Terima kasih atas pertanyaan Anda.
Artikel di bawah ini adalah pemutakhiran dari artikel dengan judul Bolehkah Perusahaan Melacak E-mail Pekerjanya yang dibuat oleh Randy Arninto, S.H., LL.M. dan pertama kali dipublikasikan pada Kamis, 4 Oktober 2018.

Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.

Suatu perusahaan dalam menjalankan usaha adakalanya memiliki kepentingan untuk mengakses e-mail pegawai. Kepentingan tersebut pada umumnya dalam rangka melindungi pembocoran data atau rahasia perusahaan, atau rahasia dagang yang mungkin dikirimkan melalui e-mail oleh pegawai kepada pihak yang tidak berhak, bisa juga untuk kepentingan penanganan permasalahan ketenagakerjaan.

Ketentuan Mengakses E-Mail Karyawan Menurut UU ITE

Data e-mail, baik itu data mengenai e-mail yang masuk dan keluar ataupun konten lain dalam e-mail itu sendiri merupakan privasi (hak pribadi) setiap orang, termasuk pegawai di tempat Anda bekerja. Data e-mail dimungkinkan berupa tulisan, gambar, perilaku, karakter ataupun informasi pribadi lainnya mengenai pegawai.

Dalam pemanfaatan teknologi informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi mengandung pengertian sebagai berikut.[1]

1. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan.
2. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan orang lain tanpa tindakan memata-matai.
3. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.

Oleh karena itu, untuk dapat mengakses data e-mail pegawai baik yang menggunakan akun e-mail kantor dan/atau akun e-mail pribadi (misal: yahoo mail, gmail, hotmail), maka perusahaan memerlukan persetujuan dari karyawan yang bersangkutan.

Berdasarkan Pasal 26 ayat (1) UU 19/2016 ditentukan bahwa:

Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.

Mengakses E-Mail Karyawan Menurut UU PDP

Perusahaan yang mengakses e-mail atau privasi karyawan maka harus berdasarkan peraturan perundang-undangan. Pasal 5 UU PDP yang menjelaskan bahwa subjek data pribadi berhak mendapatkan informasi tentang dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta.

Jika e-mail karyawan tersebut memuat data pribadi, baik yang bersifat umum maupun bersifat spesifik sebagaimana dimuat dalam ketentuan Pasal 4 UU PDP maka ketika perusahaan mengaksesnya tunduk pada ketentuan dalam UU PDP.

Adapun, berdasarkan Pasal 20 UU PDP perusahaan selaku pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi yang meliputi:

1. persetujuan yang sah secara eksplisit dari subjek data pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi;
2. pemenuhan kewajiban perjanjian dalam hal subjek data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pribadi pada saat akan melakukan perjanjian;
3. pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan ketentuan peraturan perundang-undangan;
4. pemenuhan pelindungan kepentingan vital subjek data pribadi, pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan; dan/atau
5. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subjek data pribadi.

Perlu diketahui bahwa persetujuan pemrosesan data pribadi tersebut harus dilakukan melalui persetujuan tertulis atau terekam, baik secara elektronik ataupun nonelektronik. Apabila persetujuan tidak memenuhi ketentuan ini, maka dinyatakan batal demi hukum.[2]

Jika perusahaan dalam mengakses data pribadi atau memproses data pribadi karyawan tidak atas persetujuan yang bersangkutan ataupun dasar pemrosesan lain, maka dapat dikenai sanksi administratif yaitu peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi dan/atau denda administratif maksimal 2% dari pendapatan tahunan/penerimaan tahunan terhadap variabel pelanggaran.[3]

Selain itu, persetujuan dari karyawan tersebut dapat diatur dengan menambahkan ketentuan/kebijakan privasi di dalam perjanjian kerja yang ditandatangani antara karyawan dengan perusahaan ataupun di dalam syarat dan ketentuan penggunaan fasilitas, properti, komputer atau internet kantor.

Menurut pendapat kami, selain diperlukan persetujuan dari pegawai bersangkutan, perlu diperhatikan juga bahwa mengakses e-mail karyawan hanya dapat dilakukan sepanjang hal tersebut dilakukan pada perangkat, komputer, jaringan telekomunikasi dan sistem elektronik milik perusahaan.

Karena jika perekaman tersebut dilakukan pada komputer, jaringan atau sistem elektronik milik pihak lain misalkan pada jaringan milik penyedia jasa internet (internet service provider), maka hal tersebut termasuk illegal access, perbuatan intersepsi dan penyadapan atas informasi yang disalurkan melalui jaringan telekomunikasi sebagaimana diatur dalam UU ITE dan perubahannya serta Pasal 40 UU Telekomunikasi. 

Sanksi Pelanggaran Data Pribadi oleh Perusahaan 

Perlu diketahui bahwa mengakses e-mail karyawan tanpa persetujuan dapat digugat secara perdata.[4] Selain itu, dapat juga dikenai sanksi pidana berdasarkan UU ITE dan UU PDP.

Pasal 30 jo. Pasal 46 UU ITE melarang tindakan illegal access yang ketentuannya sebagai berikut.

1. Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara apapun dipidana dengan pidana penjara paling lama 6 tahun dan/atau denda paling banyak Rp600 juta.
2. Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apapun dengan tujuan untuk memperoleh informasi elektronik dan/atau dokumen elektronik dipidana penjara paling lama 7 tahun dan/atau denda paling banyak Rp700 juta.
3. Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan dipidana penjara paling lama 8 tahun dan/atau denda paling banyak Rp800 juta.

‘Setiap orang’ dalam ketentuan di atas tidak hanya merujuk pada orang perseorangan saja tetapi juga badan hukum.[5] Dengan demikian, perusahaan dalam bentuk badan hukum tetap dapat dijerat dengan Pasal 30 jo. 46 UU ITE sebagaimana dijelaskan di atas.

Selain itu, jika perusahaan/korporasi melakukan tindak pidana illegal access sebagaimana diatur dalam Pasal 30 UU ITE, maka dipidana dengan pidana pokok ditambah dua pertiga.[6]

Adapun, menurut UU PDP setiap orang dilarang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi. Tindakan tersebut dipidana dengan pidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp5 miliar.[7]

Dalam hal tindak pidana tersebut dilakukan oleh korporasi, maka pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi. Adapun, pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda paling banyak 10 kali dari maksimal pidana denda yang diancamkan.[8]

Selain dijatuhi pidana denda, korporasi dapat dijatuhi pidana tambahan berupa:[9]

1. perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
2. pembekuan seluruh atau sebagian usaha korporasi;
3. pelarangan permanen melakukan perbuatan tertentu;
4. penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi;
5. melaksanakan kewajiban yang telah dilalaikan;
6. pembayaran ganti kerugian;
7. pencabutan izin; dan/atau
8. pembubaran korporasi.

Baca juga: Batasan Akses Data Pribadi Pegawai oleh Perusahaan

Demikian jawaban kami, terima kasih.

Dasar Hukum:

1. Undang-Undang Nomor 36 Tahun 1999 Tentang Telekomunikasi;
2. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;
3. Undang-Undang Nomor 11 Tahun 2020 tentang Cipta Kerja;
4. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi