Jakarta — Mahkamah Konstitusi (MK) melanjutkan sidang pengujian materiil terhadap Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dengan agenda mendengarkan keterangan ahli yang diajukan oleh Pemohon dalam perkara Nomor 137/PUU-XXIII/2025. Dalam sidang yang digelar pada Rabu (23/10/2025), Pemohon menghadirkan Indra Rahmatullah, Dosen Fakultas Syariah dan Hukum Universitas Islam Negeri (UIN) Syarif Hidayatullah Jakarta, sebagai ahli.
Indra menjelaskan bahwa Pasal 56 UU PDP merupakan pasal yang krusial karena menyangkut kedaulatan negara di era digital. Menurutnya, ketentuan mengenai transfer data pribadi ke luar negeri menjadi tantangan besar bagi setiap negara, mengingat praktik tersebut tidak dapat dipisahkan dari arus globalisasi dan sistem ekonomi digital yang saling terhubung lintas batas negara.
“Transfer data pribadi sudah menjadi bagian dari aktivitas ekonomi dan sosial sehari-hari di era digital. Namun, di sisi lain, teknologi dapat digunakan oleh perusahaan-perusahaan besar untuk mengontrol pasar, bahkan membentuk kekuasaan baru atas data masyarakat,” ujar Indra mengutip pemikiran filsuf Jürgen Habermas.
Ia menambahkan, kondisi tersebut memunculkan bentuk baru imperialisme digital, yakni ketika data masyarakat dunia justru dikuasai oleh segelintir platform besar yang berpusat di negara maju. “Terjadi kolonialisme baru, di mana data menjadi alat dominasi,” ujarnya di hadapan majelis hakim MK.
Kedaulatan Digital dan Ketiadaan Aturan Teknis
Menurut Indra, Pasal 56 UU PDP sejatinya bertujuan memperkuat kedaulatan digital Indonesia, namun dalam implementasinya masih menyisakan banyak kekosongan norma. Ia menyoroti bahwa hingga kini belum ada Peraturan Pemerintah (PP) maupun aturan pelaksana yang memberikan penjelasan konkret mengenai makna frasa “setara” dan “memadai” sebagaimana tercantum dalam pasal tersebut.
“Pasal 56 belum memberikan perlindungan yang memadai bagi subjek data pribadi yang datanya ditransfer ke luar negeri, karena kata-kata setara dan memadai itu multitafsir dan belum memiliki rujukan yang jelas,” terang Indra.
Sebagai perbandingan, ia menyebut sejumlah negara yang telah lebih dahulu membangun kerangka hukum perlindungan data lintas batas. Malaysia, misalnya, mensyaratkan adanya impact assessment dan izin dari pejabat perlindungan data pribadi sebelum data dikirim ke luar negeri. Sementara Filipina melarang transfer terhadap data pribadi yang tergolong sensitif, seperti data kesehatan dan keuangan.
“Setiap negara memiliki pendekatan berbeda tergantung politik hukum dan kepentingannya. Ada yang longgar, ada yang ketat. Namun yang ideal adalah negara memiliki mekanisme evaluasi kesetaraan atau adequacy assessment sebelum data ditransfer,” jelasnya.
Perlunya Dasar Hukum Internasional
Indra juga menilai bahwa pengaturan transfer data pribadi ke luar negeri harus berlandaskan perjanjian internasional agar memberikan kepastian hukum. Ia mencontohkan General Data Protection Regulation (GDPR) di Uni Eropa yang menerapkan beberapa mekanisme seperti adequacy decisions, appropriate safeguards, dan derogations for specific situations untuk memastikan perlindungan data tetap setara antarnegara.
“Pasal 56 sebaiknya diperkuat dengan menambahkan penilaian kesetaraan dalam kerangka perjanjian internasional. Misalnya dengan memasukkan adequacy decision sebagai bentuk resiprokal antarnegara, sehingga posisi Indonesia setara dengan negara tujuan transfer data,” papar Indra.
Dengan mekanisme tersebut, lanjutnya, subjek data pribadi tetap memiliki kontrol atas datanya, meski data tersebut berpindah lintas negara. Prinsip resiprokal (saling timbal balik) dan interoperabilitas data menjadi penting agar kedua negara sama-sama terikat secara hukum. “Prinsip pacta sunt servanda atau perjanjian yang sah mengikat para pihak dapat memastikan transfer data dilakukan berdasarkan landasan hukum yang kuat,” tambahnya.
Indra menegaskan bahwa transfer data pribadi berdasarkan perjanjian internasional telah memenuhi unsur lawfulness (sah menurut hukum), fairness (keadilan), dan transparency (transparansi). Melalui mekanisme ini, subjek data tetap mengetahui dan dapat mengontrol bagaimana datanya digunakan di luar negeri. “Kalau kita punya perjanjian internasional, kepastian hukumnya akan jauh lebih kuat daripada sekadar menilai kesetaraan,” tegasnya.
Pandangan Hakim Konstitusi
Menanggapi keterangan ahli, Hakim Konstitusi Arsul Sani menyatakan bahwa pokok permohonan perkara No.137/PUU-XXIII/2025 pada intinya berkaitan dengan pentingnya persetujuan dari subjek data pribadi dalam proses transfer data ke luar negeri. Arsul menyoroti bahwa permasalahan tidak hanya muncul pada lembaga pemerintah, tetapi juga pada sektor swasta, khususnya lembaga keuangan dan penyedia layanan yang memproses data lintas negara.
Ia mencontohkan praktik dalam pengajuan kartu kredit. “Bisa jadi operator kartu kredit berada di luar negeri, sementara pengisian formulir dilakukan di Indonesia. Dalam formulir itu biasanya terdapat klausula persetujuan pemrosesan data pribadi,” ujarnya.
Arsul kemudian meminta pandangan ahli mengenai apakah dalam situasi seperti itu masih diperlukan perjanjian khusus antara negara atau cukup dengan persetujuan individu dalam formulir. “Apakah perlu ada persetujuan khusus lagi, atau lembaga keuangan itu cukup mentransfer data pribadi berdasarkan persetujuan nasabah, terlebih untuk bank multinasional?” tanya Arsul menutup sesi tanya jawab.
