“Bu Lita, saat ini sudah ada belum ya Bu peraturan perundang undangan yang secara khusus mengatur implementasi pelindungan data pribadi di bidang ketenagakerjaan?”
Sampai dengan saat ini (25/02/24), belum ada peraturan perundang-undangan yang secara khusus mengatur implementasi pelindungan data pribadi untuk bidang ketenagakerjaan atau divisi Human Resources.
Oleh karena itu, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dapat menjadi rujukan peraturan untuk menyusun program dan mengimplementasikan langkah terbaik (best practices) pelindungan data pribadi bidang ketenagakerjaan secara umum dan Divisi HR secara khusus.
Best practices yang dimaksud mencakup langkah-langkah sebagai berikut:
1. Kebijakan Privasi yang Jelas
Divisi HR perlu memiliki kebijakan privasi yang jelas dan transparan terkait pengumpulan, penggunaan, penyimpanan, dan penghapusan data pribadi calon karyawan maupun karyawan. Kebijakan ini harus disosialisasikan dengan baik kepada calon peserta seleksi karyawan dan seluruh karyawan (“Subjek Data”)
2. Persetujuan Informasi
Sebelum melakukan pengumpulan dan pemrosesan data pribadi Subjek Data, Divisi HR harus mendapatkan persetujuan yang jelas dan terdokumentasi dari Subjek Data. Persetujuan ini harus diperoleh secara sukarela dan diberikan dengan pemahaman penuh tentang apa yang akan dilakukan dengan data mereka.
3. Pengamanan Data
Divisi HR wajib memastikan data pribadi Subjek Data disimpan dengan aman, baik dari sisi teknis (misalnya, enkripsi data, sistem keamanan yang kuat) maupun prosedural (misalnya, pembatasan akses hanya kepada pihak yang berwenang).
4. Pembatasan Penggunaan Data
Data pribadi Subjek Data hanya boleh digunakan untuk tujuan yang telah disetujui sebelumnya dan tidak boleh digunakan untuk tujuan lain tanpa persetujuan ulang dari Subjek Data.
5. Penyimpanan dan Penghapusan Data
Data pribadi harus disimpan hanya selama diperlukan untuk keperluan yang sah dan harus dihapus dengan aman ketika tidak lagi diperlukan atau ketika diminta oleh Subjek Data, kecuali apabila terdapat peraturan khusus dalam peraturan perundang-undangan yang lebih spesialis yang mensyaratkan sebaliknya.
6. Pelatihan dan Kesadaran
Perusahaan secara umum dan Divisi HR secara khusus harus memberikan pelatihan kepada karyawan dan pihak yang menangani data pribadi terkait cara yang benar dalam mengelola data pribadi, serta konsekuensi hukum jika terjadi pelanggaran.
7. Audit dan Pemantauan
Perusahaan dan Divisi HR perlu melakukan audit dan pemantauan untuk memastikan bahwa data pribadi dikelola sesuai dengan kebijakan dan peraturan yang berlaku.
Best practices tersebut selanjutnya dapat diturunkan dalam suatu langkah-langkah teknis untuk setiap tahapan atau pelaksanaan kerja dari Divisi HR sebagaimana dapat dilihat pada tabel terlampir.
| No. | Tahapan | Best Practices | Contoh Implementasi |
| 1 | Rekrutmen | 1. Hanya mengumpulkan data yang relevan untuk keperluan rekrutmen (Pasal 11 UU PDP) | Formulir pendaftaran hanya meminta data yang relevan untuk keperluan rekrutmen, seperti misalnya nama, alamat email, pendidikan terakhir, pengalaman kerja relevan, tanpa meminta data pribadi yang sensitif, misalnya mengenai riwayat kesehatan pelamar. |
| 2. Gunakan platform rekrutmen yang aman dan mematuhi kebijakan perlindungan data (Pasal 14 UU PDP) | Divisi HR melakukan seleksi terhadap platform yang akan digunakan untuk rekrutmen. Upayakan untuk memilih platform yang memiliki standar keamanan tinggi dan memiliki privacy policy. | ||
| 3. Memberikan pemberitahuan tentang penggunaan dan penyimpanan data pribadi (Pasal 15 UU PDP) | Masukkan informasi mengenai tujuan rekrutmen dan bagaimana data pribadi kandidat akan diproses sesuai dengan privacy policy perusahaan pada formulir rekrutmen atau pada privacy notice. | ||
| 4. Minta persetujuan eksplisit untuk pemrosesan data pribadi (Pasal 12 UU PDP) | Pastikan pelamar menandatangani persetujuan peruntukan dan pemrosesan data pada formular pendaftaran.
|
||
| 2 | Seleksi | 1. Menjaga kerahasiaan data pelamar selama proses seleksi (Pasal 16 UU PDP) | Data pelamar hanya diakses oleh tim HR atau tim rekrutmen yang berkepentingan atas jabatan yang sedang dibuka. |
| 2. Gunakan platform atau aplikasi yang aman untuk melakukan wawancara atau asesmen (Pasal 15 UU PDP) | Apabila akan melakukan wawancara secara elektronik, gunakan platform dengan enkripsi end-to-end atau platform asesmen yang memiliki fitur yang aman aman. Lebih lanjut, apabila wawancara akan direkam, maka minta persetujuan dari kandidat. | ||
| 3. Anonimkan data pelamar jika memungkinkan selama penilaian atau evaluasi awal (Pasal 13 UU PDP) | Menggunakan ID anonim (seperti kode) untuk menilai kandidat dalam tes kemampuan atau psikotes, agar data pribadi mereka tidak terungkap. | ||
|
3
|
Masa Kerja Karyawan | 1. Menjaga kerahasiaan informasi pribadi dan sensitif selama masa kerja (Pasal 16 UU PDP) | Hanya personil khusus dari HR yang memiliki akses penuh ke data pribadi karyawan. Sedangkan untuk personil perusahaan lainnya dapat diberikan akses terbatas sesuai dengan tujuan pengungkapan. |
| 2. Mematuhi regulasi perlindungan data pribadi dalam kontrak kerja (Pasal 17 UU PDP) | · Pastikan kontrak kerja mencantumkan kebijakan perlindungan data pribadi yang menjelaskan bagaimana data pribadi karyawan akan disimpan, diproses, dan dilindungi.
· Perusahaan secara aktif menginformasikan kepada karyawan apabila terdapat perubahan tata cara pemrosesan data pribadi atau perubahan platform penyimpanan dan pemrosesan. |
||
| 3. Melakukan audit secara berkala terhadap penyimpanan dan pengolahan data pribadi (Pasal 19 UU PDP) | Perusahaan melakukan audit keamanan data secara berkala untuk memastikan bahwa data karyawan terlindungi dan hanya diakses oleh pihak yang berwenang. | ||
| 4. Menjalankan program peningkatan kesadaran dan implementasi pelindungan data pribadi (Pasal 32 UU PDP)
|
Perusahaan memberikan pelatihan berkala kepada seluruh karyawan yang terlibat dalam pengolahan data pribadi mengenai pentingnya perlindungan data dan kewajiban mereka di bawah UU PDP.
Misalnya, HRD dan departemen TI diberikan pelatihan khusus tentang bagaimana menangani data pribadi secara aman, serta langkah-langkah yang harus diambil jika terjadi kebocoran data. |
||
| 4 | Peningkatan Kemampuan dan Pelatihan | 1. Menggunakan data yang anonim atau pseudonim untuk pelatihan atau asesmen apabila pelatihan dilakukan sendiri dan melibatkan grup perusahaan (Pasal 13 UU PDP) | Selama pelatihan atau ujian, karyawan diberikan ID anonim untuk melindungi privasi mereka. |
| 2. Pastikan penyedia pelatihan mematuhi kebijakan perlindungan data yang ketat (Pasal 19 UU PDP) | Memilih penyedia pelatihan yang memiliki komitmen terhadap pelindungan data pribadi atau bila memungkinkan penyedia yang memiliki sertifikasi ISO 27001 terkait keamanan data. | ||
| 3. Sosialisasikan kebijakan perlindungan data pribadi kepada karyawan yang mengikuti pelatihan (Pasal 21 UU PDP) | Sebelum pelatihan, karyawan diberikan modul pelatihan tentang pentingnya melindungi data pribadi dan cara menjaga kerahasiaan informasi saat mereka melakukan pelatihan, terlebih jika pelatihan dilakukan oleh vendor luar. | ||
| 5 | Promosi | 1. Menjaga kerahasiaan informasi pribadi karyawan yang akan dipromosikan (Pasal 16 UU PDP) | Memastikan hanya personil HR tertenu yang memiliki akses ke data pribadi karyawan yang akan dipromosikan, dan data ini tidak dibagikan ke pihak lain. |
| 2. Memastikan bahwa penilaian dan data terkait promosi disimpan dengan aman (Pasal 15 UU PDP) | Penggunaan HRMS (Human Resource Management System) yang terenkripsi untuk menyimpan penilaian promosi dan data terkait karyawan. | ||
| 3. Memberikan karyawan akses untuk mengontrol data pribadi mereka saat evaluasi promosi (Pasal 26 UU PDP) | Karyawan dapat mengakses portal HR untuk memeriksa data pribadi mereka yang digunakan dalam evaluasi promosi dan memperbarui jika diperlukan. |
Demikian, semoga bermanfaat!
