Teknologi

Batasan Akses Data Pribadi Pegawai oleh Perusahaan

Bacaan 4 Menit
Batasan Akses Data Pribadi Pegawai oleh Perusahaan

Pertanyaan

Sejauh mana batasan mengakses data pribadi pegawai oleh perusahaan?

Intisari Jawaban

circle with chevron up
Jika tidak ada data yang terkait dengan kepentingan perusahaan, maka ranahnya tetap masuk area privacy dan perusahaan dilarang mengakses hal tersebut. Oleh karena itu, menurut ahli harus diperhatikan hal-hal sebagai berikut:
  1. Komputer atau sistem elektroniknya milik siapa?;
  2. E-mailnya milik siapa?;
  3. Apa isi e-mailnya? Isinya terkait apa?;
  4. Ada izin tidak saat akses? (ada form consent setuju/ tidak setuju di kontrak kerja?).
 
Bagaimana jika perusahaan tetap mengakses data pribadi pegawainya tanpa memperhatikan hal di atas? Penjelasan lebih lanjut dapat Anda klik ulasan di bawah ini.

Ulasan Lengkap

 
Akses Data Pribadi
Perlu diketahui bahwa definisi data pribadi dalam Pasal 1 angka 1 Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (“Permenkominfo 20/2016”) adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
 
Perlindungan data pribadi dalam sistem elektronik mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi yang dilaksakanan berdasarkan asas perlindungan data pribadi yang baik, meliputi:[1]
  1. penghormatan terhadap data pribadi sebagai privasi;
  2. data pribadi bersifat rahasia sesuai persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan;
  3. berdasarkan persetujuan;
  4. relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan;
  5. kelaikan sistem elektronik yang digunakan;
  6. iktikad baik untuk segera memberitahukan secara tertulis kepada pemilik data pribadi atas setiap kegagalan perlindungan data pribadi;
  7. ketersediaan aturan internal pengelolaan perlindungan data pribadi;
  8. tanggung jawab atas data pribadi yang berada dalam penguasaan pengguna;
  9. kemudahan akses dan koreksi terhadap data pribadi oleh pemilik data pribadi; dan
  10. keutuhan, akurasi, dan keabsahan serta kemutakhiran data pribadi.
 
Privasi sebagaimana dimaksud pada huruf a di atas merupakan kebebasan pemilik data pribadi untuk menyatakan rahasia atau tidak menyatakan rahasia data pribadinya, kecuali ditentukan lain sesuai dengan ketentuan peraturan perundang-undangan.[2]
 
Persetujuan sebagaimana dimaksud pada huruf b di atas diberikan setelah pemilik data pribadi menyatakan konfirmasi terhadap kebenaran, status kerahasiaan dan tujuan pengelolaan data pribadi.[3]
 
Keabsahan sebagaimana dimaksud pada huruf j di atas merupakan legalitas dalam perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi.[4]
 
Batasan Akses Data Pribadi Pegawai oleh Perusahaan
Sebelum perusahaan mengakses data pribadi pegawainya, tentu harus memperhatikan ketentuan dalam Pasal 30 ayat (1) dan ayat (2) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”) sebagaimana telah diubah oleh Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“ UU 19/2016”) sebagai berikut:
 
Pasal 30 UU ITE
  1. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.
  2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.
 
Menurut Teguh Arifiyadi yang merupakan Ketua Umum Indonesia Cyber Law Community (ICLC), dalam mengakses terhadap data pegawai harus meperhatikan hal-hal sebagai berikut:
  1. Komputer atau sistem elektroniknya milik siapa?;
  2. Emailnya milik siapa?;
  3. Apa isi e-mailnya? Isinya terkait apa?;
  4. Ada izin tidak saat akses? (ada form consent setuju/ tidak setuju di kontrak kerja?).
 
Jika tidak ada data yang terkait dengan kepentingan perusahaan maka ranahnya tetap masuk area privacy, dan perusahaan dilarang mengakses hal tersebut. Oleh karena itu harus diperhatikan hal-hal yang disebutkan oleh Teguh di atas. Hal itu penting sebagai batasan untuk mengakses suatu data yang dikuasai pegawai oleh suatu perusahaan. Diharapakan agar perusahaan tidak memenuhi unsur-unsur di Pasal 30 ayat (1) dan ayat (2) UU ITE di atas, karena jika memenuhi unsur tersebut sanksinya diatur di Pasal 46 ayat (1) dan ayat (2) UU ITE, yaitu:
 
Pasal 46 UU ITE
  1. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp 600 juta.
  2. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp 700 juta.
 
Demikian jawaban dari kami, semoga bermanfaat.
 
Dasar Hukum:
 
Referensi:
Pendapat Teguh Arifiyadi, S.H., M.H. CEH., CHFI, Ketua Umum Indonesia Cyber Law Community (ICLC), pada Pelatihan Hukumonline 2019 dengan judul Strategi Keamanan Siber: Penanganan, Pencegahan, dan Penanggulangan Serangan Siber, tanggal 19-20 Juni 2019.

[1] Pasal 2 ayat (1) dan (2) Permenkominfo 20/2016
[2] Pasal 2 ayat (3) Permenkominfo 20/2016
[3] Pasal 2 ayat (4) Permenkominfo 20/2016
[4] Pasal 2 ayat (5) Permenkominfo 20/2016