Batasan Akses Data Pribadi Pegawai oleh Perusahaan

Artikel di bawah ini adalah pemutakhiran dari artikel dengan judul sama yang dibuat oleh Dimas Hutomo, S.H. dan pertama kali dipublikasikan pada Kamis, 20 Juni 2019.

Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.

Batasan Akses Data Pribadi Pegawai oleh Perusahaan

Saat ini Indonesia telah memiliki peraturan perundang-undangan khusus yang mengatur tentang pelindungan data pribadi. Adapun dalam Pasal 1 angka 1 UU PDP disebutkan pengertian data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Jika hendak melakukan pemrosesan data pribadi yang mencakup pemerolehan dan pengumpulan, pengolahan dan penganalisisan, penyimpanan, perbaikan dan pembaruan, penampilan, pengumuman, transfer, penyebarluasan, pengungkapan, dan/atau penghapusan atau pemusnahan yang pada dasarnya harus dilakukan sesuai dengan prinsip pelindungan data pribadi dan ada dasar pemrosesan data pribadi.[1] 

Dasar pemrosesan data pribadi meliputi:[2]

1. persetujuan yang sah secara eksplisit dari subjek data pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi;
2. pemenuhan kewajiban perjanjian dalam hal subjek data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pribadi pada saat akan melakukan perjanjian;
3. pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan ketentuan peraturan perundang-undangan;
4. pemenuhan pelindungan kepentingan vital subjek data pribadi;
5. pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan; dan/atau
6. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subjek data pribadi.

Menurut Teguh Arifiyadi yang merupakan Ketua Umum Indonesia Cyber Law Community (ICLC), dalam mengakses terhadap data karyawan harus memperhatikan hal-hal sebagai berikut.

1. Komputer atau sistem elektroniknya milik siapa?
2. E-mail milik siapa?
3. E-mail isinya terkait apa?
4. Adakah izin untuk mengakses? Misalnya form consent yang memuat setuju/tidak setuju di perjanjian kerja.

Adapun jenis data pribadi dalam Pasal 4 UU PDP terdiri dari data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum. Data pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya. Sedangkan data pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Sehingga jika tidak ada data yang terkait dengan kepentingan perusahaan, maka ranahnya tetap masuk area privacy, dan perusahaan dilarang mengakses data pribadi milik karyawan tersebut. Oleh karena itu, harus diperhatikan hal-hal yang disebutkan oleh Teguh di atas sebagai batasan untuk mengakses suatu data yang dikuasai pegawai oleh suatu perusahaan.

Sanksi Pidana Mengakses Data Pribadi Tanpa Hak

Terkait jerat pidana mengakses tanpa hak dapat dilihat dalam Pasal 30 ayat (1) dan (2) jo. Pasal 46 UU ITE yang berbunyi sebagai berikut.

1. Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara apa pun dipidana penjara paling lama 6 tahun dan/atau denda paling banyak Rp600 juta.
2. Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apa pun dengan tujuan untuk memperoleh informasi elektronik dan/atau dokumen elektronik dipidana penjara paling lama 7 tahun dan/atau denda paling banyak Rp700 juta.

Selain itu, jika perusahaan melakukannya tanpa ada dasar pemrosesan data pribadi, perusahaan bisa dijerat sanksi dalam Pasal 67 ayat (1) UU PDP yaitu bahwa setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi dipidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp5 miliar.

Selain dijatuhi pidana, pelaku juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.[3]

Namun dalam hal tindak pidana dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi itu sendiri. Patut dicatat, pidana yang dapat dijatuhkan terhadap korporasi hanyalah pidana denda paling banyak 10 kali dari maksimal pidana denda yang diancamkan.[4]

Selain dijatuhi pidana denda, korporasi dapat dijatuhi pidana tambahan berupa:[5]

1. perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
2. pembekuan seluruh atau sebagian usaha korporasi;
3. pelarangan permanen melakukan perbuatan tertentu;
4. penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi;
5. melaksanakan kewajiban yang telah dilalaikan;
6. pembayaran ganti kerugian;
7. pencabutan izin; dan/atau
8. pembubaran korporasi.

Dengan demikian, harus diperhatikan kembali apakah perusahaan memiliki dasar pemrosesan data pribadi serta apakah data tersebut ada kaitannya dengan kepentingan perusahaan atau tidak.

Demikian jawaban dari kami, semoga bermanfaat.

Dasar Hukum:

1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;
2. Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi.

Referensi:

Pendapat Teguh Arifiyadi, S.H., M.H. CEH., CHFI, Ketua Umum Indonesia Cyber Law Community (ICLC), yang disampaikan pada Pelatihan Hukumonline 2019 dengan judul Strategi Keamanan Siber: Penanganan, Pencegahan, dan Penanggulangan Serangan Siber, pada tanggal 19-20 Juni 2019.