Pelanggaran Perlindungan Data Pribadi oleh Karyawan, ini yang Dapat Dilakukan Perusahaan

Pelanggaran Perlindungan Data Pribadi oleh Karyawan, ini yang Dapat Dilakukan Perusahaan

Pemrosesan data merupakan satu proses yang dilakukan dalam perusahaan dalam menjalankan kegiatan operasional maupun kegiatan bisnisnya. Pemrosesan terhadap data ini juga dapat meliputi data yang memenuhi kriteria sebagai Data Pribadi berdasarkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Dengan berlakunya UU PDP di Indonesia, kepatuhan untuk melakukan perlindungan terhadap Data Pribadi menjadi hal yang penting diperhatikan bagi perusahaan. Perlindungan Data Pribadi wajib dilakukan dalam tahapan pengumpulan dan pengolahan data, serta penyimpanan dan juga penampilan dan penyebarluasan data, dalam suatu proses kegiatan operasional maupun bisnis.

Pelaksanaan kegiatan operasional dan bisnis perusahaan dilakukan oleh para karyawan yang bekerja di bawah perusahaan. Kurangnya kesadaran maupun pengetahuan karyawan perusahaan terhadap kewajiban data pribadi dapat menyebabkan terjadinya pelanggaran perlindungan data pribadi oleh karyawan selama melakukan pekerjaannya di perusahaan. Apa yang dapat dilakukan perusahaan ketika terjadi pelanggaran perlindungan data pribadi oleh karyawan?

Data Pribadi yang Wajib Dilindungi Perusahaan dan Karyawan

Data Pribadi diartikan dalam UU PDP sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Data Pribadi dalam UU PDP terdiri atas dua jenis, yaitu data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum. 

Data Pribadi yang bersifat spesifik meliputi:

1. Data dan informasi kesehatan;
2. Data biometrik;
3. Data genetika;
4. Catatan kejahatan;
5. Data anak;
6. Data keuangan pribadi; dan/atau
7. Data lainnya sesuai dengan ketentuan peraturan.

Sementara itu, Data Pribadi yang bersifat umum meliputi:

1. Nama lengkap;
2. Jenis kelamin;
3. Kewarganegaraan;
4. Agama;
5. Status perkawinan; dan/atau
6. Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Tanggung Jawab Perusahaan sebagai Pengendali Data Pribadi dan Karyawan sebagai Prosesor Data Pribadi

Perusahaan menjadi Pengendali Data Pribadi yang diatur dalam UU PDP ketika perusahaan melakukan pemrosesan data pribadi, serta menentukan tujuan dan melakukan atas pemrosesan data pribadi tersebut, baik untuk internal perusahaan maupun eksternal perusahaan. Sehingga, untuk seluruh data pribadi yang diproses perusahaan, perusahaan wajib mematuhi UU PDP sebagai Pengendali Data Pribadi.

Dalam praktiknya, yang melaksanakan kewajiban perlindungan data pribadi dalam perusahaan ketika melakukan kegiatan operasional dan bisnisnya adalah karyawan-karyawan perusahaan yang berinteraksi dan terlibat dalam pemrosesan data pribadi tersebut. 

Berdasarkan UU PDP, setiap pihak yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama Pengendali Data Pribadi dianggap sebagai Prosesor Data Pribadi. Sehingga, dalam hal seorang karyawan melakukan pemrosesan data pribadi karena pekerjaan yang diberikan kepadanya untuk dikerjakan oleh perusahaan, karyawan tersebut bertindak sebagai Prosesor Data Pribadi yang dimaksud dalam UU PDP.

Pasal 51 UU PDP mengatur jelas bahwa pemrosesan data pribadi yang dilakukan oleh Prosesor Data Pribadi atas penunjukan dan perintah Pengendali Data Pribadi, masuk ke dalam tanggung jawab Pengendali Data Pribadi. Dalam hal Prosesor Data Pribadi melakukan pemrosesan data pribadi di luar perintah dan tujuan yang ditetapkan Pengendali Data Pribadi, pemrosesan tersebut menjadi tanggung jawab Prosesor Data Pribadi.

Dalam praktiknya, pengaturan UU PDP ini menjadi penting bagi perusahaan dalam menentukan dan mengatur kewajiban karyawan dan memastikan kepatuhan karyawan dalam melakukan perlindungan data pribadi. Karena, selama karyawan dapat beralasan bahwa karyawan melakukan pemrosesan data pribadi sesuai perintah dan tujuan perusahaan, pemrosesan data pribadi masih menjadi tanggung jawab perusahaan, termasuk pelanggaran perlindungan data pribadi yang dilakukan karyawan dalam pelaksanaan pemrosesan tersebut.

Sehingga, yang dapat dilakukan perusahaan adalah membuat mekanisme dan prosedur internal perusahaan yang dapat diberlakukan dalam hal karyawan melakukan pelanggaran perlindungan data pribadi.

Yang Dapat Dilakukan Perusahaan terhadap Karyawan yang melakukan Pelanggaran Perlindungan Data Pribadi

Pelanggaran yang dapat dilakukan karyawan terhadap perlindungan data pribadi antara lain adalah hal-hal yang dilarang dalam UU PDP:

1. Memperoleh atau mengumpulkan data pribadi yang bukan milik karyawan dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi;
2. Mengungkapkan data pribadi yang bukan milik karyawan;
3. Menggunakan data pribadi yang bukan milik karyawan;
4. Membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan karyawan atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.

Terhadap karyawan yang melakukan pelanggaran sebagaimana dimaksud di atas, perusahaan dapat melakukan tindak sebagai berikut:

1. Menjatuhkan Sanksi atau Tindakan Disiplin sesuai dengan Perjanjian Kerja, Peraturan Perusahaan atau Perjanjian Kerja Bersama
   Berdasarkan Undang-Undang Nomor 13 Tahun 2003 tentang Ketenagakerjaan yang diubah dengan Undang-Undang Nomor 11 Tahun 2020 tentang Cipta Kerja, syarat-syarat kerja karyawan termasuk hak dan kewajiban karyawan, diatur dalam Perjanjian Kerja yang mendasari hubungan kerja karyawan dengan perusahaan.

   Oleh karenanya, dalam hal karyawan melakukan pelanggaran semasa bekerja di perusahaan, perusahaan memiliki hak untuk menjatuhkan sanksi atau tindakan disiplin sesuai yang telah disepakati perusahaan dan karyawan dalam Perjanjian Kerja.

   Dalam praktiknya, Perjanjian Kerja biasanya merujuk kepada ketentuan yang diatur dalam Peraturan Perusahaan, atau Perjanjian Kerja Bersama (dalam hal perusahaan memiliki serikat buruh/pekerja) untuk tindakan-tindakan karyawan apa saja yang ditetapkan sebagai tindakan yang perlu dijatuhkan sanksi atau tindakan disiplin.

   Dalam hal Peraturan Perusahaan atau Perjanjian Kerja Bersama tersebut telah disahkan, perusahaan dapat merujuk kepada ketentuan yang diatur didalamnya untuk mengenakan sanksi atau tindakan disiplin kepada karyawan yang melanggar perlindungan data pribadi.

   Kesulitan bagi perusahaan timbul dalam hal perusahaan tidak mengatur mengenai kewajiban karyawan untuk melindungi data pribadi dan larangan bagi karyawan untuk melanggar perlindungan data pribadi dalam Perjanjian Kerja, Peraturan Perusahaan atau Perjanjian Kerja Bersama. Atau, apabila sudah diatur dalam Peraturan Perusahaan atau Perjanjian Kerja Bersama tapi belum disahkan atau didaftarkan berdasarkan ketentuan peraturan perundang-undangan yang berlaku mengenai ketenagakerjaan di Indonesia.

   Oleh karenanya, penting bagi perusahaan yang kegiatan operasional dan bisnisnya banyak melibatkan pemrosesan data pribadi untuk melakukan review ulang isi Perjanjian Kerja, Peraturan Perusahaan atau Perjanjian Kerja Bersama untuk memastikan bahwa kewajiban karyawan untuk melindungi data pribadi telah diatur di dalamnya.

   Apalagi untuk perusahaan yang belum mengesahkan Peraturan Perusahaan atau mendaftarkan Perjanjian Kerja Bersama, sangat penting untuk segera membuat dan mengurus pengesahan dan pendaftaran tersebut agar dokumen berlaku efektif di mata hukum Indonesia dan karyawan dapat dikenakan sanksi atau tindakan disiplin.

2. Mengajukan Gugatan kepada Karyawan dalam hal Timbul Kerugian terhadap Perusahaan
   Dalam hal perusahaan mengalami kerugian yang timbul akibat karyawan melanggar perlindungan data pribadi, perusahaan dapat mengajukan gugatan perdata kepada karyawan untuk menuntut ganti kerugian perusahaan yang diakibatkan pelanggaran perlindungan data pribadi oleh karyawan semasa bekerja di perusahaan.

   Tentunya, pengajuan gugatan perdata wajib mengikuti ketentuan dan prosedur peraturan perundang-undangan yang berlaku di Indonesia, sehingga perusahaan wajib mengumpulkan bukti dan dokumentasi yang dapat mendukung gugatannya terhadap karyawan dan meyakinkan hakim, serta melalui proses di pengadilan sesuai dengan wilayah hukum yang berlaku terhadap perusahaan dan karyawan. Sehingga, sebelum mengajukan gugatan, perusahaan disarankan untuk mempertimbangkan bukti yang dimilikinya serta kerugian yang dimaksud untuk diminta ganti kerugiannya.

   Akan lebih baik jika antara perusahaan dan karyawan telah menandatangani non-disclosure agreement (NDA) atau dikenal sebagai perjanjian kerahasiaan. Dalam hal karyawan melanggar perlindungan data pribadi, perusahaan dapat merujuk kepada NDA untuk meminta pertanggung jawaban atau menggugat karyawan atas kerugian yang timbul dari pelanggaran NDA tersebut dengan dilanggarnya perlindungan data pribadi.

3. Melaporkan Karyawan ke Polisi
   UU PDP juga mengatur hukuman pidana yang dapat dijatuhkan kepada orang-orang yang melanggar ketentuan perlindungan data pribadi, termasuk karyawan. Namun, sebelum melakukan pelaporan, perusahaan disarankan untuk terlebih dahulu melakukan upaya-upaya lain, seperti yang telah dijelaskan  di atas. Hal ini karena dalam hukum pidana terdapat asas ultimum remedium, yang artinya adalah apabila suatu perkara dapat diselesaikan melalui jalur lain (kekeluargaan, negosiasi, mediasi, perdata, atau hukum administrasi) hendaklah jalur lain tersebut terlebih dahulu dilakukan.

   Selain itu, perusahaan juga perlu berhati-hati dalam melaporkan karyawan ke polisi, karena dalam UU PDP juga diatur mengenai hukuman pidana terhadap korporasi. Oleh karenanya, perusahaan perlu diperiksa secara internal terlebih dahulu untuk memastikan bahwa perusahaan tidak melanggar perlindungan data pribadi yang menimbulkan risiko perusahaan dikenakan hukuman pidana korporasi yang diatur dalam UU PDP.

Dengan adanya UU PDP, perusahaan perlu melakukan pertimbangan lebih dalam melakukan perlindungan data pribadi yang diproses oleh karyawan perusahaan. Sebagai Pengendali Data Pribadi, perusahaan memiliki tanggung jawab terhadap pemrosesan data pribadi yang dilakukan atas perintahnya, termasuk yang dilakukan oleh karyawan perusahaan.

Jika Anda membutuhkan konsultasi mengenai ketenagakerjaan dan perlindungan data pribadi di Indonesia, Anda dapat menghubungi BPLawyers melalui ask@bplawyers.co.id atau 082112341235.