwa seseorang hanya cukup bermodalkan informasi data pribadi akibat dari insiden kebocoran data pribadi yang terjadi (NIK, nama, tempat dan tanggal lahir, jenis kelamin, alamat, hingga foto KTP) serta foto wajah yang bisa dibuat seolah-olah bergerak dan hidup dengan berbagai *tools* Deepfake AI yang sudah semakin canggih dan terjangkau. Kondisi ini memungkinkan seseorang bisa membuka rekening atau mengajukan pinjaman daring dengan memberikan persetujuan pemrosesan data pribadi milik orang lain yang dimana Subjek Data Pribadi yang bersangkutan sama sekali tidak tahu, apalagi memberikan persetujuan pemrosesan data pribadinya secara sah dan eksplisit;

13 9. Bahwa berdasarkan data OJK per September 2025, jumlah rekening pinjaman online telah mencapai 158 juta rekening, setara dengan setengah jumlah penduduk Indonesia (https://www.cnbcindonesia.com/research/20250919113526-128668450/rekening-pinjaman-online-ri-tembus-158-juta-setengah-jumlah-penduduk), sehingga mustahil untuk memastikan berapa banyak persetujuan yang benar-benar diberikan oleh subjek data pribadi yang sah. Banyak dari rekening tersebut bahkan terindikasi merupakan pengajuan fiktif atau pinjaman bodong yang menggunakan data pribadi milik orang lain tanpa autentikasi yang memadai. Kondisi tersebut diperburuk dengan tingginya kejahatan digital di sektor keuangan. Menurut data IASC OJK, rata-rata terdapat 800 laporan scam per hari, termasuk pembobolan rekening sekuritas, transaksi keuangan ilegal yang 'disetujui' melalui mekanisme click consent, dan kerugian yang mencapai miliaran rupiah tanpa nasabah pernah melakukan transaksi tersebut (https://bcakuritas.co.id/latest-news/news/ojk-rata-rata-laporan-scam-yang-masuk-ke-iasc-capai-800-per-hari). Fakta-fakta tersebut menunjukkan bahwa negara belum mampu menyediakan infrastruktur autentikasi yang memadai untuk melindungi warga negara dari penyalahgunaan data pribadi, sehingga kewajiban penggunaan TTE tersertifikasi menjadi kebutuhan mendesak bagi perlindungan konstitusional warga negara. 10. Bahwa akibat tidak ada jaminan keamanan bagi pemilik subjek data pribadi, kasus-kasus penggunaan KTP dan identitas orang lain pun sering ditemui untuk melakukan pinjaman tanpa sepengetahuan dari Pemilik Data Pribadi yang bersangkutan. Sistem yang lemah dan regulasi yang masih prematur semakin melanggengkan praktik seperti ini (https://www.seva.id/blog/waspada-begini-modus-pinjol-pakai-ktp-orang-lain-yang-masih-marak-di-2025.)(https://youtu.be/pj5m8BDF_4U?si=Rvd1UohzIfTd2-vw); 11. Bahwa dalam setahun terakhir, sejumlah penyelenggara layanan pinjaman daring mengalami default dan penghentian operasional, yang menunjukkan lemahnya infrastruktur manajemen risiko dan autentikasi identitas pengguna. Ketiadaan kewajiban penggunaan TTE tersertifikasi

14 menyebabkan industri ini beroperasi di atas fondasi autentikasi yang rapuh, sehingga berpotensi menimbulkan risiko sistemik terhadap stabilitas sektor keuangan digital jika tidak segera diperkuat. 12. Bahwa kelemahan UU PDP dalam perkara a quo tidak hanya bersifat teoretis, melainkan telah melahirkan persoalan konkret, berulang, dan sistemik dalam praktik transaksi keuangan digital di Indonesia. Persoalan tersebut termanifestasi dalam bentuk sengketa antara nasabah dan penyelenggara platform yang pada hakikatnya selalu berujung pada satu isu sentral, yakni apakah Subjek Data Pribadi benar-benar pernah memberikan persetujuan atau melakukan transaksi elektronik sebagaimana diklaim oleh penyelenggara platform; 13. Bahwa dalam praktiknya, sengketa tersebut hampir selalu berubah menjadi perdebatan pembuktian yang tidak seimbang (debat kusir), di mana penyelenggara platform menyatakan bahwa transaksi atau persetujuan telah dilakukan melalui sistem elektronik mereka, sementara nasabah dengan tegas menyangkal pernah melakukan tindakan tersebut. Namun, dalam situasi demikian, beban pembuktian secara faktual dan teknis berada hampir sepenuhnya pada pihak nasabah; 14. Bahwa sudah terjadi perkara yang demikian, seperti ramai diberitakan mengenai nasabah Ajaib Sekuritas yang menerima tagihan hingga kurang lebih Rp1,8 miliar, pihak sekuritas menyatakan bahwa transaksi tersebut dilakukan oleh nasabah melalui sistem elektronik platform. Di sisi lain, nasabah menyatakan tidak pernah melakukan transaksi maupun memberikan persetujuan atas transaksi dimaksud. Ironisnya, alih-alih memperoleh perlindungan sebagai korban, nasabah justru dilaporkan ke aparat penegak hukum oleh pihak sekuritas, sehingga posisi hukum nasabah semakin terpojok (https://www.tempo.co/ekonomi/kronologi-nasabah-ajaib-sekuritas-dapat-tagihan-rp-1-8-miliar-ini-gila-banget-1875500); 15. Bahwa dalam kasus raibnya dana sekitar Rp71 miliar dari akun sekuritas milik seorang nasabah lanjut usia yang kemudian dilaporkan ke Bareskrim Polri. Dalam perkara tersebut, sengketa kembali bermuara pada klaim sepihak penyelenggara platform bahwa transaksi dilakukan oleh pemilik akun, berhadapan dengan bantahan tegas dari nasabah

15 yang menyatakan tidak pernah memberikan persetujuan atau melakukan transaksi dimaksud (https://nasional.kompas.com/read/2025/11/28/20350041/investasi-rp-71-miliar-raib-nasabah-laporkan-mirae-asset-sekuritas-ke?page=all#); 16. Bahwa lemahnya pengaturan mengenai standar persetujuan dan autentikasi dalam pemrosesan data pribadi juga belum menutup kemungkinan terjadinya penyalahgunaan oleh pihak-pihak yang secara struktural memiliki akses langsung terhadap data pribadi, termasuk aparatur pada instansi penyelenggara administrasi kependudukan. Hal tersebut bukanlah dugaan semata, melainkan telah terbukti melalui terungkapnya praktik penyalahgunaan data kependudukan oleh aparatur Dinas Kependudukan dan Pencatatan Sipil di Kabupaten Bondowoso, yang menggunakan data lansia serta warga yang telah meninggal dunia untuk kepentingan tertentu hingga menimbulkan kerugian dalam jumlah sangat besar (https://medan.tribunnews.com/2025/07/17/cara-kotor-pns-bondowoso-pakai-data-lansia-dan-warga-yang-sudah-meninggal-bisa-raup-rp-53-miliar?page=3). 17. Bahwa pola yang sama terus berulang dalam berbagai sengketa transaksi keuangan digital, yakni penyelenggara platform berlindung pada log sistem internal, catatan transaksi elektronik, dan klaim "user telah mengklik atau menyetujui transaksi", sementara nasabah dihadapkan pada tugas yang hampir mustahil, yaitu membuktikan sesuatu yang bersifat negatif (negative proof), yakni membuktikan bahwa dirinya tidak pernah memberikan persetujuan atau melakukan transaksi tersebut; 18. Bahwa kondisi ini menciptakan ketimpangan serius dalam proses pembuktian (inequality of arms), karena seluruh infrastruktur teknis, data log, dan sistem autentikasi berada sepenuhnya di bawah kendali penyelenggara platform. Nasabah, sebagai Subjek Data Pribadi sekaligus pihak yang paling dirugikan, tidak memiliki akses maupun kemampuan teknis yang setara untuk menguji atau membantah klaim sistem elektronik tersebut; 19. Bahwa lebih jauh, ketiadaan kewajiban penggunaan mekanisme autentikasi yang kuat dalam Pasal a quo menjadikan posisi nasabah

16 sebagai korban semakin lemah, karena setiap bantahan nasabah dengan mudah dipatahkan oleh klaim sepihak “sistem mencatat adanya persetujuan”. Dalam situasi demikian, norma Pasal 20 ayat (2) huruf a UU PDP tidak lagi berfungsi sebagai instrumen pelindungan hak Subjek Data Pribadi, melainkan justru menjadi alat pembenaran bagi penyelenggara platform untuk mengalihkan risiko dan tanggung jawab kepada nasabah; 20. Bahwa kesulitan pembuktian tersebut berimplikasi langsung terhadap hilangnya kepastian hukum dan rasa aman bagi warga negara. Nasabah yang sejatinya merupakan korban penyalahgunaan data pribadi berisiko tinggi justru diposisikan sebagai pihak yang harus mempertanggungjawabkan transaksi yang tidak pernah ia lakukan. Kondisi ini bertentangan secara langsung dengan prinsip perlindungan hukum yang adil sebagaimana dijamin dalam Pasal 28D ayat (1) UUD 1945 serta hak atas rasa aman dan perlindungan harta benda sebagaimana diatur dalam Pasal 28G ayat (1) UUD 1945; 21. Bahwa seluruh polemik tersebut sejatinya dapat dicegah sejak hulu apabila norma Pasal a quo mewajibkan penggunaan mekanisme persetujuan elektronik yang memiliki jaminan autentikasi, integritas, dan non-repudiation yang kuat. Dengan penggunaan Tanda Tangan Elektronik tersertifikasi, perdebatan tidak lagi berkutat pada klaim subjektif “pernah mengklik atau tidak”, melainkan dapat dibuktikan secara objektif apakah persetujuan diberikan oleh Subjek Data Pribadi yang sah melalui verifikasi Penyelenggara Sertifikasi Elektronik; 22. Bahwa keberadaan Tanda Tangan Elektronik tersertifikasi juga memberikan mekanisme pertanggungjawaban yang jelas. Dalam hal terjadi kegagalan autentikasi atau penyalahgunaan identitas, tanggung jawab tidak lagi dibebankan sepenuhnya kepada nasabah, melainkan dapat dialihkan secara proporsional kepada Penyelenggara Sertifikasi Elektronik yang memberikan jaminan keabsahan identitas melalui sertifikat elektronik. Dengan demikian, perlindungan hukum bersifat preventif dan tidak semata-mata represif setelah kerugian terjadi; 23. Bahwa tanpa kewajiban penggunaan Tanda Tangan Elektronik tersertifikasi, negara secara tidak langsung membiarkan sengketa antara

17 penyelenggara platform dan nasabah terus berulang dalam bentuk perdebatan pembuktian yang tidak berujung, menempatkan nasabah dalam posisi yang selalu kalah sejak awal, dan gagal memenuhi kewajiban konstitusional negara untuk memberikan perlindungan, kepastian hukum yang adil, serta rasa aman bagi warga negara; 24. Bahwa Kasus nyata yang tidak hanya dialami PEMOHON ini semakin menguatkan bukti bahwa keamanan data pribadi kian mudah disalahgunakan dan perlu segera dilakukan penguatan melalui mekanisme autentifikasi Tanda Tangan Elektronik Tersertifikasi; B. Perlunya Penguatan Mekanisme Autentikasi melalui Tanda Tangan Elektronik Tersertifikasi Sebagai Bentuk Persetujuan yang Sah Secara Eksplisit dari Subjek Data Pribadi kepada Pengendali Data Pribadi 1. Bahwa Penggunaan TTE tersertifikasi saat ini sedang digaungkan pemerintah sebagai sebuah pilot program yang mulai diimplementasikan dalam sistem pemerintahan. Sebagai contoh: Pengumuman dari Kementerian Keuangan Republik Indonesia terkait “Persiapan Pelaksanaan Tanda Tangan Elektronik (TTE) Tersertifikasi pada Sistem SAKTI Tahun 2023”(https://djpb.kemenkeu.go.id/kppn/kotabumi/id/download/pengumuman/3486-persiapan-pelaksanaan-piloting-penerapan-tanda-tangan-elektronik-tte-tersertifikasi-pada-sistem-sakti-tahun-2023); 2. Bahwa pada UU No. 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Selanjutnya disebut UU ITE) Pasal 17 ayat (2a) diatur pula tentang TTE tersertifikasi yang menyatakan: “Transaksi Elektronik yang memiliki risiko tinggi bagi para pihak menggunakan Tanda Tangan Elektronik yang diamankan dengan Sertifikasi Elektronik” 3. Bahwa Sebagai bagian dari sistem hukum yang saling terkait, asas lex specialis derogat legi generali tidak seharusnya diartikan memisahkan kedua undang-undang tersebut, melainkan menuntut harmonisasi fungsional. UU PDP adalah lex specialis dalam perlindungan data pribadi, sedangkan UU ITE adalah lex specialis dalam keamanan transaksi elektronik. Karena itu, penegakan persetujuan eksplisit dalam UU PDP

18 harus selaras dengan standar keamanan digital dalam UU ITE, khususnya penggunaan TTE tersertifikasi bagi pemrosesan data yang berisiko tinggi; 4. Bahwa UU PDP dan UU ITE membentuk satu rezim hukum yang terpadu dalam perlindungan identitas digital warga negara. UU PDP mengatur prinsip perlindungan data pribadi, sedangkan UU ITE mengatur keamanan transaksi digital. Oleh karena itu, frasa "persetujuan yang sah secara eksplisit" dalam UU PDP harus dimaknai selaras dengan standar keamanan transaksi elektronik dalam Pasal 17 ayat (2a) UU ITE yang mewajibkan penggunaan TTE tersertifikasi untuk transaksi berisiko tinggi. Ketidakharmonisan kedua undang-undang tersebut menciptakan kekosongan norma yang menimbulkan kerugian konstitusional; 5. Bahwa UU PDP sebagai peraturan yang hadir sebelum UU ITE hendaknya ikut menyelaraskan semangat yang dibangun dalam UU ITE. Berdasarkan pemaknaan baru yang disampaikan oleh Mahkamah Konstitusi nantinya, Penyelarasan ini akan sejalan dengan prinsip-prinsip dasar perlindungan data pribadi dan hukum digital: a. Prinsip Akuntabilitas: setiap pengendali data wajib dapat menunjukkan langkah yang diambil untuk memastikan keamanan dan validitas persetujuan; b. Prinsip Integritas dan Kerahasiaan Data: TTE tersertifikasi menjamin non-repudiasi dan keaslian persetujuan; c. Prinsip Kepastian Hukum: penyatuan standar antara UU PDP dan UU ITE yang dapat bernilai sama soal penekanan TTE tersertifikasi. 6. Bahwa pembuktian atas perolehan persetujuan pemrosesan data pribadi dari Subjek Data Pribadi tanpa penggunaan Tanda Tangan Elektronik yang diamankan dengan Sertifikat Elektronik sesuai dengan Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) menimbulkan dua lapis permasalahan berikut: a. Tidak adanya jaminan bahwa yang telah memberikan persetujuan pemrosesan data pribadi (dengan mengklik centang atau menggores gambar tanda tangan pada aplikasi milik Pengendali Data Pribadi) adalah memang Subjek Data Pribadi yang bersangkutan (yang KTP

19 dan data pribadinya telah diisi pada aplikasi milik Pengendali Data Pribadi); b. Tidak adanya jaminan atas keantentikan dan keutuhan isi Persetujuan Pemrosesan Data Pribadi (bahwa tidak ada modifikasi pada isi persetujuan tersebut setelah Subjek Data Pribadi mengklik data centang atau menggores gambar tanda tangan. 7. Bahwa keamanan dari penggunaan TTE ini diperkuat juga dengan fakta tidak semua bisa mendapatkan izin ini, hanya lembaga yang masuk ke dalam Penyelenggara Sertifikasi Elektronik (PSRe) saja yang berwenang mengeluarkan TTE Tersertifikasi sebagaimana yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menteri Komunikasi dan Informatika Nomor 11 Tahun 2022 tentang Tata Kelola Penyelenggaraan Sertifikasi Elektronik; 8. Bahwa perubahan kedua atas UU ITE tersebut juga menjadi penekanan penting dengan memperkenalkan pengakuan terhadap tanda tangan elektronik terhadap transaksi elektronik yang menimbulkan risiko tinggi bagi para pihak (https://www.agilelegal.id/publication/articles/27510/amends-electronic-information-and-transactions-law) 9. Bahwa terdapat beberapa keuntungan dalam penerapan tanda tangan elektronik tersertifikasi ini. Pertama, dari sisi pemberi pinjaman atau kreditur yaitu meminimalisir resiko penipuan melalui data yang diberikan oleh konsumen, karena TTE bersertifikat memiliki jaminan yang tidak dapat disangkal. TTE bersertifikat dalam kontrak, bukti transaksi atau dokumen elektronik merupakan salah satu bentuk rangkaian perjanjian yang tidak diganggu gugat, sehingga dokumen elektronik dalam kontrak produk fintech ini mengikat secara hukum. Kedua, dari sisi konsumen atau peminjam, TTE pinjaman online yang bersertifikat dapat mempercepat proses pinjaman dan dapat dilakukan dimana saja, kapan saja tanpa harus bertemu langsung. Debitur hanya perlu menunjukkan TTE bersertifikat mereka pada lembar dokumen elektronik yang harus mereka tandatangani (M. Rava Imam Falaq & M. Tanzil Multazam, 2024); 10. Bahwa penerapan Tanda Tangan Elektronik (TTE) tersertifikasi menciptakan mekanisme verifikasi identitas yang bersifat independen

20 dan berlapis melalui Penyelenggara Sertifikasi Elektronik (PSrE) yang berinduk pada Kementerian Komunikasi dan Digital (Komdigi). Verifikasi ini tidak dapat disamakan dengan proses konfirmasi internal oleh Pengendali Data Pribadi, karena persetujuan hanya sah apabila Subjek Data Pribadi melakukan otorisasi transaksi menggunakan sertifikat elektronik yang diterbitkan oleh PSrE dan secara hukum melekat pada identitasnya. PSrE bertanggung jawab penuh atas keabsahan proses verifikasi identitas tersebut, termasuk apabila di kemudian hari terbukti bahwa sertifikat elektronik digunakan oleh pihak yang bukan pemilik data pribadi yang sebenarnya. Dengan demikian, akuntabilitas hukum atas kesalahan verifikasi tidak berada pada Subjek Data Pribadi, melainkan pada PSrE sebagai pihak yang diberikan kewenangan oleh negara; 11. Bahwa jaminan keamanan dan kepastian hukum tersebut diperkuat oleh ketentuan bahwa tidak setiap lembaga dapat menerbitkan TTE tersertifikasi, melainkan hanya PSrE yang terdaftar dan berinduk pada Komdigi, sebagaimana diatur dalam PP Nomor 71 Tahun 2019 dan Permenkominfo Nomor 11 Tahun 2022. Oleh karena itu, penggunaan TTE tersertifikasi memberikan perlindungan nyata terhadap penyalahgunaan data pribadi serta memastikan pelaksanaan prinsip akuntabilitas dan keamanan hukum dalam pemrosesan data pribadi; 12. Bahwa dalam era digital, kemampuan untuk membuktikan bahwa suatu tindakan hukum benar-benar dilakukan oleh subjek hukum yang bersangkutan (non-repudiasi) merupakan bagian dari hak atas perlindungan diri pribadi, kehormatan, dan rasa aman sebagaimana dijamin Pasal 28G ayat (1) UUD 1945. Tanpa TTE tersertifikasi, unsur non-repudiasi tidak dapat terpenuhi, karena siapa pun dapat mengajukan tindakan hukum atas nama orang lain hanya dengan bermodalkan data pribadi yang bocor. Dengan demikian, ketiadaan kewajiban TTE tersertifikasi pada Pasal 20 ayat (2) huruf a menyebabkan hilangnya jaminan konstitusional bahwa seseorang tidak akan dipersalahkan atas tindakan hukum yang tidak pernah ia lakukan. 13. Bahwa saat berdasarkan data di tahun 2024 melalui penelitian yang dilakukan oleh Muhammad Raya Imam Falaq dan M. Tanzil Multazam ditemukan bahwa dari 102 perusahaan fintech lending yang memiliki izin

21 dari OJK, hanya 7 (tujuh) perusahaan yang telah memverifikasi tanda tangan elektronik (M. Rava Imam Falaq & M. Tanzil Multazam, 2024, URL:https://journal.pubmedia.id/index.php/jcl/article/view/2957/2957 ). Kondisi ini tentu mengkhawatirkan mengingat banyaknya aplikasi pinjaman saat ini; C. Kewajiban Penggunaan Tanda Tangan Elektronik Tersertifikasi Tidak Serta Merta Mewajibkan Seluruh Jenis Pemrosesan Data Pribadi Karena Hanya Mengkhusus Terhadap Pemrosesan Data Pribadi Berisiko Tinggi 1. Bahwa kegiatan seperti mengikuti suatu webinar, seminar, diskusi publik yang memerlukan penyerahan data pribadi seperti nama, asal, dll tidak akan terdampak dalam permohonan ini, karena permohonan ini tidak dimaksudkan untuk menambah beban regulasi terhadap setiap bentuk persetujuan elektronik yang sederhana, melainkan untuk mendorong negara memenuhi kewajiban positif secara proporsional dalam melindungi warga negara dari risiko penyalahgunaan data pribadi; 2. Bahwa meskipun melampirkan data spesifik seperti KTP, misalnya dalam pendaftaran berkas ke SimpelMKRI juga tidak terdampak kewajiban ini meskipun ada pemrosesan Data Pribadi bersifat spesifik. Karena didasari beberapa alasan: Kewenangan Publik, Perintah Undang-Undang dan sebagainya. Berbeda halnya dengan transaksi keuangan berbasis digital, termasuk layanan financial technology lending (pinjaman daring), merupakan bentuk pemrosesan data pribadi berisiko tinggi (Vide Pasal 34 ayat (2) UU PDP), karena: - melibatkan pengambilan keputusan otomatis melalui sistem algoritmik; - memerlukan akses dan verifikasi terhadap data spesifik (KTP, foto wajah, data biometrik, data penghasilan); - menimbulkan akibat hukum dan ekonomi langsung terhadap subjek data pribadi, seperti pencatatan skor kredit, status pinjaman, dan potensi penagihan. 3. Bahwa Pasal 2 ayat (2) UU PDP menyatakan: Undang-Undang ini tidak berlaku untuk pemrosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga. Pasal ini menjelaskan bahwa pemrosesan data pribadi yang bersifat pribadi atau rumah tangga, seperti

diatur dalam Pasal 2 ayat (2) UU PDP, tetap dikecualikan dari kewajiban UU PDP. Urusan lain seperti menggunakan KTP sebagai jaminan atas pinjaman barang (meminjam jas, motor, dll) juga tidak termasuk dalam pemrosesan karena perusahaan hanya melihat (kecuali jika perusahaan menyimpan, menyalin, atau mendigitalisasi KTP); 4. Bahwa persoalan yang dibahas dalam pengujian ini adalah transaksi keuangan berbasis digital berupa layanan financial technology lending (pinjaman daring) yang merupakan bentuk pemrosesan data pribadi berisiko tinggi karena telah memenuhi kriteria sebagaimana dimaksud pada Pasal 34 ayat (2) tentang pemrosesan data pribadi berisiko tinggi. Sehingga jelas kewajiban penggunaan tanda tangan elektronik tersertifikasi (TTE tersertifikasi) hanya dimaksudkan untuk diterapkan dalam kategori risiko tinggi tersebut; 5. Bahwa dengan demikian, permohonan Pemohon untuk menegaskan kewajiban penggunaan tanda tangan elektronik tersertifikasi tidak dimaksudkan sebagai perluasan kewajiban umum, melainkan sebagai penegasan batasan hukum yang selama ini tidak diatur secara eksplisit dalam pasal a quo, untuk menutup celah normatif yang telah menyebabkan kerugian konstitusional D. Potensi Penyalahgunaan Data Pribadi Seseorang Karena Mekanisme Autentikasi yang Lemah Sebagaimana diatur dalam Pasal a quo Bertegangan dengan Kepastian Hukum yang Adil dan Hak Atas Perlindungan Harta Benda sebagaimana dijamin dalam UUD NRI Tahun 1945; 1. Bahwa Mahkamah Konstitusi sendiri acapkali menggunakan konsep proportionality test yang bertujuan untuk tidak hanya menilai keberlakuan suatu norma secara tekstual, melainkan juga menguji proporsionalitas antara tujuan pembentukan norma dengan dampak yang ditimbulkan terhadap hak konstitusional warga negara. Konsep proportionality test ini secara substantif telah diterapkan oleh Mahkamah Konstitusi dalam berbagai putusannya, baik secara eksplisit maupun implisit. Uji proporsionalitas ini pada dasarnya 4 (empat) tahapan/kriteria, yaitu: Legitimate aims, Suitability, Necessity, dan Balancing;

23 2. Bahwa disampaikan juga oleh Huscroft, Miller & Webber "Proportionality analysis is critical in judicial review when judges deal with a conflict between citizens' fundamental rights, public/ society, and State interests; "if you talked about human rights, you also talked about proportionality." It is a central idea in contemporary human rights law in the world (Huscroft, Miller & Webber, 2014). Dalam penelitian yang disusun oleh Tanto Lailam dan Putri Anggia dengan judul "The Indonesian Constitutional Court Approaches the Proportionality Principle to the Cases Involving Competing Rights" tahun 2023, disebutkan bahwa Mahkamah Konstitusi telah beberapa kali memberlakukan prinsip proporsionalitas secara implisit atau eksplisit, seperti dalam Putusan 11/PUU-V/2007, Putusan No. 001-021-022-I/2003, Putusan No. 012/PUU-III/2005, Putusan No. 27/PUU-VII/2009, Putusan No. 34/PUU-IX/2011, Putusan No. 35/PUU-X/2012, Putusan No. 36/PUU-X/2012, Putusan No. 85/PUU-XI/2013, dan yang paling jelas ditemukan dalam Putusan MK No. 9/PUU-VII/2009 yang dalam pertimbangan hukum Paragraf [3.23] menyatakan: "Menimbang bahwa prinsip proporsionalitas merupakan prinsip dan moralitas konstitusi, yang setiap saat harus diajukan sebagai tolok ukur untuk dapat menjustifikasi dikesampingkannya hak-hak asasi manusia yang telah menjadi constitutional rights yaitu perlindungan, pemajuan, penegakkan, dan pemenuhannya menjadi kewajiban dan tanggung jawab negara, terutama Pemerintah (obligation to protect, to promote, to enforce and to fulfil) yang juga ditetapkan dalam Pasal 28I ayat (4) UUD 1945" 3. Bahwa apabila dikaitkan dengan 4 (empat) kriteria dalam penggunaan proportionality test maka telah sesuai dengan objek pengujian dalam permohonan ini: a. Legitimate Aim (Tujuan yang sah). Dalam konteks penggunaan TTE tersertifikasi, tujuannya adalah melindungi hak konstitusional warga negara atas privasi dan perlindungan data pribadi sebagaimana termaktub dalam Pasal 28G ayat (1) UUD 1945, yang menjamin hak setiap orang atas rasa aman dan perlindungan diri pribadi. Penggunaan TTE tersertifikasi memiliki tujuan yang sah untuk

24 Mencegah penyalahgunaan data pribadi dan Memberikan jaminan hukum dan akuntabilitas bagi pihak Pengendali Data Pribadi melalui keterlibatan Penyelenggara Sertifikasi Elektronik (PSrE); b. Suitability (Kecocokan). Dalam konteks ini, penggunaan TTE tersertifikasi terbukti "suitable" untuk mencapai tujuan perlindungan hak konstitusional atas privasi dan data pribadi sebagaimana Pasal 28G ayat (1) UUD 1945. Secara teknologi, TTE tersertifikasi menjamin authenticity, integrity, dan non-repudation dari tindakan hukum digital yang dilakukan oleh Subjek Data Pribadi. Secara hukum, PSrE yang menerbitkan sertifikat digital tunduk pada standar keamanan dan tanggung jawab hukum. Secara sosial, langkah ini meningkatkan kepercayaan publik terhadap transaksi digital, terutama dalam sektor berisiko tinggi seperti fintech dan data-driven economy; c. Necessity (Keniscayaan). Dalam hal ini, penggunaan TTE tidak tersertifikasi (misalnya tanda tangan digital biasa, klik "setuju" di aplikasi, atau OTP SMS) tidak menjamin otentisitas identitas pengguna secara kuat, sehingga rawan peniruan atau penyalahgunaan data pribadi. Dengan TTE tersertifikasi maka dapat diperlakukan Diversifikasi melalui mekanisme autentikasi berlapis (multi-factor authentication); d. Balancing/Proportionality (Keseimbangan). Dalam konteks ini, memang benar bahwa penggunaan TTE tersertifikasi dapat menimbulkan biaya tambahan, proses administrasi yang lebih panjang, atau ketergantungan pada PSrE. Namun, manfaatnya jauh lebih besar, karena: Memberikan jaminan hukum bagi Subjek Data Pribadi, Mengurangi risiko penyalahgunaan data pribadi, dan Memberikan kepastian hukum bagi pelaku usaha dalam validitas persetujuan elektronik; 4. Bahwa kegagalan negara menyediakan mekanisme autentikasi yang memadai dalam transaksi digital berisiko tinggi merupakan bentuk kegagalan menjalankan kewajiban konstitusional negara sebagaimana diatur dalam Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD 1945.

Tanpa kewajiban penggunaan TTE tersertifikasi, negara membiarkan ruang terjadinya penipuan digital, pencurian identitas, dan pemalsuan persetujuan hukum yang berdampak pada kerugian finansial, reputasi, dan martabat warga negara. Dengan TTE tersertifikasi → negara menjalankan kewajibannya Tanpa TTE tersertifikasi → negara gagal menutup celah fraud. 5. Bahwa pasal a quo telah tepat menjadi objek pengujian karena pasal a quo Dalam konteks pemberlakuan Tanda Tangan Elektronik tersertifikasi berada pada tahap Persetujuan Eksplisit. Frasa "persetujuan yang sah secara eksplisit" tidak mengatur bahwa persetujuan yang sah harus dapat dibuktikan dengan cara yang menjamin pencegahan pemalsuan persetujuan (Dalam praktik fintech lending, ini berarti cukup dengan tanda centang (checklist), unggah KTP, atau foto wajah yang sering kali bahkan sudah dimiliki sebelumnya oleh agen kredit); 6. Bahwa dapat dipahami pada UU PDP masih terkesan terlalu tekstual dan belum menyentuh substansial karena Pasal a quo ini merupakan bagian dari UU PDP yang lahir dari prinsip-prinsip dalam European Union GDPR atau General Data Protection Regulation sehingga masih perlu menyesuaikan dengan karakter sistem hukum Indonesia. (https://www.antaranews.com/berita/1716870/kominfo-ruu-pdp-indonesia-banyak-terpengaruh-gdpr); 7. Bahwa apabila disandingkan antara sistem GDPR yang dibangun diatas sistem hukum Eropa dan UU PDP untuk sistem hukum Indonesia, terdapat beberapa garis besar yang perlu diperhatikan: | Eropa | Indonesia | |---|---| | Infrastruktur sertifikasi identitas elektronik nasional yang matang (eIDAS Regulation) | Sistem sertifikasi elektronik di Indonesia masih terfragmentasi, banyak platform belum menggunakan TTE tersertifikasi | | (Vide Regulation EU No. 910/2014) (Regulation - 910/2014 - EN - e-IDAS - EUR-Lex) | (Cepat Belum Tentu Aman, Pentingnya Tanda Tangan Elektronik Tersertifikasi ) | | Budaya Pelindungan data publik yang kuat dan adanya Data Protection Authorities yang independen | Indonesia masih belum maksimal dan masih berada dibawah koordinasi Kominfo (Lembaga Independen Belum Ada, |

26 (Vide General Data Protection Ini Wasit Data Bocor Sementara) Regulation (Regulasi EU 2016/679) Regulation - 2016/679 - EN - gdpr - EUR-Lex Penegakan hukum yang konsisten Penegakan hukum data pribadi dengan sanksi administratif tinggi masih sporadis, tidak ada preseden dan kepatuhan lintas negara. kuat. (Vide General Data Protection (Kegagalan Pelindungan Data Regulation (Regulasi EU 2016/679) dalam Persidangan: Pembelajaran Regulation - 2016/679 - EN - gdpr - dari Kasus-Kasus di Indonesia) EUR-Lex 8. Bahwa GDPR mengatur bahwa consent must be freely given, specific, informed and unambiguous (Pasal 4(11) GDPR). Dalam sistem Eropa, persetujuan ini divalidasi dengan autentikasi identitas digital yang aman, karena GDPR berjalan seiring dengan eIDAS Regulation (Regulation (EU) No 910/2014 on electronic identification and trust services). Sedangkan di Indonesia, UU PDP Pasal 20 ayat (2) huruf a hanya menyalin frasa "persetujuan yang sah secara eksplisit", tanpa memastikan alat autentikasinya, termasuk mensyaratkan penggunaan TTE tersertifikasi; 9. Bahwa hingga kini, ribuan warga negara menjadi korban penyalahgunaan data pribadi melalui pinjaman online ilegal, pembobolan rekening bank digital, kegagalan sistem sekuritas, hingga transaksi tidak sah pada layanan BI-FAST. Para korban telah mengajukan pengaduan ke OJK, Bank Indonesia, Kepolisian, dan Kementerian Kominfo, namun kerugian tersebut tidak hanya bersifat finansial (https://www.cnbcindonesia.com/ market/20251209062916-17-692307/heboh-kasus-peretasan-bank- rp200-m-bi-minta-nasabah-lakukan-hal-ini). Banyak dari mereka mengalami tekanan psikologis, kehilangan reputasi, serta dicatat sebagai debitur wanprestasi padahal tidak pernah melakukan pinjaman tersebut. Situasi ini tidak hanya menyangkut kegagalan regulasi, melainkan menyangkut martabat manusia sebagaimana dilindungi dalam Pasal 28G ayat (1) UUD 1945; 10. Bahwa fenomena ini harus segera ditindaklanjuti, mengingat penyalahgunaan data pribadi akibat ketiadaan pengaturan soal TTE tersertifikasi, tidak dapat PEMOHON bayangkan bagaimana jika ini

27 peristiwa ini menimpa orang-orang lain bahkan dengan nominal yang cukup besar? Bagaimana jika peristiwa ini dapat saja menimpa anggota keluarga Para Yang Mulia Hakim Konstitusi ? karena mudahnya penggunaan data pribadi untuk meminjam uang di Layanan Pinjaman Berbasis Teknologi Informasi. Kondisi ini diperburuk lagi dengan maraknya penggunaan Debt Collector tidak tersertifikasi oleh oknum layanan pindar yang semakin dapat merugikan hak pemilik subjek data pribadi selaku peminjam (https://www.indonesiana.id/read/187689/mengapa-sering-ditemukan-debt-collector-non-sertifikasi-pada-pinjaman-online) 11. Bahwa tujuan utama dilakukannya judicial review ke MK adalah untuk memperjelas agar pasal a quo sesuai dengan asas lex certa dengan memberikan penegasan makna soal persetujuan yang sah. Terdapat pula pengecualian dengan menggunakan frasa “potensi risiko tinggi” untuk mencegah agar kewajiban menggunakan Tanda Tangan Elektronik yang diamankan dengan Sertifikat Elektronik tidak termasuk pemrosesan data pribadi biasa (Vide Permohonan Poin C). Sehingga bebannya hanya pada pemrosesan data pribadi yang berpotensi menimbulkan risiko tinggi bagi Subjek Data Pribadi saja. Penggunaan frasa “sesuai dengan ketentuan peraturan perundang-undangan” juga ditujukan agar pemaknaan pasal a quo menjadi lebih fleksibel dengan merujuk pada peraturan perundang-undangan terkait penggunaan Tanda Tangan Elektronik yang diamankan dengan Sertifikat Elektronik pada Transaksi Elektronik yang memiliki risiko tinggi yang saat ini berlaku; 12. Bahwa ketiadaan norma ini mengakibatkan tidak adanya perlindungan hukum yang adil. Ketentuan a quo saat ini hanya memberi perlindungan hukum bagi korban yang data pribadinya disalahgunakan dengan cara “melemparkan” korban kepada jalur hukum. Korban “dipaksa” silakan memperjuangkan sendiri dengan menempuh jalur hukum yang ada; 13. Sebagai gambaran, dengan kasus yang PEMOHON alami, kurang lebih 6 bulan prosesnya berjalan. Selama itu pula, PEMOHON diteror pesan maupun telepon spam, yang jika diangkat isinya kadang bot kadang orang asing yang mengintimidasi dan memaksa PEMOHON untuk membayar. Sehari bisa dihubungi puluhan kali, bahkan subuh maupun

28 larut malam PEMOHON tetap mendapat teror. Handphone PEMOHON harus selalu dalam keadaan aeroplane/flight mode untuk menghindari teror tersebut. Akhirnya PEMOHON menempuh jalur hukum dengan terlebih dahulu mengirimkan somasi bahkan hingga 3 kali, namun tidak pernah mendapat tanggapan. Dan teror pun tetap saja berlanjut. Kemudian PEMOHON menempuh jalur hukum lewat pengadilan Perdata. Pihak Lawan pun di hari pertama sidang itu langsung menawarkan perdamaian. Barulah PEMOHON tidak lagi mendapat teror.; 14. PEMOHON perlu menekankan bahwa PEMOHON adalah advokat yang mengerti hukum dan merupakan Managing Partner pada kantor hukumnya sendiri. Sehingga, PEMOHON cukup menggunakan resource yang dimiliki nya sendiri tanpa perlu pengacara lain. Namun sekarang bayangkan ketika hal ini dialami orang non hukum, tentu mereka memerlukan pengacara. Dalam mekanisme yang ditempuh PEMOHON, yakni somasi hingga 3 kali dan menempuh gugatan perdata, sekurang-kurangnya estimasi biaya jasa pengacara terhadap upaya hukum tersebut sudah bisa diangka 10 juta rupiah, belum termasuk biaya panjar perkara di pengadilan. Semua hanya untuk korban membela diri dari perbuatan yang tidak pernah korban lakukan; 15. Dan upaya hukum PEMOHON pun bisa dibilang tergolong selesai cepat dalam kurang lebih 6 bulan, karena PEMOHON ditawari perdamaian. Apabila pihak lawan tetap bersikeras, tidak mau berdamai, maka waktu yang ditempuh bisa lebih lama. Putusan tingkat pertama sendiri bisa memakan waktu berbulan-bulan, belum lagi jika ada banding dan kasasi. PEMOHON juga "memaksakan" suatu taktik hukum, dimana PEMOHON menggugat melalui gugatan sederhana agar perkara diputus cepat. Ini sangat berisiko karena jika gugatan sederhananya tidak dapat diterima maka PEMOHON harus memulai lagi dari awal dengan gugatan biasa. PEMOHON memang beruntung karena ditawari perdamaian, namun yang perlu ditekankan menjadi point utama di sini adalah menempuh gugatan perdata pun tidak memberikan perlindungan hukum yang adil bagi korban, karena biaya yang besar, waktu yang lama, dan selama upaya hukum ini berjalan akan tetap diteror;

29 16. Menempuh melalui jalur pidana akan lebih parah. PEMOHON memilih tidak menempuh jalur itu karena setelah berkonsultasi dengan kolega PEMOHON yang memiliki expertise di pidana, mereka berpandangan bahwa kasus PEMOHON akan bisa mandeg bertahun-tahun karena pembuktiannya sulit bagi korban, dan bahkan korban bisa terancam dilaporkan balik. Karena itulah PEMOHON tidak menempuh jalur pidana; 17. Kenapa korban harus sulit sekali mendapat perlindungan hukum yang adil? Semua ini terjadi karena ketentuan yang ada saat ini hanya "melemparkan" korban untuk silakan tempuh saja upaya hukum sendiri. Padahal sebagaimana istilah didalam dunia kedokteran, "mencegah lebih baik daripada mengobati". Kekosongan norma dalam hal pencegahan lah yang mengakibatkan semua ini terjadi, sehingga korban yang sudah terzolimi semakin terzolimi lagi ketika "dipaksa" menempuh upaya hukum; 18. Jika ketiadaan norma ini dibiarkan terus menerus maka tidak hanya PEMOHON namun juga warga negara Indonesia lainnya, siapapun itu, akan bisa menjadi korban yang kemudian terlanggar haknya untuk mendapatkan kepastian hukum yang adil dan rasa aman. IV. PETITUM Bahwa dari seluruh dalil-dalil yang diuraikan di atas dan bukti-bukti terlampir, dengan ini PEMOHON mohon kepada Mahkamah Konstitusi untuk memberikan putusan sebagai berikut; 1. Mengabulkan permohonan PEMOHON untuk seluruhnya; 2. Menyatakan Pasal 20 ayat (2) huruf a Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196, Tambahan Lembaran Negara Republik Indonesia Nomor 6820) bertentangan dengan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 dan tidak mempunyai kekuatan hukum mengikat secara bersyarat sepanjang tidak dimaknai "persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi, dan dalam hal pemrosesan Data Pribadi yang memiliki potensi risiko tinggi dilakukan melalui sistem elektronik, persetujuan tersebut wajib diberikan

30 dengan menggunakan Tanda Tangan Elektronik yang diamankan dengan Sertifikat Elektronik sesuai ketentuan peraturan perundang-undangan" 3. Memerintahkan pemuatan putusan ini dalam Berita Negara Republik Indonesia sebagaimana mestinya. Atau apabila Majelis Hakim Mahkamah Konstitusi berpendapat lain mohon putusan yang seadil-adilnya (ex aequo et bono). [2.2] Menimbang bahwa untuk membuktikan dalilnya, Pemohon telah mengajukan alat bukti yang diberi tanda Bukti P-1 sampai dengan Bukti P-8, sebagai berikut: 1. Bukti P-1 : Fotokopi Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi; 2. Bukti P-2 : Fotokopi Undang-Undang Dasar Negara Republik Indonesia Tahun 1945; 3. Bukti P-3 : Fotokopi Identitas Pemohon (Kartu Tanda Penduduk); 4. Bukti P-4 : Fotokopi Bukti Pinjaman Online; 5. Bukti P-5 : Tangkapan layar Sistem Informasi Penelusuran Perkara (SIPP) Pengadilan Negeri Jakarta Selatan Tentang Pinjol Dengan Orang Lain; 6. Bukti P-6 : Tangkapan layar SIPP Pengadilan Negeri Jakarta Selatan Tentang Pinjol Dengan Pemohon; 7. Bukti P-7 : Tangkapan layar tentang teror yang dilakukan oleh debt collector kepada Pemohon; 8. Bukti P-8 : Fotokopi Putusan Kasus Pemohon dengan Nomor 82/Pdt.G.S/2025/PN Jkt.Sel. [2.3] Menimbang bahwa untuk mempersingkat uraian dalam putusan ini, segala sesuatu yang terjadi di persidangan merujuk Berita Acara Persidangan yang merupakan satu kesatuan yang tidak terpisahkan dengan putusan ini. 3. PERTIMBANGAN HUKUM Kewenangan Mahkamah [3.1] Menimbang bahwa berdasarkan Pasal 24C ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (selanjutnya disebut UUD NRI Tahun 1945), Pasal 10 ayat (1) huruf a Undang-Undang Nomor 24 Tahun 2003 tentang Mahkamah Konstitusi sebagaimana telah diubah terakhir dengan Undang-Undang

31 Nomor 7 Tahun 2020 tentang Perubahan Ketiga Atas Undang-Undang Nomor 24 Tahun 2003 tentang Mahkamah Konstitusi (Lembaran Negara Republik Indonesia Tahun 2020 Nomor 216, Tambahan Lembaran Negara Republik Indonesia Nomor 6554, selanjutnya disebut UU MK), dan Pasal 29 ayat (1) huruf a Undang-Undang Nomor 48 Tahun 2009 tentang Kekuasaan Kehakiman (Lembaran Negara Republik Indonesia Tahun 2009 Nomor 157, Tambahan Lembaran Negara Republik Indonesia Nomor 5076), Mahkamah berwenang, antara lain, mengadili pada tingkat pertama dan terakhir yang putusannya bersifat final untuk menguji undang-undang terhadap UUD NRI Tahun 1945. [3.2] Menimbang bahwa oleh karena permohonan Pemohon adalah pengujian konstitusionalitas undang-undang, in casu norma Pasal 20 ayat (2) huruf a Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196, Tambahan Lembaran Negara Republik Indonesia Nomor 6820, selanjutnya disebut UU 27/2022) terhadap UUD NRI Tahun 1945, sehingga Mahkamah berwenang mengadili permohonan a quo. Kedudukan Hukum Pemohon [3.3] Menimbang bahwa berdasarkan Pasal 51 ayat (1) UU MK beserta Penjelasannya, yang dapat mengajukan permohonan pengujian undang-undang terhadap UUD NRI Tahun 1945 adalah mereka yang menganggap hak dan/atau kewenangan konstitusionalnya yang diberikan oleh UUD NRI Tahun 1945 dirugikan oleh berlakunya suatu Undang-Undang, yaitu: a. perorangan warga negara Indonesia (termasuk kelompok orang yang mempunyai kepentingan sama); b. kesatuan masyarakat hukum adat sepanjang masih hidup dan sesuai dengan perkembangan masyarakat dan prinsip Negara Kesatuan Republik Indonesia yang diatur dalam undang-undang; c. badan hukum publik atau privat; atau d. lembaga negara; Dengan demikian, Pemohon dalam pengujian undang-undang terhadap UUD NRI Tahun 1945 harus menjelaskan terlebih dahulu: a. kedudukannya sebagai Pemohon sebagaimana dimaksud dalam Pasal 51 ayat (1) UU MK;

32 b. ada tidaknya kerugian hak dan/atau kewenangan konstitusional yang diberikan oleh UUD NRI Tahun 1945 yang diakibatkan oleh berlakunya undang-undang yang dimohonkan pengujian dalam kedudukan sebagaimana dimaksud pada huruf a; [3.4] Menimbang bahwa Mahkamah sejak Putusan Mahkamah Konstitusi Nomor 006/PUU-III/2005 yang diucapkan dalam sidang pleno terbuka untuk umum pada tanggal 31 Mei 2005 dan Putusan Mahkamah Konstitusi Nomor 11/PUU-V/2007 yang diucapkan dalam sidang pleno terbuka untuk umum pada tanggal 20 September 2007 serta putusan-putusan selanjutnya, telah berpendirian bahwa kerugian hak dan/atau kewenangan konstitusional sebagaimana dimaksud dalam Pasal 51 ayat (1) UU MK harus memenuhi 5 (lima) syarat, yaitu: a. adanya hak dan/atau kewenangan konstitusional Pemohon yang diberikan oleh UUD NRI Tahun 1945; b. hak dan/atau kewenangan konstitusional tersebut oleh Pemohon dianggap dirugikan oleh berlakunya undang-undang yang dimohonkan pengujian; c. kerugian konstitusional tersebut harus bersifat spesifik (khusus) dan aktual atau setidak-tidaknya potensial yang menurut penalaran yang wajar dapat dipastikan akan terjadi; d. adanya hubungan sebab-akibat antara kerugian dimaksud dan berlakunya undang-undang yang dimohonkan pengujian; e. adanya kemungkinan bahwa dengan dikabulkannya permohonan, maka kerugian konstitusional seperti yang didalilkan tidak akan atau tidak lagi terjadi. [3.5] Menimbang bahwa berdasarkan uraian ketentuan Pasal 51 ayat (1) UU MK dan syarat-syarat kerugian hak konstitusional sebagaimana diuraikan pada Paragraf [3.3] dan Paragraf [3.4] di atas, Pemohon pada pokoknya menguraikan kedudukan hukumnya sebagai berikut. 1. Bahwa norma undang-undang yang dimohonkan pengujian konstitusionalitasnya dalam permohonan *a quo* adalah norma Pasal 20 ayat (2) huruf a UU 27/2022, rumusannya sebagai berikut: Dasar pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) meliputi: a. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;

33 b. ... 2. Bahwa Pemohon adalah perorangan warga negara Indonesia yang merasa dirugikan dengan berlakunya norma a quo yang menjelaskan memiliki hak konstitusional sebagaimana dijamin dalam Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945; 3. Bahwa Pemohon merupakan pengguna kartu kredit dan mengajukan permohonan kartu kredit tersebut melalui agen kartu kredit resmi. Pemohon pun menyatakan selalu membayar tagihan kartu kreditnya tepat waktu. Dalam proses pengajuan permohonan tersebut Pemohon seringkali diminta untuk menyerahkan data pribadi berupa foto diri serta KTP. 4. Bahwa Pemohon mengalami kejadian aktual berupa adanya tagihan dari salah satu platform pinjaman online (pinjol) di mana Pemohon merasa tidak pernah melakukan pengajuan kredit pada platform pinjol tersebut. Dalam hal ini data pribadi Pemohon digunakan tanpa ijin. Pemohon telah melakukan upaya hukum dan berakhir pada penawaran perdamaian dari pihak platform pinjol tersebut yang dikemudian hari diketahui pernah digugat dengan permasalahan yang sama. Dalam hal ini Pemohon dirugikan secara finansial, waktu, tenaga serta reputasi keuangannya. 5. Bahwa kerugian yang dialami Pemohon akibat tersebarnya data pribadi tersebut terjadi karena ketiadaan kewajiban penggunaan tanda tangan elektronik tersertifikasi sehingga menimbulkan ketidakpastian mengenai subjek hukum yang sah memberikan persetujuan. Data pribadi Pemohon (KTP, foto diri, dan data lainnya) diserahkan secara sah untuk kepentingan pengajuan kartu kredit kepada agen resmi, namun karena tidak ada mekanisme autentikasi berbasis tanda tangan elektronik tersertifikasi, data tersebut dapat digunakan kembali oleh pihak lain tanpa sepengetahuan dan tanpa persetujuan hukum Pemohon untuk mengajukan pinjaman online. Selain itu, ketiadaan norma yang mewajibkan penggunaan tanda tangan elektronik tersertifikasi dalam persetujuan berisiko tinggi menciptakan ruang terbuka bagi penyalahgunaan data pribadi oleh pihak ketiga. Berdasarkan uraian dalam menjelaskan kedudukan hukum yang dikemukakan tersebut di atas, Mahkamah berpendapat Pemohon telah dapat menerangkan secara jelas kualifikasinya sebagai perseorangan warga negara Indonesia yang memiliki anggapan kerugian hak konstitusional akibat berlakunya

34 norma undang-undang yang dimohonkan pengujian. Anggapan kerugian hak konstitusional tersebut bersifat spesifik dan aktual yang disebabkan karena berlakunya norma Pasal 20 ayat (2) huruf a UU 27/2022, yang tidak mengatur kewajiban penggunaan tanda tangan elektronik tersertifikasi dalam persetujuan berisiko tinggi. Di samping itu, anggapan kerugian hak konstitusional yang dijelaskan Pemohon telah memiliki hubungan sebab-akibat (causal verband) dengan norma yang dimohonkan pengujian. Oleh karena itu, apabila permohonan a quo dikabulkan, maka anggapan kerugian hak konstitusional sebagaimana dimaksud oleh Pemohon tidak lagi terjadi. Dengan demikian, terlepas dari terbukti atau tidaknya persoalan konstitusionalitas norma yang dimohonkan pengujian, Mahkamah berpendapat Pemohon memiliki kedudukan hukum untuk bertindak sebagai Pemohon dalam permohonan a quo. [3.6] Menimbang bahwa oleh karena Mahkamah berwenang untuk mengadili permohonan a quo dan Pemohon memiliki kedudukan hukum untuk bertindak sebagai Pemohon, maka selanjutnya Mahkamah akan mempertimbangkan pokok permohonan. Pokok Permohonan [3.7] Menimbang bahwa Pemohon mendalilkan norma Pasal 20 ayat (2) huruf a UU 27/2022 bertentangan dengan Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945, dengan dalil-dalil (selengkapnya dimuat pada bagian Duduk Perkara) yang apabila dipahami dan dirumuskan Mahkamah pada pokoknya sebagai berikut. 1. Bahwa menurut Pemohon, frasa "persetujuan yang sah" pada Pasal 20 ayat (2) huruf a UU 27/2022 tidak menjamin keamanan pelindungan data bagi subjek data pribadi karena pasal a quo tidak mengatur apa yang dimaksud dengan persetujuan yang sah, sehingga akibatnya bisa ditafsirkan secara luas, termasuk dengan penggunaan click box atau kolom checklist yang dapat saja dilakukan oleh siapapun, meskipun bukan pemilik data yang memiliki data pribadi dan bersifat spesifik tersebut. 2. Bahwa menurut Pemohon, dengan banyaknya laporan scam atau penipuan dan pembobolan rekening sekuritas di mana transaksi keuangan tersebut terjadi melalui click consent yang dilakukan tanpa seizin nasabah yang bersangkutan

35 menunjukkan negara belum mampu menyediakan infrastruktur autentikasi yang memadai untuk melindungi warga negara dari penyalahgunaan data pribadi, sehingga kewajiban penggunaan tanda tangan elektronik tersertifikasi menjadi kebutuhan mendesak bagi perlindungan konstitusional warga negara. Penyalahgunaan data pribadi tidak hanya terjadi pada transaksi keuangan digital tetapi dilakukan pula oleh pihak-pihak yang memiliki akses langsung terhadap data pribadi sebagaimana yang terjadi pada peristiwa penyalahgunaan data kependudukan oleh aparatur Dinas Kependudukan dan Pencatatan Sipil di Kabupaten Bondowoso. 3. Bahwa menurut Pemohon, peristiwa-peristiwa tersebut di atas, selalu terjadi terutama pada transaksi keuangan digital. Penyelenggara keuangan digital selalu berpendapat bahwa hal tersebut tercatat pada sistem internal mereka di mana pengguna telah menyetujui transaksi dengan mengklik click consent aplikasi platform. Sementara, orang (nasabah) yang disalahgunakan datanya tersebut sulit membuktikan bahwa dirinya tidak pernah memberikan persetujuan karena tidak memiliki akses maupun kemampuan teknis yang setara untuk menguji atau membantah klaim sistem elektronik tersebut. Hal tersebut disebabkan seluruh sistem tersebut berada dalam kendali penyelenggara platform. 4. Bahwa menurut Pemohon, ketiadaan kewajiban penggunaan mekanisme autentikasi yang kuat dalam pasal a quo menjadikan posisi nasabah sebagai korban semakin lemah, karena setiap bantahan nasabah dengan mudah dipatahkan oleh klaim sepihak “sistem mencatat adanya persetujuan”. Dengan demikian, norma Pasal 20 ayat (2) huruf a UU 27/2022 tidak lagi berfungsi sebagai instrumen pelindungan hak subjek data pribadi, melainkan justru menjadi alat pembenaran bagi penyelenggara platform untuk mengalihkan risiko dan tanggung jawab kepada nasabah. Kesulitan pembuktian tersebut berimplikasi langsung terhadap hilangnya kepastian hukum dan rasa aman bagi warga negara sebagaimana dijamin dalam Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945. 5. Bahwa menurut Pemohon, penguatan mekanisme autentikasi merupakan hal wajib yang seharusnya dilakukan oleh pemerintah. Tanda tangan elektronik tersertifikasi merupakan bentuk persetujuan yang sah secara eksplisit dari subjek data pribadi kepada pengendali data pribadi sebagaimana hal tersebut

36 diatur dalam Pasal 17 ayat (2a) Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) yang mewajibkan penggunaan tanda tangan elektronik tersertifikasi untuk transaksi berisiko tinggi. Oleh karena itu frasa "persetujuan yang sah secara eksplisit" dalam UU 27/2022 harus dimaknai selaras dengan standar keamanan transaksi elektronik dalam Pasal 17 ayat (2a) UU ITE. Kewajiban penggunaan tanda tangan elektronik tersertifikasi tersebut tidak serta merta mewajibkan seluruh jenis pemrosesan data pribadi dan hanya khusus bagi pemrosesan data pribadi yang berisiko tinggi, dan transaksi keuangan berbasis digital berupa layanan financial technology lending (pinjaman daring) merupakan bentuk pemrosesan data pribadi berisiko tinggi karena telah memenuhi kriteria sebagaimana dimaksud pada Pasal 34 ayat (2) UU 27/2022. Bahwa berdasarkan dalil-dalil sebagaimana tersebut di atas, Pemohon dalam petitum pada pokoknya memohon kepada Mahkamah untuk menyatakan Pasal 20 ayat (2) huruf a UU 27/2022 bertentangan dengan UUD NRI Tahun 1945 dan tidak mempunyai kekuatan hukum mengikat secara bersyarat sepanjang tidak dimaknai "persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi, dan dalam hal pemrosesan data pribadi yang memiliki potensi risiko tinggi dilakukan melalui sistem elektronik, persetujuan tersebut wajib diberikan dengan menggunakan tanda tangan elektronik yang diamankan dengan sertifikat elektronik sesuai ketentuan peraturan perundang-undangan". [3.8] Menimbang bahwa untuk membuktikan dalil permohonannya, Pemohon telah mengajukan alat bukti yang diberi tanda Bukti P-1 sampai dengan P-8 yang telah disahkan dalam persidangan pada tanggal 9 Januari 2026 (selengkapnya dimuat pada bagian duduk perkara). [3.9] Menimbang bahwa oleh karena permohonan a quo telah jelas, Mahkamah berpendapat tidak terdapat urgensi maupun kebutuhan untuk mendengar pihak sebagaimana disebut dalam Pasal 54 UU MK.

[3.10] Menimbang bahwa setelah Mahkamah memeriksa secara saksama permohonan Pemohon dan bukti-bukti yang diajukan oleh Pemohon, persoalan konstitusionalitas norma yang harus dijawab oleh Mahkamah adalah apakah norma Pasal 20 ayat (2) huruf a UU 27/2022 bertentangan dengan UUD NRI Tahun 1945 karena tidak mencantumkan kewajiban penggunaan tanda tangan elektronik tersertifikasi sebagai persetujuan yang sah bagi pemrosesan data pribadi berisiko tinggi. Terhadap persoalan konstitusionalitas norma yang didalilkan Pemohon tersebut, Mahkamah mempertimbangkan sebagai berikut. [3.10.1] Bahwa norma Pasal 20 ayat (2) huruf a UU 27/2022 yang dipersoalkan konstitusionalitasnya oleh Pemohon mengatur hal yang berkaitan dengan kewajiban pengendali data pribadi, di mana dasar pemrosesan data pribadi yang wajib dimiliki oleh pengendali data pribadi, di antaranya adalah persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi. Berkenaan dengan frasa "persetujuan yang sah" tersebut menurut Pemohon menimbulkan persoalan jika tidak diberikan dengan menggunakan tanda tangan elektronik yang diamankan dengan sertifikat elektronik, dengan maksud agar tidak terjadi penyalahgunaan data pribadi tanpa sepengetahuan subjek data pribadi. Terlepas dari kasus konkret yang dialami Pemohon, UU 27/2022 telah menentukan berkenaan dengan norma yang dimohonkan pengujian bahwa dalam hal pemrosesan data pribadi berdasarkan persetujuan yang sah secara eksplisit, pengendali data pribadi telah diberikan rambu-rambu kewajiban menyampaikan informasi mengenai legalitas dari pemrosesan data pribadi; tujuan pemrosesan data pribadi; jenis dan relevansi data pribadi yang akan diproses; jangka waktu retensi dokumen yang memuat data pribadi; rincian mengenai informasi yang dikumpulkan; jangka waktu pemrosesan data pribadi; dan hak subjek data pribadi. Apabila terdapat perubahan informasi, pengendali data pribadi wajib memberitahukan kepada subjek data pribadi sebelum terjadi perubahan informasi tersebut [vide Pasal 21 UU 27/2022]. Pentingnya kewajiban tersebut dilakukan oleh pengendali data pribadi karena pelindungan data pribadi dalam seluruh rangkaian pemrosesan data pribadi merupakan bagian dari jaminan hak konstitusional subjek data pribadi. Hal tersebut

38 sebagaimana ditegaskan dalam Pasal 28G ayat (1) UUD NRI Tahun 1945 yang menyatakan, “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi”. Sejalan dengan hal tersebut, UU 27/2022 menekankan pentingnya asas-asas dalam pelindungan data pribadi. Di antaranya asas pelindungan yang menghendaki tidak disalahgunakannya data pribadi. Selain itu, asas kehati-hatian yang menghendaki agar para pihak yang terkait dengan pemrosesan dan pengawasan data pribadi harus memperhatikan segenap aspek yang berpotensi mendatangkan kerugian, serta asas kerahasiaan yang menghendaki data pribadi terlindungi dari pihak-pihak yang tidak berhak dan/atau dari kegiatan pemrosesan data pribadi yang tidak sah [vide Penjelasan Pasal 3 huruf a, huruf e, dan huruf h UU 27/2022]. Dalam kaitan ini, undang-undang a quo telah memberikan hak kepada subjek data pribadi untuk melindungi data pribadi miliknya dari penyalahgunaan dan memberikan hak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifikan pada subjek data pribadi [vide Pasal 10 ayat (1) UU 27/2022]. Pemrofilan dimaksud adalah kegiatan mengidentifikasi seseorang termasuk namun tidak terbatas pada riwayat pekerjaan, kondisi ekonomi, kesehatan, preferensi pribadi, minat, keandalan, perilaku, lokasi, atau pergerakan subjek data pribadi secara elektronik [vide Penjelasan Pasal 10 ayat (1) UU 27/2022]. [3.10.2] Bahwa berkenaan dengan persoalan Pemohon terkait frasa “persetujuan yang sah” dalam Pasal 20 ayat (2) huruf a UU 27/2022 yang menurut Pemohon bertentangan dengan UUD NRI Tahun 1945 karena dapat ditafsirkan secara luas yang tidak memberikan jaminan perlindungan bagi subjek data pribadi sehingga pada pokoknya memohon kepada Mahkamah agar persetujuan tersebut wajib diberikan dengan menggunakan tanda tangan elektronik yang tersertifikasi berdasarkan ketentuan perundang-undangan. Berkaitan dengan hal tersebut, untuk memahami frasa “persetujuan yang sah” dalam norma Pasal 20 ayat (2) huruf a UU 27/2022 harus dipahami pengaturan mengenai perlindungan data pribadi dalam UU 27/2022 secara utuh atau komprehensif. Setelah Mahkamah mencermati secara saksama, persetujuan yang sah sebagaimana dimaksud dalam norma Pasal 20 ayat

39 (2) huruf a UU 27/2022, tidak serta merta langsung didapatkan oleh pengendali data pribadi dari subjek data pribadi. UU 27/2022 telah membatasi cara pengendali data pribadi mendapatkan persetujuan yang sah, yaitu dengan terlebih dahulu menyampaikan informasi kepada subjek data pribadi mengenai legalitas dan tujuan pemrosesan data pribadi, jenis dan relevansi data yang akan diproses, jangka waktu retensi dokumen yang memuat data pribadi, rincian mengenai informasi yang dikumpulkan, jangka waktu pemrosesan dan hak dari subjek data pribadi. Selain itu, jika terdapat perubahan informasi maka pengendali data pribadi harus memberitahukan hal tersebut kepada subjek data pribadi sebelum perubahan dilakukan [vide Pasal 21 UU 27/2022]. Selain itu, persetujuan yang sah sebagai dasar pemrosesan data pribadi tersebut dilakukan melalui persetujuan tertulis atau terekam dan dapat disampaikan kepada subjek data pribadi secara elektronik maupun non elektronik [vide Pasal 22 ayat (1) dan ayat (2) UU 27/2022]. Oleh karena itu, pemrosesan data pribadi yang dilakukan oleh pengendali data pribadi wajib dilakukan secara terbatas dan spesifik sebagaimana tujuan pemrosesan yang telah ditentukan pada saat pengumpulan data pribadi, serta sah secara hukum dan transparan dengan memastikan subjek data pribadi telah mengetahui data pribadi yang diproses dan bagaimana data pribadi tersebut diproses [vide Pasal 27 dan Pasal 28 UU 27/2022 serta Penjelasannya]. Melalui undang-undang a quo, data pribadi yang dimiliki oleh masyarakat atau subjek data pribadi telah ternyata dibatasi penggunaannya dan tidak dapat serta merta digunakan secara sembarangan oleh pengendali data pribadi karena setiap pemrosesannya harus dilakukan sesuai dengan tujuan pemrosesan yang disetujui oleh subjek data pribadi selaku pemilik data pribadi tersebut. Oleh karena itu, sesungguhnya undang-undang a quo sudah memberikan aturan secara rinci mengenai pemrosesan data pribadi yang hanya dapat dilakukan dengan persetujuan yang sah dari subjek data pribadi dan merupakan salah satu bentuk perlindungan data pribadi yang dijamin pelaksanaannya oleh pengendali data pribadi dalam undang-undang a quo. Dengan demikian, frasa "persetujuan yang sah" dalam norma Pasal 20 ayat (2) huruf a UU 27/2022 dimaksudkan untuk memberikan jaminan perlindungan bagi data pribadi secara berkepastian hukum sehingga tidak bertentangan dengan Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945. Bahkan, jika dalam klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan data pribadi, tidak memuat

40 persetujuan yang sah secara eksplisit dari subjek data pribadi maka perjanjian tersebut dinyatakan batal demi hukum [vide Pasal 23 UU 27/2022]. Oleh karena itu, berkaitan dengan yang dipersoalkan oleh Pemohon sesungguhnya merupakan hal teknis yang tidak terkait dengan konstitusionalitas norma. Sebab, norma Pasal 20 ayat (2) huruf a UU 27/2022 merupakan aturan umum dalam rangka memberi perlindungan data pribadi bagi warga negara sebagaimana maksud Pasal 28G ayat (1) UUD NRI Tahun 1945. Sementara itu, terkait dengan hal-hal teknis diatur dalam peraturan pelaksana undang-undang a quo, misalnya Peraturan Otoritas Jasa Keuangan (POJK) Nomor 22 Tahun 2023 tentang Perlindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan. Tanpa<bos> Mahkamah bermaksud menilai legalitas POJK tersebut, telah ditentukan adanya larangan bagi Pelaku Usaha Jasa Keuangan (PUJK) yang menyalahgunakan, menyebarkan, atau memberikan data konsumen kepada pihak ketiga tanpa persetujuan, serta mengatur kewajiban keamanan siber. Namun demikian, untuk lebih memberi perlindungan data pribadi yang lebih maksimal maka ke depan diperlukan aturan pelaksana yang lebih rinci agar semakin memberikan perlindungan yang lebih (multiple protection) terhadap data pribadi yang wajib dilakukan oleh pengendali data pribadi. [3.10.3] Bahwa terkait dengan kebocoran data pribadi oleh pihak-pihak yang tidak berhak atau pihak yang melakukan pemrosesan data pribadi secara tidak sah yang didalilkan Pemohon, UU 27/2022 telah menyediakan piranti hukum bahwa subjek data pribadi memiliki hak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi [vide Pasal 12 ayat (1) UU 27/2022]. Oleh karena itu, jika terjadi pemrosesan data pribadi yang tidak sesuai dengan tujuan maka subjek data pribadi berhak menunda atau membatasi pemrosesan data pribadi tersebut secara proporsional sesuai dengan tujuan pemrosesan dimaksud [vide Pasal 11 UU 27/2022]. Terlebih, secara prinsip, pemrosesan data pribadi yang dilakukan oleh pengendali data pribadi haruslah dilakukan dengan cara terbatas, spesifik, sah secara hukum, transparan, sesuai dengan tujuan, akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan [vide Pasal 16 ayat (2) UU 27/2022]. Selain itu, sebagaimana telah dipertimbangkan di atas, pemrosesan data dilakukan dengan menjamin hak subjek data pribadi dari pengaksesan data yang tidak sah, pengungkapan yang tidak sah, dan juga penyalahgunaan data pribadi [vide Pasal 16 ayat (2) huruf e UU 27/2022]. Dalam kaitan ini, pembentuk

41 undang-undang pun telah memberikan jaminan bagi subjek data pribadi yang pemrosesan data pribadinya dilakukan oleh 2 (dua) atau lebih pengendali data pribadi yang harus memenuhi syarat minimal: (a) terdapat perjanjian antara para pengendali data pribadi yang memuat peran, tanggung jawab, dan hubungan antar-pengendali data pribadi; (b) terdapat tujuan yang saling berkaitan dan cara pemrosesan data pribadi yang ditentukan secara bersama; dan (c) terdapat narahubung yang ditunjuk secara bersama-sama [vide Pasal 18 UU 27/2022]. Dengan demikian, pengendali data pribadi dapat melakukan segala bentuk pemrosesan data pribadi milik subyek data pribadi baik untuk 1 (satu) tujuan atau beberapa tujuan apabila sudah memiliki dasar pemrosesan data pribadi. Salah satunya adalah persetujuan yang sah secara eksplisit dari subjek data pribadi [vide Pasal 20 ayat (2) huruf a UU 27/2022]. Oleh karena itu, jika terjadi pemrosesan data pribadi tidak sesuai dengan tujuan sebagaimana disampaikan dari subjek data pribadi kepada pengendali data pribadi, maka dirinya (subjek data pribadi) dapat membatasi bahkan melakukan gugatan. Sebab, dalam rangka menjamin perlindungan hak pribadi yang berkepastian hukum sebagaimana dijamin dalam Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945, UU 27/2022 telah menegaskan berbagai bentuk larangan dalam penggunaan data pribadi sebagai norma primer, yaitu larangan bagi setiap orang secara melawan hukum: (1) memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi; (2) mengungapkan data pribadi yang bukan miliknya; (3) menggunakan data pribadi yang bukan miliknya. Termasuk, ditentukan pula larangan bagi setiap orang membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain. Terhadap pelanggaran atas norma primer dimaksud, UU 27/2022 juga mengatur norma sekunder berupa ancaman pidana penjara dan/atau denda [vide Pasal 65, Pasal 66, Pasal 67, dan Pasal 68 UU 27/2022]. Termasuk, jika penyalahgunaan atau pelanggaran atas larangan yang telah ditentukan dilakukan oleh korporasi, UU 27/2022 juga telah menentukan jenis pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaraan ganti rugi [vide Pasal 69 UU 27/2022]. Artinya, terlepas dari kasus konkret yang dialami Pemohon, ketentuan yang terkait dengan pelindungan subjek data pribadi yang datanya diduga

42 disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab telah terakomodasi dalam UU 27/2022. Dengan demikian, dalil Pemohon yang mempersoalkan konstitusionalitas norma Pasal 20 ayat (2) huruf a UU 27/2022 karena tidak mencantumkan kewajiban penggunaan tanda tangan elektronik tersertifikasi sebagai persetujuan yang sah bagi pemrosesan data pribadi berisiko tinggi bertentangan dengan Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945 adalah tidak beralasan menurut hukum. [3.11] Menimbang bahwa berdasarkan seluruh uraian pertimbangan hukum tersebut di atas, menurut Mahkamah telah ternyata frasa "persetujuan yang sah" dalam norma Pasal 20 ayat (2) huruf a UU 27/2022 tidak bertentangan dengan prinsip kepastian hukum yang adil dan perlindungan diri pribadi yang ditentukan dalam Pasal 28D ayat (1) dan Pasal 28G ayat (1) UUD NRI Tahun 1945, bukan sebagaimana yang didalilkan Pemohon. Dengan demikian, dalil Pemohon adalah tidak beralasan menurut hukum untuk seluruhnya. [3.12] Menimbang bahwa berkenaan dengan hal-hal lain dan selebihnya tidak dipertimbangkan lebih lanjut karena dinilai tidak ada relevansinya. 4. KONKLUSI Berdasarkan penilaian atas fakta dan hukum sebagaimana diuraikan di atas, Mahkamah berkesimpulan: [4.1] Mahkamah berwenang mengadili permohonan a quo; [4.2] Pemohon memiliki kedudukan hukum untuk mengajukan permohonan a quo; [4.3] Permohonan Pemohon tidak beralasan menurut hukum. Berdasarkan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, Undang-Undang Nomor 24 Tahun 2003 tentang Mahkamah Konstitusi sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 7 Tahun 2020 tentang Perubahan Ketiga Atas Undang-Undang Nomor 24 Tahun 2003 tentang Mahkamah Konstitusi (Lembaran Negara Republik Indonesia Tahun 2020 Nomor

43 216, Tambahan Lembaran Negara Republik Indonesia Nomor 6554), dan Undang-Undang Nomor 48 Tahun 2009 tentang Kekuasaan Kehakiman (Lembaran Negara Republik Indonesia Tahun 2009 Nomor 157, Tambahan Lembaran Negara Republik Indonesia Nomor 5076); 5. AMAR PUTUSAN Mengadili: Menolak permohonan Pemohon untuk seluruhnya. Demikian diputus dalam Rapat Permusyawaratan Hakim oleh delapan Hakim Konstitusi yaitu Suhartoiyo selaku Ketua merangkap Anggota, Saldi Isra, Enny Nurbaningsih, Anwar Usman, Arsul Sani, Daniel Yusmic P. Foekh, M. Guntur Hamzah, dan Ridwan Mansyur, masing-masing sebagai anggota pada hari Kamis, tanggal lima, bulan Februari, tahun dua ribu dua puluh enam, yang diucapkan dalam Sidang Pleno Mahkamah Konstitusi terbuka untuk umum pada hari Senin, tanggal dua bulan Maret, tahun dua ribu dua puluh enam, selesai diucapkan pukul 10.18 WIB, oleh sembilan Hakim Konstitusi yaitu Suhartoiyo selaku Ketua merangkap Anggota, Saldi Isra, Enny Nurbaningsih, Anwar Usman, Arsul Sani, Daniel Yusmic P. Foekh, M. Guntur Hamzah, Ridwan Mansyur, dan Adies Kadir, masing-masing sebagai Anggota, dengan dibantu oleh Dian Chusnul Chatimah sebagai Panitera Pengganti, serta dihadiri oleh Pemohon dan/atau kuasanya, Dewan Perwakilan Rakyat atau yang mewakili, dan Presiden atau yang mewakili, KETUA, ttd. Suhartoyo ANGGOTA-ANGGOTA, ttd. Saldi Isra ttd. Anwar Usman ttd. Enny Nurbaningsih ttd. Arsul Sani

44 ttd. ttd. Daniel Yusmic P. Foekh M. Guntur Hamzah ttd. ttd. Ridwan Mansyur Adies Kadir PANITERA PENGGANTI, ttd. Dian Chusnul Chatimah Plt. Panitera Wiryanto - NIP 196406051988031001 Digital Signature Jln. Medan Merdeka Barat No. 6 Jakarta Pusat 10110 Telp: 021-23529000 Fax: 021-3520177 Email: office@mkri.id Keterangan: - Salinan sesuai dengan aslinya - Surat/dokumen ini tidak memerlukan tanda tangan basah karena telah ditandatangani secara elektronik (digital signature) dengan dilengkapi sertifikat elektronik.