Uncategorized

Email perusahaan: perlindungan konten dan aturan pengelolaan metadata, indikasi terbaru dari Penjamin

Agustus Uk


Dalam beberapa bulan terakhir, intervensi institusional terhadap topik email di tempat kerja semakin meningkat. Di satu sisi, Mahkamah Agung Kasasi (kalimat no. 24204/2025) menetapkan bahwa email pribadi pegawai adalah tidak dapat diganggu gugatbahkan jika disimpan di server atau PC perusahaan: akses tidak sah apa pun merupakan pelanggaran korespondensi dan menimbulkan konsekuensi pidana dan perdata. Di sisi lain, Penjamin Privasi, dengan dokumen panduan 2.0 (Juni 2024), telah menetapkan aturan yang tepat tentang pelestarian metadata email perusahaanmenerapkan batasan waktu (maksimum 21 hari, kecuali pengecualian yang terdokumentasi) dan transparansi terhadap pekerja. Dua perspektif yang menyatu pada satu titik yang sama: email adalah alat kerja, namun pengelolaannya harus selalu menghormati prinsip kerahasiaan dan kepatuhan karyawan.

Pengadilan Kasasi: email pribadi tidak dapat diganggu gugat

Dengan kalimat no. 24204 tanggal 29 Agustus 2025, Pengadilan Kasasi menetapkan bahwa email pribadi karyawan, meskipun disimpan di server atau perangkat perusahaan, adalah ekspresi kehidupan pribadi dan karena itu tidak dapat diganggu gugat.
Majikan tidak dapat mengakses atau menggunakan komunikasi ini sebagai bukti di pengadilan. Setiap akses yang tidak sah merupakan pelanggaran pidana (akses ilegal terhadap sistem komputer, pelanggaran korespondensi) dan menjadikan bukti yang diperoleh tidak dapat digunakan.

Keputusan ini membatalkan keputusan pengadilan tingkat pertama (Milan) sebelumnya, yang menganggap email semacam itu sebagai “korespondensi terbuka” dan karenanya dapat diakses secara bebas.

Prinsip hukum ditegaskan kembali

  • Email pribadi mewakili ekspresi kehidupan pribadi dan hak untuk berkorespondensi, dilindungi oleh Pasal 8 Konvensi Eropa tentang Hak Asasi Manusia.
  • Akses tidak sah ke kotak surat yang dilindungi adalah kejahatan berdasarkan seni. 615-ter KUHP: merupakan akses tidak sah ke sistem komputer dan pelanggaran korespondensi, serta kerusakan jika kredensial diubah

Pengusaha dapat melakukan pemeriksaan hanya jika mereka menghormati prinsip proporsionalitas, transparansi dan informasi preventif kepada pekerja. Prosedur yang ditetapkan oleh Statuta Pekerja (pasal 4) juga perlu diikuti.

Penjamin Privasi: aturan tentang konservasi metadata

Pada tanggal 6 Juni 2024 Penjamin Perlindungan Data Pribadi menerbitkan a versi baru dari dokumen pedoman pengelolaan metadata email di tempat kerjamemperbarui indikasi pertama yang dirilis pada bulan Februari. Revisi ini juga dikembangkan sehubungan dengan konsultasi publik yang diluncurkan pada bulan berikutnya, yang memungkinkan pengumpulan observasi dan kontribusi dari pihak-pihak yang berkepentingan.

Versi terbaru ini – disebut sebagai “dokumen panduan 2.0” – mengklarifikasi, menentukan, dan mendalami salah satu topik yang paling rumit dan diperdebatkan di bidang privasi dan hukum ketenagakerjaan: pengumpulan dan penyimpanan data yang berkaitan dengan perutean dan pengelolaan pesan emaildikenal sebagai metadata.

Apa itu metadata email?

Poin yang relevan dari dokumen ini adalah definisi metadataditunjukkan oleh Penjamin sebagai “informasi yang dicatat dalam log yang dihasilkan oleh sistem server manajemen dan penyortiran email (MTA: Mail Transport Agent) dan oleh stasiun klien (MUA: Mail User Agent)”.

Ini misalnya data yang mencakup:

  • alamat email pengirim dan penerima;
  • Alamat IP perangkat yang terlibat;
  • tanggal dan waktu pengiriman, penerimaan, transmisi ulang;
  • ukuran pesan;
  • keberadaan dan ukuran lampiran;
  • dalam beberapa kasus, bahkan subjek pesannya.

Seperti yang dijelaskan oleh GPDP, metadatanya tidak sesuai dengan isi pesantapi mereka merupakanamplopyaitu kumpulan informasi teknis yang, meskipun merupakan bagian integral dan tidak terpisahkan dari email, “tetap berada di bawah kendali eksklusif pengguna”.

Penyimpanan metadata karyawan: batasan waktu dan risiko

Dalam konteks pekerjaan, pengumpulan dan penyimpanan metadata diizinkan secara eksklusif untuk memastikan berfungsinya sistem email dengan benar. Sebagaimana dijelaskan oleh Penjamin, konservasi ini harus mempunyai a durasi terbatas beberapa hari, dan lagi pula paling lambat 21 hari. Perpanjangan apa pun hanya diperbolehkan dalam kasus-kasus luar biasa dan terdokumentasi, sesuai dengan prinsip akuntabilitas.

Di luar batasan ini, risiko penyimpanan yang sistematis dan berkepanjangan mengakibatkan pengendalian aktivitas karyawan secara tidak langsung dan terus-menerus, sehingga merupakan pemrosesan data pribadi yang tidak sah.

Peran majikan

Penjamin mengingat i majikan untuk tanggung jawab maksimal dalam pengelolaan metadata email. Sebenarnya, itu terserah pengontrol data”mengadopsi semua tindakan teknis dan organisasi untuk memastikan kepatuhan terhadap prinsip pembatasan tujuan, aksesibilitas selektif hanya oleh individu yang berwenang dan cukup terlatih dan pelacakan akses yang dilakukan”.

Ditambah lagi dengan kewajiban untuk melakukannya menginformasikan pekerja dengan jelas mengenai waktu penyimpanan, metode pengobatan dan kemungkinan adanya pengendalian, sehingga menjamin kesadaran penuh tentang karakteristik pengobatan. Seperti yang digarisbawahi oleh Otoritas, “penting bagi pihak-pihak yang berkepentingan untuk mengetahui sepenuhnya karakteristik pemrosesan secara keseluruhan, menentukan waktu penyimpanan data, pengendalian apa pun, dll.”

Terakhir, dokumen tersebut menarik perhatian pada langkah-langkah tambahan yang harus diambil oleh pemberi kerja:

  • menonaktifkan fungsi yang tidak sesuai dengan tujuan pemrosesan
  • meminta pemasok untuk menganonimkan metadata jika tidak diperlukan untuk menyimpannya lebih lama
  • memastikan bahwa setiap ekstensi dibenarkan dan dilacak.

Profil ilegalitas

Skenario berbeda disorot dalam dokumen pengelolaan metadata ilegalsecara khusus:

  • penyimpanan melebihi batas maksimum yang diijinkan (21 hari) tanpa alasan yang memadai atau tanpa persetujuan serikat pekerja
  • penggunaan metadata sebagai alat untuk memantau aktivitas karyawan secara rahasiamengkonfigurasi kendali jarak jauh yang tidak sah
  • penggunaan data untuk tujuan selain dan tidak sesuai dengan yang dinyatakan pada saat pengumpulan

Perbuatan seperti itu, selain melanggar pasal. 4 Statuta Pekerja, dapat menimbulkan akibat yang signifikan bagi pemberi kerja, termasuk sanksi yang diatur dalam pasal tersebut. 83 GDPR dan Kode Privasi.

Privasi berdasarkan desain dan default: pendekatan inovatif terhadap metadata

Aspek yang sangat inovatif dari dokumen ini berkaitan dengan penerapan prinsip-prinsip privasi berdasarkan desain e privasi secara default. Seperti yang digarisbawahi oleh Penjamin, sistem email harus dikonfigurasi “secara default hanya untuk pemrosesan yang benar-benar diperlukan”.

Artinya, pemberi kerja harus mengadopsi pendekatan preventifmenonaktifkan fungsi yang tidak sesuai dengan tujuan yang dinyatakan dan membatasi data yang diproses seminimal mungkin. Selain itu, jika tidak ada kebutuhan untuk menyimpan metadata lebih dari 21 hari, pemberi kerja dapat meminta penyedia layanan untuk melakukan anonimisasi, sehingga mengurangi risiko terkait penggunaan yang tidak patut.

Peran penyedia layanan

Tanggung jawab tidak berakhir pada pemberi kerja. Bahkan saya Penyedia layanan email dan aplikasi cloud diminta untuk mengintegrasikan perlindungan data sudah dalam tahap desain, pengembangan dan konfigurasi sistem mereka. Seperti yang diingatkan oleh Penjamin kepada kita, penyedia harus “mempertimbangkan hak atas perlindungan data sesuai dengan teknologi terkini”, menawarkan pengaturan yang memungkinkan pelanggan menghormati batas penyimpanan dan prinsip keabsahan dan minimalisasi yang ditetapkan oleh GDPR.

Singkatnya: Kepatuhan untuk Perusahaan dan PA

Dokumen kebijakan GPDP 2.0 menandai langkah yang menentukan: pengelolaan metadata email harus dilakukan dengan waktu tertentu, ketelitian dan transparansi penuh terhadap pekerja. Hal ini kini menjadi aspek utama baik untuk perlindungan privasi maupun kepatuhan perusahaan dan publik.
Untuk memastikan kepatuhan, pengusaha swasta dan administrasi publik diminta untuk:

  • memverifikasi bahwa layanan email yang digunakan mengizinkan pembatasan atau anonimisasi metadata;
  • mendokumentasikan secara tepat dan membenarkan perpanjangan waktu lebih dari 21 hari, yang menunjukkan kebutuhan berdasarkan prinsip akuntabilitas;
  • memperbarui informasi kepada pekerja secara transparan dan lengkap, menentukan waktu penyimpanan, metode pemrosesan, dan pengendalian terencana;
  • mengintegrasikan prinsip-prinsip privasi berdasarkan desain e secara default dalam proses pembelian dan pengelolaan layanan digital, termasuk platform pengadaan terpusat PA.

Apakah Anda memerlukan dukungan untuk memverifikasi kepatuhan perusahaan Anda atau memperbarui informasi perusahaan? Hubungi tim kami untuk konsultasi yang disesuaikan!


News
Berita Teknologi
Berita Olahraga
Sports news
sports
Motivation
football prediction
technology
Berita Technologi
Berita Terkini
Tempat Wisata
News Flash
Football
Gaming
Game News
Gamers
Jasa Artikel
Jasa Backlink
Agen234
Agen234
Agen234
Resep
Cek Ongkir Cargo
Download Film

Related Posts

Cara belajar ai | Maryville Online

Memahami AI sangat penting di dunia yang digerakkan oleh teknologi saat ini, karena ini memberi kekuatan pada segalanya mulai dari…

Leave a Reply

Your email address will not be published. Required fields are marked *