Undang-Undang Pemantauan Online dan Pertimbangan Kepatuhan Privasi
Terakhir diperbarui: Mei 2026
Perangkat lunak pemantauan online dapat membantu organisasi melindungi sumber daya perusahaan, meningkatkan produktivitas, dan memahami bagaimana pekerjaan digital dilakukan. Namun, pemantauan karyawan, perangkat, aktivitas online, atau komunikasi dapat melibatkan data pribadi dan aturan privasi tempat kerja.
Halaman ini memberikan gambaran umum tentang pertimbangan privasi dan kepatuhan terkait penggunaan perangkat lunak pemantauan yang sah. Halaman ini menyoroti tema umum yang ditemukan dalam kerangka privasi dan pemantauan tempat kerja utama, seperti transparansi, tujuan yang sah, minimalisasi data, keamanan, penyimpanan, dan pemberitahuan kepada pengguna.
Persyaratan spesifik dapat bervariasi tergantung pada negara, negara bagian, industri, kepemilikan perangkat, jenis data yang dikumpulkan, dan bagaimana pemantauan dikonfigurasi.
Penafian: Halaman ini disediakan hanya untuk tujuan informasi umum dan bukan merupakan nasihat hukum. Undang-undang privasi, pemantauan tempat kerja, ketenagakerjaan, dan komunikasi elektronik berbeda-beda menurut yurisdiksi dan dapat bergantung pada kasus penggunaan tertentu, kepemilikan perangkat, industri, pemberitahuan kepada karyawan, persyaratan persetujuan, dan jenis data yang dikumpulkan.
Spyrix tidak menentukan apakah pengaturan pemantauan tertentu sah untuk organisasi Anda. Sebelum menggunakan perangkat lunak pemantauan, Anda harus meninjau hukum yang berlaku dan kebijakan internal, memberi tahu pengguna jika diwajibkan, membatasi pemantauan pada tujuan yang diperlukan dan sah, serta berkonsultasi dengan penasihat hukum yang berkualifikasi jika sesuai.
Kerangka Privasi Global dan Regional
GDPR (Peraturan Perlindungan Data Umum - Uni Eropa)
GDPR adalah peraturan perlindungan data inti Uni Eropa. Peraturan ini dapat berlaku untuk organisasi di dalam atau di luar UE ketika mereka memproses data pribadi dengan cara yang termasuk dalam cakupan teritorial GDPR, termasuk kasus tertentu yang melibatkan individu di UE. Pemantauan aktivitas online, pemantauan karyawan, dan bentuk pelacakan digital lainnya dapat termasuk dalam cakupannya ketika melibatkan data pribadi.
Berdasarkan GDPR, aktivitas pemantauan umumnya memerlukan dasar hukum yang valid dan harus diperlukan, proporsional, serta transparan. Tergantung pada konteksnya, organisasi dapat mengandalkan dasar hukum seperti kepentingan yang sah, kebutuhan kontraktual, kewajiban hukum, atau persetujuan. Dalam konteks ketenagakerjaan, persetujuan mungkin tidak selalu sesuai karena hubungan antara pemberi kerja dan karyawan.
Ketika mengandalkan kepentingan yang sah, organisasi harus menilai dan mendokumentasikan apakah tujuan pemantauan tersebut sah, diperlukan, dan seimbang terhadap hak dan kebebasan individu yang bersangkutan. Ketika pemantauan kemungkinan mengakibatkan risiko tinggi terhadap hak dan kebebasan individu, Penilaian Dampak Perlindungan Data (DPIA) mungkin diperlukan.
Transparansi sangat penting. Individu umumnya harus diberi tahu sebelumnya tentang jenis pemantauan, tujuannya, kategori data yang dikumpulkan, dasar hukumnya, siapa yang dapat mengakses data, dan berapa lama data akan disimpan. Pemantauan tersembunyi atau tidak diungkapkan sangat sensitif, dapat melanggar hukum dalam banyak kasus, dan harus dinilai secara terpisah berdasarkan hukum setempat yang berlaku.
GDPR juga menekankan minimalisasi data, yang mengharuskan organisasi hanya mengumpulkan data pribadi yang diperlukan untuk tujuan yang telah ditentukan. Pemantauan yang terus-menerus atau terlalu mengganggu tanpa pembenaran yang jelas dapat bertentangan dengan prinsip-prinsip GDPR.
Untuk alat pemantauan online, pertimbangan GDPR yang paling relevan biasanya mencakup:
Memberikan pemberitahuan yang jelas tentang pemantauan jika diwajibkan
Mengumpulkan hanya data yang diperlukan dan relevan
Menggunakan langkah-langkah keamanan teknis dan organisasi yang sesuai
Mengidentifikasi dan mendokumentasikan dasar hukum untuk pemrosesan
Menilai kepentingan yang sah atau pemrosesan berisiko lebih tinggi jika berlaku
Memungkinkan individu untuk menggunakan hak privasi yang berlaku, seperti akses, penghapusan, keberatan, atau pembatasan
Sumber resmi:
Regulasi (UE) 2016/679 - Peraturan Perlindungan Data Umum Teks resmi GDPR yang dipublikasikan di EUR-Lex.
Pedoman EDPB 3/2018 tentang cakupan teritorial GDPR Menjelaskan kapan GDPR dapat berlaku untuk organisasi di dalam dan di luar UE.
Pedoman EDPB 05/2020 tentang persetujuan berdasarkan Regulasi 2016/679 Memberikan panduan tentang persetujuan yang sah berdasarkan GDPR.
Komisi Eropa - Kapan Penilaian Dampak Perlindungan Data diperlukan? Menjelaskan kapan DPIA mungkin diperlukan untuk pemrosesan data pribadi berisiko lebih tinggi.
EDPS - Penggunaan pribadi komunikasi elektronik di tempat kerja Memberikan panduan terkait komunikasi di tempat kerja, ekspektasi privasi, dan pemantauan yang proporsional.
Pedoman Privasi OECD (Organisasi untuk Kerja Sama dan Pembangunan Ekonomi)
Pedoman Privasi OECD menyediakan prinsip-prinsip yang diakui secara internasional untuk privasi dan perlindungan data pribadi. Pedoman ini tidak mengikat secara hukum seperti undang-undang nasional atau regional, tetapi telah memengaruhi kerangka privasi dan kebijakan perlindungan data di banyak negara.
Pedoman ini menekankan prinsip-prinsip privasi inti seperti pembatasan pengumpulan, kualitas data, penetapan tujuan, pembatasan penggunaan, perlindungan keamanan, keterbukaan, partisipasi individu, dan akuntabilitas. Prinsip-prinsip ini mendukung penanganan data yang bertanggung jawab dan mendorong organisasi untuk mengumpulkan serta menggunakan data pribadi hanya untuk tujuan yang jelas, ditentukan, dan sesuai.
Untuk pemantauan online dan karyawan, Pedoman Privasi OECD tidak menyediakan aturan khusus pemantauan yang terperinci. Namun, pedoman ini menawarkan kerangka privasi yang berguna untuk mengevaluasi apakah praktik pemantauan transparan, terbatas pada tujuan yang sah, dilindungi oleh perlindungan yang sesuai, dan dapat dipertanggungjawabkan.
Meskipun Pedoman Privasi OECD tidak dapat ditegakkan seperti GDPR, pedoman ini tetap menjadi titik rujukan internasional yang penting untuk pemrosesan data yang bertanggung jawab dan sadar privasi.
Dalam praktiknya, prinsip-prinsip ini dapat membantu organisasi mempertimbangkan apakah mereka harus:
Mengomunikasikan praktik pemantauan dengan jelas
Membatasi pengumpulan data pada apa yang diperlukan untuk tujuan yang telah ditentukan
Melindungi data yang dipantau dari akses tidak sah
Memberikan informasi yang sesuai kepada individu tentang bagaimana data mereka digunakan
Meninjau praktik pemantauan secara berkala dari segi keadilan, kebutuhan, dan proporsionalitas
Sumber resmi:
Pedoman OECD tentang Perlindungan Privasi dan Arus Lintas Batas Data Pribadi Publikasi resmi OECD yang memuat prinsip-prinsip privasi dan kerangka terkait.
OECD - Privasi dan Perlindungan Data Halaman ikhtisar OECD yang menjelaskan peran Pedoman Privasi dalam kerangka privasi dan perlindungan data global.
Amerika Serikat
Di Amerika Serikat, pemantauan tempat kerja dan online diatur oleh kombinasi hukum federal, undang-undang privasi negara bagian, aturan komunikasi elektronik, persyaratan upah dan jam kerja, serta regulasi khusus sektor. Tidak ada satu undang-undang pemantauan karyawan nasional yang mencakup setiap situasi. Persyaratan dapat bervariasi tergantung pada negara bagian, jenis data yang dikumpulkan, apakah komunikasi diintersepsi atau diakses, apakah perangkat dimiliki perusahaan atau pribadi, dan bagaimana data pemantauan digunakan.
Kerangka kerja | Di mana berlaku | Cakupan untuk pemantauan | Pertimbangan kepatuhan umum | Mengapa hal ini dapat penting bagi perangkat lunak pemantauan |
|---|---|---|---|---|
CCPA / CPRA | California; bisnis yang tercakup | Pengumpulan dan penggunaan informasi pribadi, termasuk informasi pribadi tertentu tentang karyawan, pelamar, kontraktor, perangkat, aktivitas online, dan informasi pribadi sensitif | Pemberitahuan saat pengumpulan, pengungkapan dalam kebijakan privasi, hak akses/penghapusan/koreksi, hak opt-out jika berlaku, batasan atas penggunaan tertentu dari informasi pribadi sensitif | Relevan ketika pemantauan mengumpulkan pengenal, data perangkat, aktivitas Internet atau aplikasi, geolokasi, data perilaku, atau informasi pribadi lainnya dari penduduk California |
ECPA dan aturan komunikasi elektronik federal terkait | Hukum federal A.S.; undang-undang penyadapan dan komunikasi negara bagian juga dapat berlaku | Intersepsi atau akses ke komunikasi elektronik, seperti email, chat, panggilan, pesan, atau komunikasi online tertentu | Hindari intersepsi atau akses yang tidak sah; nilai apakah persetujuan, otorisasi, pengecualian penyedia, atau pengecualian tujuan bisnis dapat berlaku; tinjau aturan persetujuan dan penyadapan khusus negara bagian | Sangat relevan untuk pemantauan komunikasi, peninjauan email/chat, pengambilan konten layar, pencatatan penekanan tombol, dan alat yang dapat menangkap konten pesan |
Aturan upah dan jam kerja terkait FLSA | Hukum federal A.S.; undang-undang upah negara bagian juga dapat berlaku | Penggunaan data pemantauan, kehadiran, aktivitas, atau pelacakan waktu untuk keputusan jam kerja, penggajian, lembur, atau produktivitas | Catatan waktu dan aktivitas harus mendukung perhitungan upah yang akurat; karyawan non-exempt harus dibayar untuk semua jam yang bekerja; pemberi kerja harus menghindari tindakan yang menghambat pelaporan waktu yang akurat | Relevan ketika data pemantauan digunakan untuk menghitung waktu kerja, memverifikasi kehadiran, meninjau lembur, atau mendukung keputusan terkait penggajian dan upah |
Undang-undang pemantauan elektronik dan privasi khusus negara bagian | Bervariasi menurut negara bagian; contohnya termasuk New York, Connecticut, dan Delaware untuk aturan pemberitahuan pemantauan karyawan | Pemantauan elektronik terhadap komunikasi karyawan, penggunaan Internet, sistem komputer, perangkat tempat kerja, atau data pribadi lainnya | Beberapa negara bagian mewajibkan pemberitahuan tertulis atau elektronik, pengakuan karyawan, pemasangan pemberitahuan di tempat kerja, atau bahasa kebijakan tertentu; undang-undang privasi negara bagian lainnya dapat menambahkan kewajiban untuk data sensitif, data biometrik, atau hak konsumen | Pemberi kerja di beberapa negara bagian tidak boleh hanya mengandalkan satu kebijakan A.S. umum; mereka mungkin memerlukan pemberitahuan khusus negara bagian, bahasa persetujuan, aturan penyimpanan, dan kontrol akses internal |
Sumber resmi:
Departemen Kehakiman California - California Consumer Privacy Act (CCPA) Ikhtisar resmi DOJ California tentang hak CCPA, pemberitahuan yang diwajibkan, hak opt-out, hak koreksi, hak penghapusan, dan hak atas informasi pribadi sensitif.
California Privacy Protection Agency - Hukum & Regulasi Halaman resmi California Privacy Protection Agency untuk regulasi CCPA/CPRA dan pembuatan aturan.
U.S. Code - 18 U.S.C. Bagian 2511: Intersepsi dan pengungkapan komunikasi kabel, lisan, atau elektronik dilarang Teks resmi U.S. Code terkait intersepsi komunikasi elektronik.
Departemen Kehakiman A.S. - Electronic Communications Privacy Act of 1986 Ikhtisar DOJ tentang ECPA dan hubungannya dengan komunikasi elektronik dan digital.
Departemen Tenaga Kerja A.S. - Field Assistance Bulletin No. 2020-5 Panduan resmi DOL terkait pelacakan dan kompensasi jam kerja, termasuk situasi kerja jarak jauh.
New York Civil Rights Law Bagian 52-c - Pemberi kerja yang melakukan pemantauan elektronik; pemberitahuan sebelumnya diwajibkan Hukum resmi New York yang mewajibkan pemberitahuan sebelumnya untuk pemantauan elektronik karyawan tertentu.
Connecticut General Statutes Bagian 31-48d - Pemberitahuan pemantauan elektronik Statuta resmi Connecticut yang membahas persyaratan pemberitahuan bagi pemberi kerja yang melakukan pemantauan elektronik.
Delaware Code Title 19 Bagian 705 - Pemberitahuan pemantauan transmisi telepon, surat elektronik, dan penggunaan Internet Hukum resmi Delaware yang membahas persyaratan pemberitahuan untuk pemantauan telepon, email, dan penggunaan Internet.
Kanada
PIPEDA (Personal Information Protection and Electronic Documents Act)
PIPEDA berlaku untuk banyak organisasi sektor swasta di Kanada yang mengumpulkan, menggunakan, atau mengungkapkan informasi pribadi dalam kegiatan komersial. Untuk informasi pribadi karyawan, PIPEDA umumnya berlaku untuk tempat kerja yang diatur secara federal, sementara beberapa provinsi memiliki undang-undang privasi sektor swasta mereka sendiri.
PIPEDA dapat mencakup informasi pribadi yang dikumpulkan melalui pemantauan online atau karyawan, termasuk pengenal, data perangkat, aktivitas online, penggunaan aplikasi, data terkait komunikasi, dan catatan produktivitas.
Organisasi harus mengidentifikasi tujuan yang jelas untuk pemantauan, membatasi pengumpulan pada apa yang diperlukan, dan menangani informasi pribadi secara transparan.
Jika persetujuan diperlukan, persetujuan tersebut harus bermakna dan didasarkan pada informasi yang jelas tentang data apa yang dikumpulkan, mengapa dikumpulkan, bagaimana data tersebut akan digunakan, dan siapa yang dapat mengaksesnya.
Karyawan umumnya harus diberi tahu tentang apa yang dipantau, mengapa pemantauan digunakan, bagaimana informasi tersebut akan digunakan, dan berapa lama informasi tersebut dapat disimpan.
Informasi pribadi yang dikumpulkan melalui pemantauan harus dilindungi dengan perlindungan keamanan yang sesuai.
Undang-Undang Privasi Provinsi (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
Alberta, British Columbia, dan Quebec memiliki undang-undang privasi sektor swasta yang dapat berlaku di provinsi masing-masing.
Undang-undang ini umumnya mengikuti prinsip privasi yang serupa, seperti tujuan yang wajar, pengumpulan terbatas, transparansi, hak akses, batas penyimpanan, dan perlindungan yang sesuai.
Untuk pemantauan karyawan, persyaratan dapat bergantung pada provinsi, jenis tempat kerja, tujuan pemantauan, sensitivitas data, dan apakah pemantauan tersebut wajar untuk mengelola hubungan kerja.
Pemberi kerja harus memberi tahu karyawan sebelum mengumpulkan informasi pribadi melalui alat pemantauan jika diwajibkan.
Beberapa provinsi dapat mewajibkan kebijakan atau pemberitahuan yang menjelaskan informasi pribadi apa yang dikumpulkan, mengapa dikumpulkan, berapa lama disimpan, dan siapa yang dapat mengaksesnya.
Organisasi yang beroperasi di beberapa provinsi Kanada harus meninjau persyaratan federal maupun provinsi sebelum menerapkan perangkat lunak pemantauan.
Sumber resmi:
Office of the Privacy Commissioner of Canada - PIPEDA Ikhtisar resmi hukum privasi sektor swasta federal Kanada.
Office of the Privacy Commissioner of Canada - Privasi di Tempat Kerja Panduan tentang privasi tempat kerja, informasi pribadi karyawan, dan tanggung jawab pemberi kerja.
Office of the Privacy Commissioner of Canada - Pedoman untuk Memperoleh Persetujuan yang Bermakna Panduan tentang persetujuan yang bermakna berdasarkan hukum privasi sektor swasta Kanada.
Pemerintah Alberta - Personal Information Protection Act Halaman resmi pemerintah Alberta untuk hukum privasi sektor swasta Alberta.
Pemerintah Alberta - Informasi Pribadi Karyawan Panduan tentang bagaimana Alberta PIPA berlaku untuk informasi pribadi karyawan.
BC Laws - Personal Information Protection Act Teks resmi Personal Information Protection Act British Columbia.
Legis Quebec - Undang-undang mengenai perlindungan informasi pribadi di sektor swasta Teks resmi hukum privasi sektor swasta Quebec.
Britania Raya
UK GDPR
Berlaku untuk pemrosesan data pribadi di Britania Raya, termasuk pemantauan karyawan dan aktivitas online.
Memerlukan dasar hukum yang jelas untuk pemantauan, seperti kepentingan yang sah, kewajiban hukum, kebutuhan kontraktual, atau persetujuan jika sesuai.
Pemantauan harus diperlukan, proporsional, transparan, dan tidak terlalu mengganggu.
Pemberi kerja harus melakukan penilaian risiko dan mungkin perlu menyelesaikan Penilaian Dampak Perlindungan Data (DPIA) jika pemantauan kemungkinan menimbulkan risiko tinggi bagi individu, seperti pelacakan berkelanjutan, keylogging, atau pemantauan intrusif lainnya.
Staf umumnya harus mengetahui apa yang dipantau, mengapa dipantau, data apa yang dikumpulkan, bagaimana data tersebut akan digunakan, siapa yang dapat mengaksesnya, dan berapa lama data akan disimpan.
Data Protection Act 2018
Melengkapi UK GDPR dan memberikan aturan, ketentuan, serta pengecualian tambahan untuk pemrosesan data pribadi.
Mencakup ketentuan yang relevan dengan data kategori khusus, data pelanggaran pidana, pemrosesan terkait ketenagakerjaan, dan pemrosesan oleh penegak hukum.
Memperkuat prinsip-prinsip seperti minimalisasi data, pembatasan tujuan, keamanan, akuntabilitas, dan hak individu.
Individu umumnya memiliki hak untuk mengakses data pribadi mereka dan, dalam beberapa kasus, untuk menolak jenis pemrosesan tertentu.
RIPA dan Aturan Intersepsi Terkait
Regulation of Investigatory Powers Act 2000 dan aturan intersepsi terkait di Britania Raya mengatur jenis intersepsi tertentu dan akses ke komunikasi.
Intersepsi komunikasi dapat dibatasi kecuali terdapat kewenangan hukum, persetujuan, atau dasar hukum maupun pengecualian lain yang berlaku.
Untuk pemantauan tempat kerja, pemantauan komunikasi harus dinilai dengan cermat, terutama jika dapat melibatkan email, chat, panggilan, pesan, atau konten komunikasi lainnya.
Pemantauan tersembunyi atau tidak diungkapkan sangat sensitif, dapat melanggar hukum dalam banyak kasus, dan hanya boleh dipertimbangkan dalam keadaan luar biasa dengan pembenaran yang jelas dan tinjauan hukum yang sesuai.
Panduan Praktik Ketenagakerjaan ICO
Kantor Komisioner Informasi Britania Raya menyediakan panduan tentang pemantauan pekerja dan penanganan data pribadi karyawan.
ICO menekankan bahwa pemantauan harus terarah, proporsional, dibenarkan oleh tujuan yang jelas, dan tidak berlebihan.
Pemberi kerja harus mempertimbangkan dampaknya terhadap pekerja sebelum memperkenalkan alat pemantauan, terutama jika pemantauan bersifat intrusif atau berkelanjutan.
Pemberi kerja harus membuat kebijakan tertulis yang jelas yang menjelaskan apa yang dipantau, mengapa dipantau, bagaimana data digunakan, siapa yang dapat mengaksesnya, dan berapa lama data disimpan.
Panduan ini menekankan transparansi, akuntabilitas, konsultasi jika sesuai, dan penghormatan terhadap ekspektasi privasi yang wajar dari pekerja.
Sumber resmi:
ICO - Praktik ketenagakerjaan dan perlindungan data: pemantauan pekerja Pusat panduan resmi ICO untuk praktik ketenagakerjaan, termasuk pemantauan pekerja dan kewajiban perlindungan data terkait.
ICO - Panduan tentang dasar hukum Panduan ICO tentang dasar hukum untuk pemrosesan data pribadi berdasarkan UK GDPR.
ICO - Kapan kita perlu melakukan DPIA? Panduan ICO yang menjelaskan kapan Penilaian Dampak Perlindungan Data mungkin diperlukan.
legislation.gov.uk - Data Protection Act 2018 Teks resmi Data Protection Act 2018.
legislation.gov.uk - Regulation of Investigatory Powers Act 2000 Teks resmi Regulation of Investigatory Powers Act 2000.
GOV.UK - Intersepsi komunikasi: kode praktik Kode praktik pemerintah Britania Raya terkait intersepsi komunikasi.
Australia & Selandia Baru
Privacy Act 1988 (Australia)
Privacy Act 1988 menetapkan kerangka kerja menyeluruh tentang bagaimana organisasi Australia menangani informasi pribadi, termasuk data tertentu yang dapat dikumpulkan melalui pemantauan online atau sistem terkait tempat kerja.
Undang-undang ini mewajibkan organisasi yang tercakup untuk hanya mengumpulkan informasi yang secara wajar diperlukan, bersikap transparan tentang bagaimana informasi pribadi digunakan, dan menjaganya tetap aman.
Undang-undang ini tidak memuat aturan terperinci tentang pengawasan tempat kerja, dan catatan karyawan yang ditangani oleh pemberi kerja sektor swasta dapat dikecualikan dari Prinsip Privasi Australia dalam keadaan tertentu. Namun, pemantauan yang melibatkan informasi pribadi masih dapat tunduk pada Privacy Act dalam beberapa konteks, seperti ketika pengecualian catatan karyawan tidak berlaku, ketika penyedia layanan menangani data karyawan, atau ketika kewajiban privasi lainnya terpicu.
Dalam praktiknya, pemberi kerja dan penyedia layanan yang menggunakan alat pemantauan harus menentukan tujuan bisnis yang jelas, menghindari pelacakan berlebihan, menjelaskan praktik mereka dalam kebijakan privasi dan dokumentasi internal, serta mempertimbangkan undang-undang pengawasan tempat kerja negara bagian atau wilayah yang relevan.
Undang-Undang Pengawasan Tempat Kerja (tingkat negara bagian, Australia)
Beberapa negara bagian dan wilayah Australia mengatur pemantauan tempat kerja secara lebih langsung melalui undang-undang pengawasan tempat kerja, seperti Workplace Surveillance Act 2005 (NSW) dan Workplace Privacy Act 2011 (ACT).
Undang-undang ini dapat mengatur kapan dan bagaimana pemberi kerja dapat menggunakan pengawasan kamera, komputer, dan pelacakan, sering kali mewajibkan pemberitahuan tertulis sebelumnya, kebijakan yang jelas, dan ketentuan khusus sebelum pemantauan dimulai.
Pengawasan tersembunyi atau rahasia sangat dibatasi dan dapat memerlukan kewenangan khusus atau persetujuan hukum. Hal ini tidak boleh diperlakukan sebagai metode rutin untuk pelacakan kinerja.
Untuk alat pemantauan online, ini berarti pemberi kerja di negara bagian dan wilayah yang terdampak harus memberikan pemberitahuan yang jelas dan tepat waktu jika diwajibkan serta memastikan bahwa setiap pengawasan komputer, Internet, email, atau pelacakan selaras dengan ketentuan hukum yang berlaku.
Privacy Act 2020 (Selandia Baru)
Privacy Act 2020 Selandia Baru menyediakan kerangka privasi negara tersebut dan berlaku untuk informasi pribadi yang ditangani oleh lembaga, termasuk informasi yang dikumpulkan melalui pemantauan tempat kerja atau online.
Undang-undang ini mewajibkan organisasi untuk mengumpulkan informasi hanya untuk tujuan yang sah dan diperlukan, bersikap terbuka tentang praktik mereka, dan memberikan akses kepada individu terhadap informasi pribadi mereka jika berlaku.
Panduan dari regulator menekankan bahwa pemantauan, perekaman, atau pembuatan video terhadap karyawan harus dilakukan sesuai dengan Privacy Act dan prinsip-prinsip privasi. Pemberi kerja juga harus mempertimbangkan bagaimana pemantauan dapat memengaruhi kepercayaan karyawan, moral, dan hubungan di tempat kerja.
Pemberi kerja didorong untuk berkonsultasi dengan staf, menjelaskan mengapa pemantauan diperlukan, menggunakan kebijakan tempat kerja yang jelas, dan mempertimbangkan dampak pelacakan yang berkelanjutan atau terperinci.
Sumber resmi:
OAIC - Privacy Act Ikhtisar resmi Privacy Act 1988 Australia dan Prinsip Privasi Australia.
OAIC - Pengecualian catatan karyawan Menjelaskan kapan penanganan catatan karyawan oleh pemberi kerja sektor swasta dapat dikecualikan dari Prinsip Privasi Australia.
OAIC - Pemantauan dan pengawasan tempat kerja Panduan yang menjelaskan bahwa pemantauan tempat kerja dapat melibatkan hukum negara bagian, wilayah, dan hukum Australia relevan lainnya.
ACT Legislation - Workplace Privacy Act 2011 Halaman legislasi resmi ACT untuk Workplace Privacy Act 2011.
New Zealand Legislation - Privacy Act 2020 Teks resmi Privacy Act 2020 Selandia Baru.
New Zealand Privacy Commissioner - Privacy Act 2020 Ikhtisar resmi prinsip-prinsip privasi Selandia Baru.
Employment New Zealand - Privasi karyawan Panduan tentang privasi karyawan, pemantauan tempat kerja, perekaman, dan pembuatan video terhadap karyawan.
Wilayah Asia-Pasifik
PDPA (Personal Data Protection Act) - Singapura
Mencakup data pribadi yang dikumpulkan, digunakan, atau diungkapkan oleh organisasi, termasuk data yang dapat dikumpulkan melalui pemantauan karyawan atau online.
Mewajibkan organisasi untuk mengumpulkan, menggunakan, atau mengungkapkan data pribadi untuk tujuan yang sesuai dan dengan persetujuan, persetujuan yang dianggap diberikan, atau pengecualian lain yang berlaku jika diizinkan.
Fokus kuat pada transparansi, pemberitahuan yang tepat, pembatasan tujuan, dan perlindungan data.
Organisasi harus memberi tahu individu tentang tujuan pengumpulan, penggunaan, atau pengungkapan data pribadi mereka.
Penyimpanan harus dibatasi pada apa yang diperlukan untuk tujuan hukum atau bisnis.
PDPA - Malaysia
Berlaku untuk data pribadi yang diproses dalam transaksi komersial, termasuk konteks terkait ketenagakerjaan ketika data pribadi dikumpulkan atau digunakan.
Mewajibkan organisasi untuk mematuhi prinsip-prinsip utama perlindungan data pribadi, termasuk prinsip umum, pemberitahuan dan pilihan, pengungkapan, keamanan, penyimpanan, integritas data, dan akses.
Organisasi harus memberikan pemberitahuan yang jelas tentang tujuan pengumpulan data pribadi dan bagaimana data tersebut akan digunakan.
Data harus diproses untuk tujuan tertentu yang dinyatakan, dilindungi dengan langkah-langkah keamanan yang sesuai, dan tidak disimpan lebih lama dari yang diperlukan.
Mencakup aturan tentang penyimpanan, keamanan data, hak akses, hak koreksi, dan pemrosesan pihak ketiga.
APPI (Act on the Protection of Personal Information) - Jepang
Mengatur penanganan informasi pribadi oleh bisnis dan entitas tercakup lainnya, termasuk data pribadi pelanggan dan karyawan.
Mewajibkan organisasi untuk menentukan tujuan penggunaan dan menangani informasi pribadi sesuai dengan tujuan yang dinyatakan tersebut.
Menekankan keamanan data, akurasi, kontrol penyimpanan, dan pengawasan yang tepat terhadap karyawan serta penyedia layanan yang menangani data pribadi.
Praktik pemantauan yang melibatkan informasi pribadi harus selaras dengan kebijakan internal dan tujuan penggunaan yang dinyatakan.
Individu dapat memiliki hak atas pengungkapan, koreksi, penghentian penggunaan, atau penghapusan tergantung pada konteks.
PIPL (Personal Information Protection Law) - Tiongkok
Undang-undang perlindungan informasi pribadi yang komprehensif yang mencakup pemrosesan informasi pribadi di Tiongkok dan aktivitas pemrosesan tertentu di luar Tiongkok yang melibatkan individu di Tiongkok.
Memerlukan tujuan yang jelas dan wajar, minimalisasi data, transparansi, dan langkah-langkah keamanan yang sesuai.
Persetujuan dapat diperlukan dalam banyak kasus, sementara dasar pemrosesan sah lainnya dapat berlaku tergantung pada konteksnya.
Persetujuan terpisah dapat diperlukan untuk informasi pribadi sensitif, pengungkapan tertentu, transfer lintas batas, atau aktivitas pemrosesan berisiko lebih tinggi lainnya.
Memberikan hak kepada individu seperti akses, koreksi, penghapusan, penarikan persetujuan, dan penjelasan aturan pemrosesan.
Sumber resmi:
Singapore PDPC - Personal Data Protection Act Ikhtisar resmi Personal Data Protection Act Singapura.
Singapore PDPC - Kewajiban Perlindungan Data Halaman resmi PDPC yang menjelaskan kewajiban utama seperti persetujuan, pemberitahuan, pembatasan tujuan, perlindungan, dan penyimpanan.
Singapore PDPC - Pedoman Nasihat tentang Konsep Utama dalam PDPA Panduan resmi yang menjelaskan konsep utama PDPA, termasuk persetujuan dan pengecualian.
Departemen Perlindungan Data Pribadi Malaysia - Personal Data Protection Act 2010 Halaman resmi pemerintah Malaysia untuk Personal Data Protection Act 2010.
Departemen Perlindungan Data Pribadi Malaysia - Prinsip-Prinsip Perlindungan Data Pribadi Ikhtisar resmi tujuh prinsip perlindungan data pribadi Malaysia.
Departemen Perlindungan Data Pribadi Malaysia - Panduan tentang Pemberitahuan Perlindungan Data Pribadi Panduan resmi tentang penyusunan pemberitahuan perlindungan data pribadi.
Komisi Perlindungan Informasi Pribadi Jepang - Act on the Protection of Personal Information Terjemahan bahasa Inggris resmi dari Act on the Protection of Personal Information Jepang.
Komisi Perlindungan Informasi Pribadi Jepang Situs web resmi regulator privasi Jepang.
China National Laws and Regulations Database - Personal Information Protection Law Teks resmi bahasa Tiongkok dari Personal Information Protection Law Tiongkok.
Cyberspace Administration of China - Personal Information Protection Law Publikasi resmi CAC tentang Personal Information Protection Law Tiongkok.
Amerika Latin
LGPD (Lei Geral de Protecao de Dados) - Brasil
LGPD Brasil mengatur pemrosesan data pribadi, termasuk data yang diproses dengan sarana digital. Undang-undang ini dapat berlaku untuk informasi yang dikumpulkan melalui pemantauan online atau tempat kerja ketika data tersebut berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi.
Organisasi harus mengidentifikasi dasar hukum yang sesuai untuk pemantauan dan menjelaskan tujuan pengumpulan data. Pemantauan harus dibatasi pada apa yang diperlukan, dilakukan secara transparan, dan didukung oleh langkah-langkah keamanan yang sesuai.
Individu memiliki hak yang dapat mencakup akses, koreksi, penghapusan, portabilitas, informasi tentang berbagi data, dan penarikan persetujuan jika berlaku.
Undang-Undang Privasi Nasional di Argentina, Meksiko, dan Chili
Argentina, Meksiko, dan Chili memiliki kerangka perlindungan data nasional yang dapat berlaku untuk data pribadi yang dikumpulkan melalui alat pemantauan, tergantung pada konteks dan jenis data yang terlibat.
Ekspektasi privasi umum di seluruh wilayah mencakup memiliki tujuan yang jelas dan sesuai, memberi tahu individu tentang pengumpulan data, membatasi penggunaan data pada apa yang diperlukan, dan melindungi data pribadi dengan perlindungan yang sesuai.
Individu dapat memiliki hak untuk mengakses, memperbaiki, memperbarui, menghapus, atau menolak penggunaan tertentu atas data pribadi mereka, tergantung pada hukum yang berlaku.
Karena persyaratan spesifik berbeda menurut negara dan dapat berubah dari waktu ke waktu, organisasi harus meninjau aturan lokal terkini sebelum menerapkan pemantauan online atau tempat kerja di pasar-pasar ini.
Sumber resmi:
Brasil - Law No. 13,709/2018, General Personal Data Protection Law (LGPD) Teks konsolidasi resmi LGPD Brasil.
Argentina - Agencia de Acceso a la Informacion Publica: Perlindungan Data Pribadi Halaman resmi otoritas Argentina tentang perlindungan data pribadi.
Chili - Law No. 19,628 tentang Perlindungan Kehidupan Pribadi Teks resmi undang-undang perlindungan data pribadi Chili.
Chili - Law No. 21,719, Perlindungan dan Pemrosesan Data Pribadi Teks resmi kerangka perlindungan data Chili yang dimodernisasi.
Wilayah Timur Tengah
Undang-Undang Perlindungan Data UEA (Federal Decree-Law No. 45 of 2021)
Undang-undang perlindungan data pribadi federal UEA menyediakan kerangka umum untuk pemrosesan data pribadi. Undang-undang ini dapat berlaku untuk organisasi yang memproses data pribadi di UEA atau memproses data pribadi individu di UEA, tergantung pada cakupan undang-undang dan aturan khusus sektor atau zona bebas yang berlaku.
Untuk pemantauan, organisasi harus menentukan tujuan yang jelas dan sah, membatasi pengumpulan data pada apa yang diperlukan, dan memberikan penekanan kuat pada transparansi serta keamanan.
Organisasi harus memberi tahu staf tentang pemantauan jika diwajibkan, mendokumentasikan alasan mereka mengumpulkan data pribadi, dan menerapkan kebijakan internal serta perlindungan untuk menangani data yang dipantau.
Undang-Undang Perlindungan Privasi Data Qatar
Undang-undang privasi data pribadi Qatar mencakup data pribadi yang diproses secara elektronik atau dimaksudkan untuk pemrosesan elektronik.
Undang-undang ini mengakui hak individu atas privasi data dan mewajibkan pemrosesan data pribadi mengikuti prinsip-prinsip seperti transparansi, keadilan, dan penghormatan terhadap privasi.
Untuk sistem pemantauan, organisasi harus memiliki tujuan yang jelas dan sah, memberi tahu individu jika diwajibkan, dan melindungi data pribadi dengan langkah-langkah keamanan yang sesuai.
Organisasi juga harus menghormati hak yang berlaku, termasuk hak akses dan koreksi jika tersedia.
Undang-Undang Perlindungan Data Pribadi Saudi (PDPL)
PDPL Arab Saudi mengatur pemrosesan data pribadi di Kerajaan dan juga dapat berlaku untuk aktivitas pemrosesan tertentu di luar Kerajaan ketika aktivitas tersebut melibatkan data pribadi individu di Arab Saudi.
Untuk pemantauan, organisasi harus menentukan tujuan yang jelas, mengadopsi kebijakan privasi, dan memberi tahu individu tentang bagaimana data pribadi mereka akan dikumpulkan dan digunakan.
Persetujuan dapat diperlukan dalam banyak kasus, sementara dasar sah lainnya dapat berlaku tergantung pada konteksnya.
Pemberi kerja yang menggunakan alat pemantauan harus melindungi data yang dipantau, membatasi akses internal, menghindari pengumpulan yang tidak perlu, dan menangani informasi karyawan sesuai dengan persyaratan transparansi, keamanan, dan penyimpanan PDPL.
Sumber resmi:
Legislasi UEA - Federal Decree-Law No. 45 of 2021 tentang Perlindungan Data Pribadi Teks resmi undang-undang perlindungan data pribadi federal UEA.
Qatar Al Meezan - Law No. 13 of 2016 tentang Perlindungan Privasi Data Pribadi Teks PDF bahasa Inggris resmi dari undang-undang privasi data pribadi Qatar.
SDAIA - Hukum Perlindungan Data Halaman resmi Saudi Data & AI Authority tentang Personal Data Protection Law Arab Saudi.
SDAIA - Personal Data Protection Law Versi bahasa Inggris resmi dari Personal Data Protection Law Arab Saudi.
Pertimbangan Akhir untuk Pemantauan yang Bertanggung Jawab
Undang-undang pemantauan online dan karyawan sangat bervariasi antara negara, negara bagian, industri, dan lingkungan tempat kerja. Alat pemantauan yang sama dapat diterima dalam satu konteks dan tidak sesuai atau melanggar hukum dalam konteks lain, tergantung pada bagaimana alat tersebut dikonfigurasi, data apa yang dikumpulkan, apakah pengguna diberi tahu, dan bagaimana informasi digunakan.
Program pemantauan yang bertanggung jawab umumnya harus mencakup:
Tujuan yang jelas dan sah untuk pemantauan
Kebijakan internal tertulis yang menjelaskan apa yang dipantau dan mengapa
Pemberitahuan kepada pengguna atau karyawan jika diwajibkan
Pengumpulan data yang terbatas dan proporsional
Kontrol akses yang kuat dan perlindungan keamanan
Periode penyimpanan yang ditentukan untuk data yang dikumpulkan
Peninjauan rutin atas praktik pemantauan
Tinjauan hukum untuk skenario pemantauan berisiko tinggi, sensitif, tersembunyi, atau lintas batas
Spyrix menyediakan perangkat lunak pemantauan untuk penggunaan yang sah. Namun, setiap organisasi bertanggung jawab untuk menentukan apakah penggunaan khusus alat pemantauan mereka mematuhi hukum yang berlaku, kebijakan internal, dan persyaratan pemberitahuan. Jika ragu, organisasi harus berkonsultasi dengan penasihat hukum yang berkualifikasi sebelum menerapkan perangkat lunak pemantauan atau mengaktifkan fitur pemantauan yang lebih intrusif.