Dalam skenario ini, Direktorat LAIP sebagai pengelola layanan PDN berperan sebagai Pengendali Data Pribadi karena dalam syarat dan ketentuan Penggunaan Layanan PDN, Direktorat LAIP menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi PIC atau Subjek Data Pribadi yang bertindak mewakili instansi pemerintah dalam mengajukan layanan PDN.
Dalam hal ini, pengguna layanan PDN wajib membuat akun pengguna layanan pada situs web https://pdn.layanan.go.id dengan melampirkan dokumen kelengkapan seperti scan dokumen kartu pegawai/ASN dan scan dokumen surat penugasan PIC.
Dari kedua skenario di atas, skenario yang relevan terhadap kasus kegagalan pelindungan data pribadi yang berdampak pada layanan publik adalah skenario pertama di mana instansi pemerintah sebagai pengguna layanan PDN berperan sebagai Pengendali Data Pribadi.
Dalam rangka pelayanan publik, setiap instansi pemerintah melakukan pemrosesan data pribadi dengan menentukan tujuan dan melakukan kendali pemrosesan data pribadi, misalnya, untuk keperluan imigrasi dan perizinan.
Beberapa kewajiban Pengendali Data Pribadi tertuang dalam ketentuan UU PDP, antara lain Pengendali Data Pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya.
Dalam melakukan pemrosesan data pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan data pribadi.
Pengendali Data Pribadi juga wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali Pengendali Data Pribadi.
Selain itu, Pengendali Data Pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah dan wajib mencegah data pribadi diakses secara tidak sah dengan menggunakan sistem keamanan.
Dalam hal terjadi kegagalan pelindungan data pribadi, misalnya data pribadi yang diproses tidak dapat dipulihkan akibat serangan ransomware, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada pengguna layanan sebagai Subjek Data Pribadi dan Lembaga Pelindungan Data Pribadi.
Pemberitahuan tertulis ini harus memuat: data pribadi yang terungkap; kapan dan bagaimana data pribadi terungkap; dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh Pengendali Data Pribadi.
Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan perlindungan data pribadi sebagai bentuk antisipasi terhadap dampak yang akan timbul akibat serangan ransomware tersebut.
Pelanggaran terhadap ketentuan yang tertuang dalam UU PDP dapat dikenai sanksi administratif berupa: 1. Peringatan tertulis; 2. Penghentian sementara kegiatan pemrosesan data pribadi; 3. Penghapusan atau pemusnahan data pribadi; dan/atau 4. Denda administratif.
Sanksi administratif berupa denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Penjatuhan sanksi administratif dilakukan oleh lembaga yang berwenang, dalam hal ini Lembaga Pelindungan Data Pribadi yang sampai saat ini belum ditetapkan oleh presiden.
Dengan kata lain, penegakan hukum administratif terhadap pelanggaran UU PDP belum dapat diterapkan.