JAKARTA, KOMPAS — Para praktisi hukum dan mahasiswa menguji konstitusionalitas Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi atau UU PDP ke Mahkamah Konstitusi, khususnya terkait norma pembentukan lembaga perlindungan data pribadi dan peraturan pelaksananya. Tidak adanya batas waktu yang jelas bagi pemerintah untuk melaksanakan norma tersebut telah menciptakan kekosongan dan ketidakpastian hukum.
Kondisi ini membuat warga negara tidak mendapat kepastian hukum dalam perlindungan data pribadi. Sebab, warga tidak mengetahui mekanisme pengaduan dan pengawasan yang jelas bila terjadi kebocoran data, senantiasa menghadapi risiko kebocoran dan penyalahgunaan data pribadi, serta dilanda rasa ketidakamanan dalam menggunakan layanan digital.
Hal ini terungkap dalam berkas uji materi yang diajukan oleh Pardamean Sihombing, Eprina Manurung, Christian Adrianus Sihite, dan Matthew Febrian Otniel Lambok Hutasoit yang diregister Mahkamah Konstitusi (MK) dengan nomor 236/PUU-XXIV/2026 pada Jumat (19/6/2026).
Seperti dikutip Minggu (21/6/2026), mereka mempersoalkan dua pasal di dalam UU PDP, yakni Pasal 58 ayat (5) yang mengamanatkan pembentukan lembaga perlindungan data pribadi melalui peraturan presiden dan Pasal 61 yang mengatur tentang tata cara pelaksana wewenang lembaga tersebut melalui peraturan pemerintah.
Faktanya, hingga saat ini, amanat kedua pasal tersebut belum dilaksanakan. Belum ada peraturan pemerintah dan peraturan presiden terkait dengan keberadaan lembaga perlindungan data pribadi dan tugas beserta kewenangannya.
Para pemohon menilai, ada kekosongan hukum (rechtsvacuum) dalam pelaksanaan UU PDP yang berakibat ketidakpastian hukum yang diraskan warga Indonesia, khususnya dalam pengamanan data pribadinya. Ketiadaan batas waktu kapan lembaga tersebut harus dibentuk menjadikan ketentuan Pasal 58 ayat (5) dan Pasal 61 UU PDP menjadi norma yang bersifat open ended (terbuka tanpa batas waktu) yang jelas.
“Hal ini mengakibatkan norma tersebut kehilangan makna normatif dan tidak dapat berfungsi sebagai pedoman yang pasti bagi penyelenggara negara maupun masyarakat,” demikian kata pemohon seperti dikutip dari berkas permohonan.
Kondisi ini juga menunjukkan adanya pengabaian terhadap prinsip due diligence negara dalam melindungi hak konstitusional warga negara. Masyarakat menjadi tidak mengetahui secara pasti langkah-langkah hukum yang harus diambil ketika terjadi pelanggaran data pribadi. Masyarakat pun tidak memiliki akses terhadap mekanisme perlindungan yang efektif serta penegakan hukum menjadi tidak terarah.
“Norma a quo tidak hanya menimbulkan kekosongan hukum, tetapi juga juga beprotensi membuka ruang bagi terjadinya pelanggaran hak konstitusional seara terus-menerus tanpa adanya perlindungan yang memadai dari negara,” tegas pemohon.
Ketiadaan lembaga pengawas dan peraturan pelaksana menjadikan UU PDP sebagai 'hukum simbolik' yang tidak memiliki daya laku operasional secara nyata di masyarakat. Para pemohon berargumen bahwa penundaan pembentukan lembaga ini merupakan bentuk pengabaian kewajiban konstitusional negara dalam melindungi data pribadi warganya.
Dalam dalilnya, pemohon melampirkan daftar panjang kegagalan sistemik perlindungan data di Indonesia. Beberapa kasus besar turut disebutkan, mulai dari dugaan kebocoran data Tokopedia kurang lebih 91 juta akun (email, nama, nomor telepon, dan password), BPJS Kesehatan kurang lebih 279 juta data (Nomor Induk Kependudukan, Kartu Keluarga, Alamat, gaji) , hingga data pemilih di KPU yang berisikan sekitar 204 juta data (NIK, KK, data pemilih).
Pemohon juga menyebutkan kebocoran data registrasi SIMcard, kebocoran eHAC Kementerian Kesehatan, BRI Life, data PLN, data MyPertamina, dan masih banyak contoh kasus lainnya.
Kasus-kasus tersebut menunjukkan, pelanggaran data pribadi di Indonesia terjadi secara sistematis, berulang, dan meluas baik yang melibatkan sektor strategis negara maupun privat. Kondisi ini, oleh para pemohon, dinilai menunjukkan kegagalan sistemik dalam perlindungan data pribadi, dan diperparah dengan belum terbentuknya lembaga perlindungan data pribadi.
Menurut para pemohon, selama lembaga independen belum terbentuk, fungsi pengawasan masih dijalankan oleh Kementerian Komunikasi dan Digital yang secara kelembagaan dinilai memiliki potensi konflik kepentingan karena pemerintah juga bertindak sebagai pengendali data publik. Urgensi ini kian mendesak seiring integrasi sistem digital seperti layanan QRIS antarnegara (Indonesia-China) yang melibatkan pertukaran data lintas yurisdiksi.
“Kolaborasi internasional di bidang digital yang dilakukan tanpa kesiapan rezim perlindungan data pribadi justru menempatkan warga negara dalam posisi yang amat rentan. Negara seolah membuka ‘gerbang’ pertukaran data global, namun tidak menyediakan ‘penjaga’ yang memastikan keamanan dan perlindungannya,” tegas pemohon.
Untuk itu, para pemohon meminta MK menyatakan dua pasal dtersebut bertentangan dengan UUD 1945 secara bersyarat (conditionally unconstitutional) sepanjang tidak dimaknai paling lama dua tahun pemerintah harus membentuk lembaga pelindungan data pribadi serta menerbitkan Peraturan Pemerintah dan Peraturan Presiden yang diamanatkan.
Langkah hukum ini diambil sebagai upaya untuk memaksa negara hadir secara faktual dalam memberikan jaminan keamanan data, sehingga undang-undang tidak lagi hanya menjadi janji hukum di atas kertas tanpa efektivitas di lapangan. Saat ini, MK belum menjadwalkan persidangan perdana untuk permohonan uji materi UU PDP ini.
