Pengesahan Undang-undang Perlindungan Data Pribadi (UU PDP) pada 17 Oktober 2022 menjadi kepastian hukum bagi warga negara. UU PDP melindungi keamanan hak privasi setiap individu.
Namun, UU ini tak hanya untuk orang pribadi, tetapi berlaku juga dalam kegiatan bisnis, sehingga tim HR dan manajemen harus memahami dan mematuhinya dalam pengelolaan data karyawan. Ini bukan pilihan, melainkan kewajiban hukum yang tidak bisa ditawar, kecuali Anda atau perusahaan sudah siap dengan tuntutan hukum di masa depan.
Apa Itu Perlindungan Data Pribadi?
Sebelum kehadiran UU PDP 27/2022, terdapat UU ITE meskipun isi regulasinya kurang memadai dalam perlindungan data pribadi secara luas. Dengan UU ini, Indonesia memiliki payung hukum yang komprehensif dan khusus mengatur perlindungan data pribadi, setara dengan standar internasional seperti GDPR di Uni Eropa.
Pengaturan perlindungan ini bertujuan antara lain:
- Melindungi dan menjamin hak dasar warga negara terkait dengan perlindungan diri pribadi
- Menjamin masyarakat untuk mendapatkan pelayanan dari korporasi, badan publik, organisasi internasional, dan pemerintah
- Mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi
- Mendukung peningkatan daya saing industri dalam negeri
UU menulis bahwa dalam perlindungan data pribadi terdapat pengendali, prosesor, dan subjek data. Apa perbedaannya?
- Pengendali data pribadi: setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi
- Prosesor data pribadi: setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi
- Subjek data pribadi: orang perseorangan yang pada dirinya melekat data pribadi, orang ini merujuk orang perseorangan atau korporasi (kumpulan orang dan/atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum)
Next: 10 Contoh Implementasi Big Data di Berbagai Industri
Alasan Perusahaan Perlu Memahami UU PDP
Dalam pengaturan organisasi, tim HR bertugas mengelola data pribadi karyawan yang berisi nama, nomor identitas, alamat, nomor rekening bank, catatan kehadiran dan cuti, hingga riwayat kesehatan dan kinerja.
Keberadaan data tersebut tidak bisa dianggap enteng, karena informasi di dalamnya tak hanya tentang karyawan, melainkan juga perusahaan. Oleh karena itu, perusahaan memerlukan perlindungan data yang ketat dan harus memahami apa yang harus mereka penuhi sebagai pengendali data pribadi dan/atau prosesor data pribadi (pihak ketiga yang memproses data atas nama perusahaan). Pelanggaran terhadap kewajiban tersebut dapat berujung pada sanksi administratif hingga pidana.
Implementasi UU PDP di perusahaan bermanfaat dalam:
- Meminimalkan risiko kebocoran atau penyalahgunaan data, karena perusahaan memiliki sistem dan prosedur lebih kuat sehingga melindungi reputasi perusahaan dari skandal yang dapat merusak citra
- Meningkatkan kepercayaan karyawan, sehingga mereka merasa lebih aman dan nyaman bekerja di perusahaan yang secara serius melindungi data pribadi, maka mereka akan meningkatkan moral dan loyalitas
Next: 12 Jenis Jadwal Kerja: Definisi dan Contohnya
Prinsip Pemrosesan Data Pribadi
Berdasarkan UU PDP pasal 16 angka (1) tertulis tentang pemrosesan data pribadi, meliputi:
a. Pemerolehan dan pengumpulan
b. Pengolahan dan penganalisisan
c. penyimpanan
d. Perbaikan dan pembaruan
e. Penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan, dan/atau
f. Penghapusan atau pemusnahan
Pasal yang sama dalam angka (2), pemrosesan data sesuai prinsip PDP, yakni:
a. Pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan
b. Pemrosesan data pribadi dilakukan sesuai dengan tujuannya
c. Pemrosesan data pribadi dilakukan dengan menjamin hak subjek data pribadi
d. Pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan
e. Pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi
f. Pemrosesan data pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan serta kegagalan pelindungan data pribadi
g. Data pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan
h. Pemrosesan data pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas
Next: 7 Manfaat Slip Gaji Digital Ini Lebih Efisien
Perusahaan sebagai pengendali data pribadi tidak sembarangan meminta data pribadi kepada karyawan. Anda dan tim hanya boleh mengumpulkan data pribadi yang relevan dan terbatas pada tujuan yang jelas, spesifik, dan disetujui oleh karyawan.
Misalnya, tim HR dapat meminta soft file KTP dan KK karyawan untuk mendaftarkan mereka ke program asuransi kesehatan, tetapi Anda tidak bisa meminta data tentang afiliasi politik mereka karena hal itu tidak relevan dengan pekerjaan.
Selain itu, perusahaan juga bertanggung jawab penuh atas segala bentuk pelanggaran. Artinya, perusahaan harus mematuhi UU PDP, termasuk dalam hal dokumentasi dan pelaporan jika terjadi insiden kebocoran data.
