Senin, 25 Mei 2026 | 11:27
Dilihat : 579JAKARTA, HUMAS MKRI - Mahkamah Konstitusi (MK) menolak untuk seluruhnya Permohonan Nomor 133/PUU-XXIV/2026 mengenai pengujian materiil Pasal 62 ayat (2) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Kendati demikian, Mahkamah menegaskan kewajiban negara mengontrol perpindahan atau transfer data pribadi sebagai bagian dari data sovereignty.
“Dengan tujuan untuk melindungi hak privasi subjek data pribadi, memajukan dan menjamin hak atas perlindungan data pribadi di seluruh yurisdiksi, termasuk di luar negeri,” ujar Hakim Konstitusi Enny Nurbaningsih membacakan pertimbangan hukum Putusan MK Nomor 133/PUU-XXIV/2026 pada Senin (25/5/2026) di Ruang Sidang Pleno Gedung I MK, Jakarta.
Selain itu, upaya negara melindungi data pribadi harus dilakukan secara holistik sebagaimana ketentuan mengenai prinsip pemrosesan data pribadi, klasifikasi data pribadi dan hak subjek data pribadi beserta pengecualiannya, adanya dasar hukum untuk melakukan pemrosesan data pribadi, serta adanya ketentuan yang mengatur mengenai kewajiban data pribadi dan prosesor data pribadi. Cakupan pengaturan demikian merupakan bagian dari perlindungan dan jaminan hak konstitusional warga negara atas perlindungan data pribadi sebagaimana dijamin dalam Pasal 28G ayat (1) UUD NRI Tahun 1945 yang harus diwujudkan sesuai dengan ketentuan UU 27/2022.
Menurut Mahkamah, pokok persoalan konstitusionalitas norma Pasal 62 ayat (2) UU 27/2022 yang berkaitan dengan substansi menyatakan kerja sama internasional yang dilakukan oleh pemerintah dengan pemerintah negara lain atau organisasi internasional terkait dengan pelindungan data pribadi dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan dan prinsip hukum internasional. Pengejawantahan substansi dimaksud pada prinsipnya tidak dapat dipahami secara parsial, tetapi harus dikaitkan dengan norma lain dalam UU 27/2022.
Dengan kata lain, Pasal 62 ayat (2) UU 27/2022, harus dipahami secara utuh atau komprehensif. Dalam hal ini, norma Pasal 62 ayat (2) UU 27/2022 memiliki keterkaitan dengan norma Pasal 56 ayat (1), ayat (2), ayat (3), dan ayat (4) UU 27/2022 yang telah diputus dalam Putusan MK Nomor 137/PUU-XXIII/2025 yang diucapkan dalam sidang pleno terbuka untuk umum pada 19 Januari 2026.
Dalam putusan tersebut, Mahkamah menyatakan tidak terdapat persoalan konstitusionalitas norma Pasal 56 ayat (1), ayat (2), ayat (3), dan ayat (4) UU 27/2022. Namun demikian, untuk memahami keterkaitan antara Pasal 62 ayat (2) UU 27/2022 dan Pasal 56 ayat (1), ayat (2), ayat (3), dan ayat (4) UU 27/2022, penting bagi Mahkamah mengutip terlebih dahulu bunyi norma Pasal 56 UU 27/2022.
Pasal dimaksud selengkapnya menyatakan: (1) Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini; (2) Dalam melakukan transfer Data Pribadi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam Undang- Undang ini; (3) Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat; 4) Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) dan ayat (3) tidak terpenuhi, Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi; serta (5) Ketentuan lebih lanjut mengenai transfer Data Pribadi diatur dalam Peraturan Pemerintah.
Dengan demikian, substansi kerjasama internasional sebagaimana diatur dalam Pasal 62 ayat (2) UU 27/2022 yang menjadi satu kesatuan utuh dengan esensi Pasal 62 ayat (1) UU 27/2022 sangat berkaitan dengan ketentuan Pasal 56 UU 27/2022 yang mengatur mengenai transfer data pribadi ke luar wilayah hukum Indonesia. Dengan mencermati konstruksi norma Pasal 56 ayat (1) UU 27/2022, transfer data pribadi ke luar wilayah hukum Indonesia hanya boleh dilakukan oleh pengendali data pribadi ke pengendali data pribadi/prosesor data pribadi lainnya.
Pengendali data pribadi dimaksud adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data. Sedangkan, prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Lebih lanjut berkaitan dengan konstruksi norma Pasal 56 ayat (2) UU 27/2022 dalam kaitan dengan pemahaman terhadap Pasal 62 ayat (2) UU 27/2022 yang menjadi satu kesatuan tak terpisahkan dengan Pasal 62 ayat (1) UU 27/2022, menurut Mahkamah, aktivitas transfer data, bahkan yang melibatkan pemrosesan data pribadi yang berisiko tinggi (high-risk data processing activities), prioritas utama ditujukan untuk melindungi dan menjamin hak-hak konstitusional warga negara sebagai subjek data, sebagaimana telah ditegaskan dalam Putusan MK Nomor 151/PUU-XXII/2024 yang diucapkan dalam sidang pleno terbuka untuk umum pada 30 Juli 2025.
Selanjutnya dalam Putusan MK Nomor 137/PUU- XXIII/2025, Mahkamah tidak hanya mendasarkan pada ketentuan norma Pasal 56 ayat (2) UU 27/2022 untuk menilai adequacy negara lain sebagai penerima transfer data pribadi, tetapi juga Mahkamah mendasarkan pada norma Pasal 59 dan Pasal 60 UU 27/2022. Dalam konteks ini, transfer data pribadi tidak hanya bertumpu pada pengendali data pribadi untuk memastikan kesetaraan pelindungan di negara tujuan sebagai penerima transfer data pribadi, tetapi juga memerlukan keberadaan dan fungsi dari Lembaga Pelindungan Data Pribadi (LPDP) sebagai otoritas pengawas yang melakukan tindakan evaluasi, pengawasan dan kebijakan teknis dalam penilaian kesetaraan pelindungan.
“Dengan demikian, berkenaan dengan kewenangan final, otoritatif, dan mengikat untuk menentukan daftar negara yang dianggap setara, kewenangan memberikan panduan dan kewenangan untuk melaksanakan fungsi penegakan hukum, berada di tangan negara melalui LPDP,” kata Enny.
Baca juga:
Warga Duga Perjanjian Dagang Indonesia-Amerika Berisiko Penyalahgunaan Data Pribadi
Pemohon Tambah Alat Bukti Penyalahgunaan Data Pribadi
Sebagai informasi, permohonan ini diajukan empat mahasiswa yaitu Fairuz Najwa Sahara Tanjung, Muhammad Fakhri Hadisyah Putra, Dela Puspita Ainnur Fadillah, dan Muhammad Rizky Fadhillah. para Pemohon mengatakan permohonan ini dilayangkan usai keputusan pemerintah menandatangani perjanjian perdagangan resiprokal Indonesia dan Amerika Serikat (AS) atau Agreement Between The United States of America and The Republic of Indonesia on Reciprocal Trade. Perjanjian itu dinilai dapat meningkatkan risiko penyalahgunaan data pribadi oleh pihak asing yang tidak tunduk pada sistem hukum nasional Indonesia karena berkurangnya kontrol negara terhadap data pribadi warganya.
Mereka menguji Pasal 62 ayat (2) UU PDP yang berbunyi “Kerja sama internasional dalam rangka pelaksanaan Undang-Undang ini dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan dan prinsip hukum internasional.” Menurutnya, norma tersebut bertentangan dengan Pasal 28G ayat (1) UUD NRI 1945 yang menyatakan “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang dibawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi".(*)
Penulis: Mimi Kartika
Editor: Lulu Anjarsari P.
Humas: Andhini S.F.
Muhammad Fakhri Hadisyah dan Muhammad Rizky Fadhillah selaku pemohon saat mengikuti sidang pengucapan putusan pengujian materiil Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, Senin (25/05) di Ruang Sidang MK. Foto Humas/Ifa.
Senin, 25 Mei 2026 | 18:27 WIB
Dibaca: 579
JAKARTA, HUMAS MKRI - Mahkamah Konstitusi (MK) menolak untuk seluruhnya Permohonan Nomor 133/PUU-XXIV/2026 mengenai pengujian materiil Pasal 62 ayat (2) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Kendati demikian, Mahkamah menegaskan kewajiban negara mengontrol perpindahan atau transfer data pribadi sebagai bagian dari data sovereignty.
“Dengan tujuan untuk melindungi hak privasi subjek data pribadi, memajukan dan menjamin hak atas perlindungan data pribadi di seluruh yurisdiksi, termasuk di luar negeri,” ujar Hakim Konstitusi Enny Nurbaningsih membacakan pertimbangan hukum Putusan MK Nomor 133/PUU-XXIV/2026 pada Senin (25/5/2026) di Ruang Sidang Pleno Gedung I MK, Jakarta.
Selain itu, upaya negara melindungi data pribadi harus dilakukan secara holistik sebagaimana ketentuan mengenai prinsip pemrosesan data pribadi, klasifikasi data pribadi dan hak subjek data pribadi beserta pengecualiannya, adanya dasar hukum untuk melakukan pemrosesan data pribadi, serta adanya ketentuan yang mengatur mengenai kewajiban data pribadi dan prosesor data pribadi. Cakupan pengaturan demikian merupakan bagian dari perlindungan dan jaminan hak konstitusional warga negara atas perlindungan data pribadi sebagaimana dijamin dalam Pasal 28G ayat (1) UUD NRI Tahun 1945 yang harus diwujudkan sesuai dengan ketentuan UU 27/2022.
Menurut Mahkamah, pokok persoalan konstitusionalitas norma Pasal 62 ayat (2) UU 27/2022 yang berkaitan dengan substansi menyatakan kerja sama internasional yang dilakukan oleh pemerintah dengan pemerintah negara lain atau organisasi internasional terkait dengan pelindungan data pribadi dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan dan prinsip hukum internasional. Pengejawantahan substansi dimaksud pada prinsipnya tidak dapat dipahami secara parsial, tetapi harus dikaitkan dengan norma lain dalam UU 27/2022.
Dengan kata lain, Pasal 62 ayat (2) UU 27/2022, harus dipahami secara utuh atau komprehensif. Dalam hal ini, norma Pasal 62 ayat (2) UU 27/2022 memiliki keterkaitan dengan norma Pasal 56 ayat (1), ayat (2), ayat (3), dan ayat (4) UU 27/2022 yang telah diputus dalam Putusan MK Nomor 137/PUU-XXIII/2025 yang diucapkan dalam sidang pleno terbuka untuk umum pada 19 Januari 2026.
Dalam putusan tersebut, Mahkamah menyatakan tidak terdapat persoalan konstitusionalitas norma Pasal 56 ayat (1), ayat (2), ayat (3), dan ayat (4) UU 27/2022. Namun demikian, untuk memahami keterkaitan antara Pasal 62 ayat (2) UU 27/2022 dan Pasal 56 ayat (1), ayat (2), ayat (3), dan ayat (4) UU 27/2022, penting bagi Mahkamah mengutip terlebih dahulu bunyi norma Pasal 56 UU 27/2022.
Pasal dimaksud selengkapnya menyatakan: (1) Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini; (2) Dalam melakukan transfer Data Pribadi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam Undang- Undang ini; (3) Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat; 4) Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) dan ayat (3) tidak terpenuhi, Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi; serta (5) Ketentuan lebih lanjut mengenai transfer Data Pribadi diatur dalam Peraturan Pemerintah.
Dengan demikian, substansi kerjasama internasional sebagaimana diatur dalam Pasal 62 ayat (2) UU 27/2022 yang menjadi satu kesatuan utuh dengan esensi Pasal 62 ayat (1) UU 27/2022 sangat berkaitan dengan ketentuan Pasal 56 UU 27/2022 yang mengatur mengenai transfer data pribadi ke luar wilayah hukum Indonesia. Dengan mencermati konstruksi norma Pasal 56 ayat (1) UU 27/2022, transfer data pribadi ke luar wilayah hukum Indonesia hanya boleh dilakukan oleh pengendali data pribadi ke pengendali data pribadi/prosesor data pribadi lainnya.
Pengendali data pribadi dimaksud adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data. Sedangkan, prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Lebih lanjut berkaitan dengan konstruksi norma Pasal 56 ayat (2) UU 27/2022 dalam kaitan dengan pemahaman terhadap Pasal 62 ayat (2) UU 27/2022 yang menjadi satu kesatuan tak terpisahkan dengan Pasal 62 ayat (1) UU 27/2022, menurut Mahkamah, aktivitas transfer data, bahkan yang melibatkan pemrosesan data pribadi yang berisiko tinggi (high-risk data processing activities), prioritas utama ditujukan untuk melindungi dan menjamin hak-hak konstitusional warga negara sebagai subjek data, sebagaimana telah ditegaskan dalam Putusan MK Nomor 151/PUU-XXII/2024 yang diucapkan dalam sidang pleno terbuka untuk umum pada 30 Juli 2025.
Selanjutnya dalam Putusan MK Nomor 137/PUU- XXIII/2025, Mahkamah tidak hanya mendasarkan pada ketentuan norma Pasal 56 ayat (2) UU 27/2022 untuk menilai adequacy negara lain sebagai penerima transfer data pribadi, tetapi juga Mahkamah mendasarkan pada norma Pasal 59 dan Pasal 60 UU 27/2022. Dalam konteks ini, transfer data pribadi tidak hanya bertumpu pada pengendali data pribadi untuk memastikan kesetaraan pelindungan di negara tujuan sebagai penerima transfer data pribadi, tetapi juga memerlukan keberadaan dan fungsi dari Lembaga Pelindungan Data Pribadi (LPDP) sebagai otoritas pengawas yang melakukan tindakan evaluasi, pengawasan dan kebijakan teknis dalam penilaian kesetaraan pelindungan.
“Dengan demikian, berkenaan dengan kewenangan final, otoritatif, dan mengikat untuk menentukan daftar negara yang dianggap setara, kewenangan memberikan panduan dan kewenangan untuk melaksanakan fungsi penegakan hukum, berada di tangan negara melalui LPDP,” kata Enny.
Baca juga:
Warga Duga Perjanjian Dagang Indonesia-Amerika Berisiko Penyalahgunaan Data Pribadi
Pemohon Tambah Alat Bukti Penyalahgunaan Data Pribadi
Sebagai informasi, permohonan ini diajukan empat mahasiswa yaitu Fairuz Najwa Sahara Tanjung, Muhammad Fakhri Hadisyah Putra, Dela Puspita Ainnur Fadillah, dan Muhammad Rizky Fadhillah. para Pemohon mengatakan permohonan ini dilayangkan usai keputusan pemerintah menandatangani perjanjian perdagangan resiprokal Indonesia dan Amerika Serikat (AS) atau Agreement Between The United States of America and The Republic of Indonesia on Reciprocal Trade. Perjanjian itu dinilai dapat meningkatkan risiko penyalahgunaan data pribadi oleh pihak asing yang tidak tunduk pada sistem hukum nasional Indonesia karena berkurangnya kontrol negara terhadap data pribadi warganya.
Mereka menguji Pasal 62 ayat (2) UU PDP yang berbunyi “Kerja sama internasional dalam rangka pelaksanaan Undang-Undang ini dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan dan prinsip hukum internasional.” Menurutnya, norma tersebut bertentangan dengan Pasal 28G ayat (1) UUD NRI 1945 yang menyatakan “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang dibawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi".(*)
Penulis: Mimi Kartika
Editor: Lulu Anjarsari P.
Humas: Andhini S.F.
Putusan selengkapnya dapat dilihat pada tautan berikut: Putusan Perkara Nomor 133/PUU-XXIV/2026
Download Aplikasi MK
Media Sosial
Mahkamah Konstitusi RI
Jl. Medan Merdeka Barat No.6 Jakarta 10110.
Gedung MKFax : 021-3520177
Email: [email protected]
Call Center:
2352-9000
© Copyright 2026 Mahkamah Konstitusi. Hak Cipta Dilindungi Undang-Undang.
