Untuk pengalaman terbaik, bukaVeritaskdi desktop Anda.
Legal Updates

Kebijakan Bring Your Own Device (BYOD) bagi Karyawan: Bagaimana Perspektif Hukum Indonesia?

8 Juli 2026
Yumna Nafisah, S.H.
Legal Updates
Kebijakan Bring Your Own Device (BYOD) bagi Karyawan: Bagaimana Perspektif Hukum Indonesia?

Pendahuluan

Penerapan kebijakan Bring Your Own Device (BYOD), yaitu kebijakan yang mengizinkan atau mewajibkan karyawan menggunakan perangkat pribadi untuk mendukung pelaksanaan pekerjaan, semakin banyak diterapkan dalam lingkungan kerja modern. Di balik manfaat berupa peningkatan fleksibilitas operasional dan efisiensi biaya, penerapan kebijakan Bring Your Own Device (BYOD) juga menimbulkan berbagai implikasi hukum yang perlu diantisipasi oleh perusahaan. Penggunaan perangkat pribadi untuk kepentingan pekerjaan berpotensi meningkatkan risiko kebocoran informasi rahasia perusahaan, rahasia dagang, dan data bisnis akibat hilangnya perangkat, serangan siber, atau akses yang tidak sah. 

Selain itu, penggunaan perangkat yang sama untuk kepentingan pribadi dan pekerjaan dapat menimbulkan persoalan mengenai perlindungan data pribadi, khususnya terkait pemisahan data perusahaan dengan data pribadi karyawan, kewenangan perusahaan dalam melakukan pemantauan (monitoring), serta penghapusan data perusahaan pada perangkat milik karyawan. Dari perspektif hubungan kerja, penerapan BYOD juga memerlukan pengaturan yang jelas mengenai hak dan kewajiban para pihak, termasuk kepemilikan data hasil pekerjaan, standar keamanan informasi, tanggung jawab atas insiden keamanan siber, serta mekanisme penggantian biaya penggunaan perangkat dan jaringan komunikasi.  

Oleh karena itu, pemahaman terhadap aspek hukum penerapan BYOD menjadi penting bagi perusahaan untuk menjaga keamanan informasi, melindungi aset perusahaan, memitigasi potensi sengketa, serta memastikan kepatuhan terhadap ketentuan peraturan perundang-undangan yang berlaku.

Ketentuan yang Relevan Dalam Hukum Indonesia

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”)

Pasal 1 angka 4: “Pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.”

Pasal 1 angka 6: “Subjek data pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi.”

Dalam penerapan kebijakan Bring Your Own Device (BYOD), perusahaan berkedudukan sebagai pengendali data pribadi, yaitu pihak yang menentukan tujuan dan melakukan kendali atas pemrosesan data pribadi, sedangkan karyawan berkedudukan sebagai subjek data pribadi, yaitu individu yang menjadi pemilik data pribadi yang diproses dalam pelaksanaan hubungan kerja. Meskipun karyawan berkedudukan sebagai subjek data pribadi atas data pribadinya yang diproses oleh perusahaan, dalam pelaksanaan tugas dan fungsinya karyawan juga bertindak untuk dan atas nama (on behalf of) perusahaan dalam melakukan pemrosesan data. Dalam kapasitas tersebut, karyawan mengakses, menggunakan, menyimpan, mengubah, atau mengelola data perusahaan yang di dalamnya dapat memuat data pribadi milik pelanggan, mitra usaha, maupun karyawan lainnya. 

Secara hukum, tanggung jawab utama sebagai pengendali data pribadi tetap berada pada perusahaan sebagai pihak yang menentukan tujuan dan mengendalikan pemrosesan data pribadi. Namun, karyawan sebagai pihak yang melaksanakan pemrosesan atas nama perusahaan tetap berkewajiban mematuhi ketentuan perlindungan data pribadi, menjaga kerahasiaan informasi, serta menerapkan langkah-langkah pengamanan sesuai kewenangan dan tanggung jawabnya. 

Oleh karena itu, perusahaan perlu membangun mekanisme pengendalian internal yang memadai untuk memastikan kepatuhan terhadap ketentuan pelindungan data pribadi di seluruh tingkatan organisasi, antara lain melalui penyusunan kerangka tata kelola (data governance framework), kebijakan dan prosedur (policies and procedures), pembagian peran dan tanggung jawab yang jelas, pengendalian akses terhadap data, serta pelaksanaan pelatihan dan pengawasan secara berkelanjutan.

Pasal 20 ayat (1): “Pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi.”

Agar perusahaan sah secara hukum dalam memasang aplikasi keamanan, memantau aktivitas kerja, atau mengakses area tertentu pada perangkat BYOD, perusahaan wajib memiliki dasar pemrosesan data pribadi, antara lain:

      Persetujuan eksplisit: Persetujuan yang sah dari karyawan untuk tujuan tertentu yang telah disampaikan oleh perusahaan.

      Pemenuhan perjanjian: Pelaksanaan ketentuan dalam perjanjian kerja atau kebijakan BYOD yang disepakati bersama.

      Kepentingan yang sah (Legitimate Interest): Memperhatikan keseimbangan antara kebutuhan keamanan perusahaan dan hak privasi karyawan.

Pasal 46 ayat (1): “Dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada subjek data pribadi dan lembaga.”

Jika perangkat BYOD karyawan hilang atau diretas dan menyebabkan kegagalan pelindungan data pribadi (keterbukaan data), perusahaan wajib menyampaikan pemberitahuan tertulis paling lambat 3 X 24 jam kepada karyawan (subjek data) dan lembaga pemerintah terkait. Pemberitahuan tertulis minimal memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.

Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE” ) 

Pasal 40 ayat (5): “Instansi atau institusi lain selain diatur pada ayat (3) membuat dokumen elektronik dan rekam cadang elektroniknya sesuai dengan keperluan pelindungan data yang dimilikinya.” 

Salah satu isu hukum dalam penerapan kebijakan Bring Your Own Device (BYOD) adalah bercampurnya data pribadi karyawan dengan data dan informasi rahasia perusahaan dalam satu perangkat, yang berpotensi meningkatkan risiko kebocoran dan menghambat perlindungan data. Dalam kaitannya dengan hal tersebut, Pasal 40 ayat (5) mewajibkan setiap instansi atau institusi membuat Dokumen Elektronik beserta rekam cadang (backup) elektroniknya sesuai dengan kebutuhan pelindungan data. Oleh karena itu, kebijakan BYOD perlu mengatur mekanisme backup data perusahaan secara aman dan terpisah dari data pribadi karyawan guna menjamin ketersediaan, integritas, dan keamanan data apabila terjadi kehilangan perangkat, kerusakan sistem, atau insiden keamanan siber.

Undang-Undang Nomor 13 Tahun 2003 tentang Ketenagakerjaan jo. Undang-Undang Nomor 6 Tahun 2023 tentang Penetapan Peraturan Pemerintah Pengganti Undang-Undang Nomor 2 Tahun 2022 tentang Cipta Kerja menjadi Undang-Undang (“UU Ketenagakerjaan”)

Pasal 77 ayat (2) mengatur batasan waktu kerja (7 jam sehari/40 jam seminggu untuk 6 hari kerja, atau 8 jam sehari/40 jam seminggu untuk 5 hari kerja). Jika kebijakan BYOD membuat karyawan melewati batas ini, perusahaan harus memperhitungkannya sebagai lembur.

Penerapan kebijakan Bring Your Own Device (BYOD) memungkinkan karyawan mengakses sistem dan aplikasi Perseroan melalui perangkat pribadi kapan saja, termasuk di luar jam kerja. Meskipun demikian, keberadaan akses tersebut tidak serta-merta menimbulkan hak atas upah lembur. Hak atas lembur pada prinsipnya tetap bergantung pada adanya pekerjaan yang dilakukan di luar jam kerja berdasarkan penugasan atau persetujuan Perseroan sesuai ketentuan peraturan perundang-undangan. Namun, tanpa pengaturan yang memadai, BYOD dapat meningkatkan risiko timbulnya klaim bahwa Perseroan secara implisit mengharapkan atau mengetahui adanya pekerjaan di luar jam kerja, terutama apabila komunikasi dan penyelesaian pekerjaan melalui perangkat pribadi menjadi praktik yang lazim.

Butuh analisis lebih dalam?Coba Veritask AI Legal Assistant

Oleh karena itu, Perseroan perlu memastikan bahwa perjanjian kerja dan/atau kebijakan internal mengatur secara jelas aransemen kerja dalam penerapan BYOD, termasuk penegasan bahwa BYOD hanya merupakan fasilitas untuk mengakses sistem Perseroan dan bukan perubahan terhadap pengaturan jam kerja atau kewajiban untuk selalu tersedia di luar jam kerja. Selain itu, perlu diatur bahwa pekerjaan di luar jam kerja dilakukan berdasarkan penugasan atau persetujuan sesuai mekanisme lembur yang berlaku, serta ekspektasi mengenai respons terhadap komunikasi di luar jam kerja agar tidak menimbulkan ambiguitas maupun potensi sengketa ketenagakerjaan. 

Pasal 88 mengatur hak atas penghasilan yang layak dan penyusunan struktur upah/tunjangan.

Dalam konteks BYOD, perusahaan wajib memastikan bahwa kebijakan ini tidak membebani karyawan secara finansial atau mengurangi hak-hak dasar karyawan. Jika perangkat pribadi diwajibkan, perusahaan idealnya memberikan kompensasi atau tunjangan penggunaan perangkat untuk menutupi biaya operasional (seperti depresiasi atau biaya kuota). Selain itu, penerapan kebijakan Bring Your Own Device (BYOD), Pasal 88 ayat (3) huruf h Undang-Undang Ketenagakerjaan menjadi relevan dalam pengaturan biaya penggunaan perangkat pribadi untuk kepentingan pekerjaan, seperti biaya perangkat, internet, komunikasi, dan perangkat lunak. Perusahaan perlu mengatur secara jelas mekanisme penggantian biaya (reimbursement), pemberian tunjangan, atau pembebanan biaya tersebut melalui perjanjian kerja, peraturan perusahaan, atau perjanjian kerja bersama. Pengaturan tersebut harus tetap menjamin perlindungan hak pekerja dan tidak mengurangi hak atas penghasilan yang layak sebagaimana diatur dalam Pasal 88 ayat (1) dan ayat (2).

Implikasi Praktis 

Penerapan kebijakan BYOD yang tidak terstruktur dapat memberikan dampak dan risiko yang signifikan bagi pelaku usaha: 

      Risiko kebocoran data dan pengendalian aset: Penggunaan perangkat pribadi meningkatkan risiko kebocoran data dan informasi rahasia perusahaan akibat akses tidak sah, kehilangan perangkat, atau serangan siber. Selain itu, perusahaan memiliki kendali yang lebih terbatas terhadap pengamanan dan pengelolaan perangkat dibandingkan perangkat milik perusahaan.

      Risiko pelanggaran privasi karyawan: Penggunaan satu perangkat untuk kepentingan pribadi dan pekerjaan berpotensi menimbulkan persoalan dalam pemisahan data serta batas kewenangan perusahaan dalam melakukan pemantauan (monitoring), sehingga dapat berdampak pada pelanggaran hak privasi karyawan apabila dilakukan secara berlebihan.

      Risiko ketidakpatuhan terhadap regulasi: Kegagalan perusahaan menerapkan langkah pengamanan yang memadai terhadap data pribadi yang diproses melalui perangkat karyawan berpotensi mengakibatkan pelanggaran ketentuan perlindungan data pribadi dan menimbulkan konsekuensi hukum sesuai dengan peraturan perundang-undangan.

      Risiko perselisihan hubungan industrial: Ketiadaan pengaturan yang jelas mengenai penggunaan perangkat pribadi dapat memicu perselisihan terkait tanggung jawab atas biaya penggunaan, pemeliharaan, perbaikan, atau penggantian perangkat yang mengalami kerusakan akibat digunakan untuk kepentingan pekerjaan. 

Rekomendasi 

Untuk meminimalisir risiko hukum dan melindungi keamanan data, perusahaan disarankan melakukan langkah berikut: 

      Menyusun Kebijakan atau Perjanjian BYOD: Menetapkan kebijakan internal atau addendum perjanjian kerja yang mengatur hak dan kewajiban para pihak, termasuk penggunaan perangkat pribadi, batasan akses terhadap data perusahaan, standar keamanan informasi, serta pembagian tanggung jawab atas kerusakan atau kehilangan perangkat, serta aransemen kerja dan lembur.

      Menerapkan Sistem Mobile Device Management (MDM): Mengimplementasikan solusi teknologi yang memungkinkan pemisahan data perusahaan dan data pribadi pada perangkat karyawan, pengamanan akses, serta penghapusan data perusahaan secara jarak jauh (remote wipe) apabila perangkat hilang, dicuri, atau hubungan kerja berakhir.

      Menetapkan Standar Keamanan Informasi: Mewajibkan penerapan langkah pengamanan minimum pada perangkat yang digunakan untuk bekerja, seperti enkripsi data, penggunaan kata sandi yang kuat atau autentikasi multifaktor, serta pembaruan sistem operasi dan aplikasi secara berkala.

      Mengatur Mekanisme Penggantian Biaya: Menetapkan secara jelas mekanisme reimbursement, pemberian tunjangan, atau bentuk kompensasi lainnya atas biaya penggunaan perangkat pribadi, internet, komunikasi, maupun biaya operasional lain yang timbul akibat pelaksanaan pekerjaan.

      Melakukan Sosialisasi dan Transparansi Kebijakan: Memberikan pemahaman kepada karyawan mengenai kebijakan BYOD, termasuk ruang lingkup pemantauan (monitoring), perlindungan data pribadi, serta batas kewenangan perusahaan dalam mengakses perangkat untuk kepentingan keamanan informasi dan kepatuhan terhadap peraturan perundang-undangan. 

Penutup

Penerapan kebijakan Bring Your Own Device (BYOD) dapat memberikan manfaat bagi perusahaan berupa peningkatan fleksibilitas kerja, efisiensi operasional, dan optimalisasi pemanfaatan teknologi. Namun, implementasi kebijakan tersebut juga menimbulkan berbagai konsekuensi hukum yang perlu dikelola, khususnya yang berkaitan dengan pelindungan data pribadi, keamanan informasi, serta pemenuhan hak-hak pekerja. Oleh karena itu, perusahaan tidak cukup hanya mengizinkan penggunaan perangkat pribadi, tetapi juga perlu membangun kerangka tata kelola (governance) BYOD yang komprehensif melalui penyusunan kebijakan internal, penguatan pengamanan teknis, serta pengaturan hak dan kewajiban para pihak secara jelas dan proporsional.

Bagikan:

Masuk untuk berkomentar

Masuk

Apa ituVeritask

Veritask adalah platform AI hukum terintegrasi yang membantu riset regulasi, penyusunan dokumen, dan pengelolaan compliance dalam satu dashboard.

Langganan Gratis

Langganan Gratis

Berlangganan untuk menerima email mingguan gratis berisi analisis hukum terbaru.

Free Trial 14 Hari

Akses penuh semua fitur premium selama 14 hari.
Riset dan analisis hukum lebih cepat dengan AI.
Tanpa komitmen, langsung mulai hari ini.