Menjamin Keamanan Data Pekerja di Perusahaan

Penulis : Ahmad Fathanah Haris

Akhir tahun 2022, Pemerintah mengesahkan UU No. 27 Tahun 2022 Tentang Perlindungan Data Pribadi. Dalam beleid ini mencantumkan catatan pemberlakuan yakni wajib menyesuaikan dengan undang-undang lain paling lama dua tahun sejak disahkan.

Sehingga setiap pengendali data, prosesor data atau pihak lainnya wajib menyesuaikan ketentuan tersebut dalam pengimplementasian, baik berhubungan dengan bisnis atau sepanjang menyangkut kepada subjek data.

Enam tahun sebelum disahkan UU No 27/2022, tepatnya di tahun 2016 Kementerian Komunikasi dan Informatika menerbitkan Peraturan Menteri Komunikasi dan Informatika No 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

Di mana peraturan ini mewajibkan Penyelenggara Sistem Jaringan (PSE) menjaga data si pemilik data,  sehingga limitasi yang terdapat dapat Perkominfo No. 20/2016 mencakup sistem elektronik berbasiskan Penyelenggara Sistem Jaringan (PSE) sedangkan UU No 27/2022 cakupannya lebih luas.

Sejak diterbitkan Perkominfo No. 20/2016, telah banyak kasus pelanggaran data pribadi bermunculan misalnya kasus kebocoran data BPJS Kesehatan (Mei 2021), Data eHAC (Agustus 2021), Data Sim Card (September 2022), dan Data Kepesertaan BPJS Ketenagakerjaan (Maret 2023).

Belajar dari kasus-kasus tersebut menimbulkan pertanyaan, siapa yang bertanggung jawab atas kebocoran data tersebut?. Adanya UU Nomor 27/2022, setidaknya menjawab atas permasalahan tersebut namun yang menjadi tantangan kedepannya, bagaimana transparansi terkait perlindungan data yang dikelola oleh pengendali data atau Prosesor data pribadi yang dihubungkan dengan UU No. 13/2003 Tentang Ketenagakerjaan di Pasal 54 terkait perjanjian kerja yang memuat identitas Pekerja meliputi nama, jenis kelamin, umur, alamat pekerja/buruh, jabatan atau jenis pekerjaan, tempat pekerjaan, besarnya upah dan cara pembayarannya, di mana ke semua aspek tersebut merupakan identitas pekerja atau data pribadi pekerja. Untuk mengkategorikan data pribadi itu apa, maka hal tersebut merujuk pada pasal 1 angka 1 UU No 27/2022 berbunyi data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Pada undang-undang perlindungan data pribadi terdapat tiga subjek yang berperan untuk melindungi data pribadi yaitu subjek data pribadi, pengendali data dan prosesor data pribadi, jika dihubungkan dengan aspek ketenagakerjaan maka Subjek data pribadi dipersamakan dengan Pekerja/buruh, Pengendali data pribadi dipersamakan dengan pemberi kerja/perusahaan sedangkan prosesor data pribadi dipersamakan dengan perusahaan outsourcing. Maka Ketika terjadi kebocoran data dalam aspek ketenagakerjaan, maka siapakah yang dapat diminta pertanggungjawaban, terhadap hal tersebut pemberi kerja wajib memberikan jaminan hukum terhadap pekerja atau subjek data pribadi.

Pada ketentuan Pasal 54 di atas, hal yang telah disepakati tertuang dalam perjanjian kerja namun sejak diberlakukannya undang-undang perlindungan data pribadi maka aspek tersebut wajib dijalankan agar pihak pemberi kerja tidak dianggap sebagai suatu pelanggaran hukum jika mengumpulkan data pribadi. Maka setiap pemberi kerja baik itu secara langsung atau pun bersifat outsourcing maka wajib menerapkan hal tersebut.

Adapun bentuk penerapannya dilakukan dengan mekanisme persetujuan tertulis baik secara elektronik ataupun nonelektronik, di mana persetujuan tersebut wajib memuat diantaranya maksud dan tujuan pemrosesan data pribadi, dapat dipahami oleh subjek data dan menggunakan Bahasa yang sederhana. Maka dari itu setiap pemberi kerja wajib menjelaskan kepada pekerja/buruh agar tidak dianggap sebagai pelanggaran.

Pada penerapan tersebut mungkin masih agak tabuh terkait implementasinya, namun jika mencermati ketentuan aspek ketenagakerjaan dan aspek perlindungan data pribadi maka ruang lingkupnya hanya terkait data-data pekerja/buruh. Setidaknya pemberi kerja dalam penerapannya bukan hanya menyepakati soal perjanjian kerja melainkan menyepakati secara tertulis maksud dan tujuan pemrosesan data pribadi pekerja/buruh. Memang secara rumusan belum ada suatu kesepakatan dari Lembaga terkait bagaimana bentuknya, namun jika dicermati maka tiap pemberi kerja wajib menjalankan ketentuan tersebut dan wajib menyesuaikan dengan regulasi yang ada saat ini.

Maka yang terbayang dalam kedua regulasi ini dalam implementasinya, pemberi kerja wajib menyepakati perjanjian kerja serta adanya persetujuan tertulis untuk melakukan pemrosesan data agar disepakati oleh kedua belah pihak, di mana kedua hal tersebut harus secara eksplisit dibedakan agar tidak mencampuradukkan kedua ketentuan tersebut jika dikemudian hari terjadi sengketa.

Tak lupa pula aspek yang terpenting dalam perjanjian kerja adalah waktu berakhirnya hubungan kerja karena hal tersebut beririsan dengan hak retensi atau yang kita sebut adalah batas waktu dipergunakannya data pribadi. Maka di dalam implementasinya setidaknya dapat menyesuaikan dengan masa berlakunya perjanjian kerja agar tidak ada penyalahgunaan data pribadi.

Masa retensi dalam Undang-undang Perlindungan data pribadi secara eksplisit tidak ditegaskan berapa lama jangka waktunya sehingga kekosongan tersebut dapat disesuaikan dengan perjanjian kerja sehingga berakhirnya kontrak pekerja maka berakhir pula masa retensi agar memberi jaminan hukum ke para pihak dalam penyelenggaraan data pribadi.