“Bu Lita, kalau seandainya karyawan sudah tidak bekerja lagi di perusahaan kami, sampai kapan ya kami boleh hold dokumen yang ada data pribadi mereka?”
Salah satu prinsip dari pelindungan data pribadi adalah Minimalisasi Data, yaitu prinsip yang mengharuskan Pengendali Data Pribadi untuk membatasi pengumpulan dan pemrosesan Data Pribadi. Pembatasan tersebut dilakukan dengan cara:
1. Mengumpulkan data hanya yang diperlukan dan untuk tujuan yang sah,
2. Memastikan data yang dikumpulkan relevan dan tidak berlebihan
3. Tidak menyimpan data lebih lama dari yang dibutuhkan.
Dengan adanya prinsip tersebut, maka Pengendali Data Pribadi memiliki kewajiban untu membuat Kebijakan Retensi atas Data Pribadi atau dokumen perusahaan yang didalamnya tersimpan Data Pribadi, termasuk data pribadi karyawan. Kebijakan Retensi ini dapat merujuk pada:
1) Ketentuan peraturan perudanang-undangan terkait pelindungan data pribadi, pengarsipan dokumen dan peraturan lainnya yang relevan, dan
2) Kepentingan bisnis perusahaan dengan tetap memperhatikan data privasi dan data security.
Adapun dalam praktik terdapat 2 (dua) jenis Retensi Data yang dapat diterapkan oleh Pengendali Data Pribadi, yaitu:
1) Retensi Aktif
Merupakan penyimpanan data atau dokumen yang secara aktif digunakan dalam kegiatan operasional sehari-hari perusahaan.
2) Retensi Arsip
Merupakan penyimpanan data atau dokumen yang tidak relevan lagi untuk digunakan dalam operasional perusahaan, namun masih harus disimpan demi hukum dan/atau kepentingan audit perusahaan.
Adapun dalam penyusunan Kebijakan Retensi tersebut Pengendali harus memperhatikan aspek berikut:
1) Memastikan Kebijakan Retensi yang dibuat tidak melanggar ketentuan peraturan perundang-undangan yang berlaku.
2) Menerapkan kebijakan pengelolaan akses data yang ketat.
3) Menetapkan dengan jelas sistem, syarat, kondisi dan kualifikasi pembaharuan, koreksi, penghapusan dan/atau pemusnahan data pribadi.
4) Melakuan audit internal secara berkala untuk memastikan bahwa Kebijakan Retensi dijalankan.
5) Memberikan pelatihan dan peningkatan kesadaran kepada karyawan terutama yang terlibat langsung dalam pengelolaan data pribadi untuk memastikan mereka memahami Kebijakan Retensi.
| Aspek | Retensi Aktif | Retensi Arsip |
| Definisi | Penyimpanan data pribadi yang masih relevan untuk digunakan dalam kegiatan operasional bisnis perusahaan. | Penyimpanan data pribadi yang tidak digunakan lagi secara aktif untuk operasional bisnis perusahaan, namun perusahaan tetap harus menyimpan untuk tujuan kepatuhan atau pembuktian di masa mendatang. |
| Tujuan | Memastikan data pribadi tetap tersedia untuk tujuan operasional atau administratif, sehingga operasional perusahaan berjalan lancar. | (i) Kepatuhan hukum atas retensi arsip,
(ii) Kewajiban audit berdasarkan peraturan dan/atau, (iii) kepentingan pembuktian di masa mendatang. |
| Durasi Penyimpanan | Data disimpan selama masih diperlukan untuk tujuan operasional yang sah dengan memperhatikan prinsip data minimization. | Periode penyimpanan dimulai saat Retensi Aktif berakhir hingga jangka waktu yang diatur dalam peraturan perundang-undangan tertentu atau sesuai kebutuhan yang sah bagi perusahaan dengan tetap memperhatikan hak privasi Subjek Data. |
| Kepentingan | Tujuan operasional, administratif, atau pengelolaan sehari-hari data pribadi. |
Kepentingan hukum, arsip, atau pemenuhan kewajiban hukum yang mengharuskan penyimpanan data lebih lama.
|
| Contoh Implementasi | 1) Penyimpanan data pelanggan yang aktif dalam sistem untuk pengelolaan akun pengguna.
2) Penyimpanan data transaksi dalam bisnis e-commerce untuk tujuan pengelolaan pesanan. 3) Penyimpanan data kesehatan karyawan oleh Perusahaan dalam rangka memonitor vitalitas dalam menyelesaikan pekerjaan tertentu. |
1) Penyimpanan data karyawan setelah masa kerja berakhir, untuk kepentingan pensiun atau pengarsipan.
2) Penyimpanan data pajak yang sudah tidak aktif untuk kepentingan audit pajak yang mungkin dilakukan oleh otoritas pajak. 3) Penyimpanan dokumen kontrak untuk mengantisipasi adanya gugatan di masa mendatang. |
| Langkah Penyusunan Kebijakan Retensi |
1) Menilai jenis dan tujuan data yang dikumpulkan dan diproses dan dampaknya terhadap Subjek Data. Dalam hal penting untuk melakukan Privacy Threshold Analysis dan/atau Data Protection Impact Analysis. 2) Menentukan durasi penyimpanan untuk menjamin kepatuhan peraturan perundang-undangan yang berlaku dan Kepentingan operasional yang sah dari bisnis perusahaan dengan mengedepankan dasar penyimpanan yang sah dari Sujek Data. 3) Membuat prosedur pembaruan atau penghapusan data secara berkala baik dalam selama masa retensi maupun setelah berakhirnya masa retensi. 4) Menetapkan kontrol akses untuk melindungi data yang disimpan. 5) Membuat sistem penyimpanan arsip yang aman dan terstruktur, termasuk salah satunya mengimplementasikan Privacy Enhancing Technologies (PETs) untuk menjamin keamanan data. |
|
| Penafian: Dokumen ini disediakan untuk tujuan informasi umum dan tidak dimaksudkan sebagai saran hukum |
Demikian, semoga bermanfaat!
