Baca berita tanpa iklan. Gabung Kompas.com+

Yudhistira Nugraha S.T., M.ICT Adv., D.Phil

Teknokrat dan Pengajar

Teknokrat dan Pengajar. Saat ini jabat Kepala Suku Dinas Kominfotik Jakarta Utara. Sebelumnya sebagai Kepala BLUD Jakarta Smart City (2019-2023) dan jabatan lainnya di Kominfo. Alumni Doktoral Cyber Security Oxford University, Inggris ini peraih IndoSec Digital Leader of the Year (2023), PNS Berprestasi (2020), Satya Lancana Karya Satya (2020). Inovator penghargaan internasional seperti ASEAN ICT Awards 2021 dan ITU WSIS Prizes 2021-2023. Dosen Telkom University bidang Keamanan Siber dan Privasi, Tim Ahli bidang Keamanan Siber dan Privasi di Forum Alumni Universitas Telkom, Penasihat Data Protection Excellence Network, Co-Founder Indonesia Blockchain Society dan Indonesia Digital Institute, pemegang sertifikasi bidang keamanan siber dan privasi.

Data PDNS Gagal Pulih karena Ransomware: Siapa Bertanggung Jawab? (Bagian II-Habis)

Lihat Foto

Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi (kiri) dan Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian (kanan) bersiap mengikuti rapat kerja dengan Komisi I DPR di Kompleks Parlemen, Senayan, Jakarta, Kamis (27/6/2024). Rapat tersebut membahas insiden peretasan Pusat Data Nasional dan progres penanganannya. (ANTARA FOTO/Dhemas Reviyanto)

Anda bisa menjadi kolumnis !

Kriteria (salah satu): akademisi, pekerja profesional atau praktisi di bidangnya, pengamat atau pemerhati isu-isu strategis, ahli/pakar di bidang tertentu, budayawan/seniman, aktivis organisasi nonpemerintah, tokoh masyarakat, pekerja di institusi pemerintah maupun swasta, mahasiswa S2 dan S3. Cara daftar baca di sini

Daftar di sini Kirim artikel

Editor Sandro Gatra

Dalam skenario ini, Direktorat LAIP sebagai pengelola layanan PDN berperan sebagai Pengendali Data Pribadi karena dalam syarat dan ketentuan Penggunaan Layanan PDN, Direktorat LAIP menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi PIC atau Subjek Data Pribadi yang bertindak mewakili instansi pemerintah dalam mengajukan layanan PDN.

Dalam hal ini, pengguna layanan PDN wajib membuat akun pengguna layanan pada situs web https://pdn.layanan.go.id dengan melampirkan dokumen kelengkapan seperti scan dokumen kartu pegawai/ASN dan scan dokumen surat penugasan PIC.

Dari kedua skenario di atas, skenario yang relevan terhadap kasus kegagalan pelindungan data pribadi yang berdampak pada layanan publik adalah skenario pertama di mana instansi pemerintah sebagai pengguna layanan PDN berperan sebagai Pengendali Data Pribadi.

Dalam rangka pelayanan publik, setiap instansi pemerintah melakukan pemrosesan data pribadi dengan menentukan tujuan dan melakukan kendali pemrosesan data pribadi, misalnya, untuk keperluan imigrasi dan perizinan.

Beberapa kewajiban Pengendali Data Pribadi tertuang dalam ketentuan UU PDP, antara lain Pengendali Data Pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya.

Dalam melakukan pemrosesan data pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan data pribadi.

Pengendali Data Pribadi juga wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali Pengendali Data Pribadi.

Selain itu, Pengendali Data Pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah dan wajib mencegah data pribadi diakses secara tidak sah dengan menggunakan sistem keamanan.

Dalam hal terjadi kegagalan pelindungan data pribadi, misalnya data pribadi yang diproses tidak dapat dipulihkan akibat serangan ransomware, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada pengguna layanan sebagai Subjek Data Pribadi dan Lembaga Pelindungan Data Pribadi.

Pemberitahuan tertulis ini harus memuat: data pribadi yang terungkap; kapan dan bagaimana data pribadi terungkap; dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh Pengendali Data Pribadi.

Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan perlindungan data pribadi sebagai bentuk antisipasi terhadap dampak yang akan timbul akibat serangan ransomware tersebut.

Pelanggaran terhadap ketentuan yang tertuang dalam UU PDP dapat dikenai sanksi administratif berupa: 1. Peringatan tertulis; 2. Penghentian sementara kegiatan pemrosesan data pribadi; 3. Penghapusan atau pemusnahan data pribadi; dan/atau 4. Denda administratif.

Sanksi administratif berupa denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.

Penjatuhan sanksi administratif dilakukan oleh lembaga yang berwenang, dalam hal ini Lembaga Pelindungan Data Pribadi yang sampai saat ini belum ditetapkan oleh presiden.

Dengan kata lain, penegakan hukum administratif terhadap pelanggaran UU PDP belum dapat diterapkan.