Data PDNS Gagal Pulih karena Ransomware: Siapa Bertanggung Jawab? (Bagian II-Habis)

DALAM ekosistem dan kerangka UU Pelindungan Data Pribadi (PDP) No. 27 Tahun 2022, terdapat beberapa pihak yang terlibat, yaitu Pengendali Data Pribadi, Prosesor Data Pribadi, Subjek Data Pribadi, dan Lembaga Pelindungan Data Pribadi.

Dalam hal serangan siber ransomware pada layanan PDN mengakibatkan terjadinya kegagalan pelindungan data pribadi, maka Pengendali Data Pribadi yang paling bertanggung jawab karena pihak tersebut yang menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Baca artikel sebelumnya: Data PDNS Gagal Pulih karena Ransomware: Siapa Bertanggung Jawab? (Bagian I)

Dalam operasionalnya, Pengendali Data Pribadi dapat meminta bantuan Prosesor Data Pribadi untuk melakukan pemrosesan data pribadi sesuai dengan ketentuan, atas nama Pengendali Data Pribadi.

Karena Pengendali Data Pribadi adalah pihak yang paling bertanggung jawab jika terjadi kegagalan pelindungan data pribadi, ada dua skenario yang berperan sebagai Pengendali Data Pribadi, yaitu:

Skenario 1: Pengendali Data Pribadi adalah Instansi Pemerintah sebagai Pengguna Layanan PDN

Dalam rangka penyediaan layanan publik kepada masyarakat, instansi pemerintah, baik kementerian, lembaga, dan pemerintah daerah yang menggunakan layanan PDN berperan sebagai Pengendali Data Pribadi karena menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Sebagai contoh kasus, Ditjen Imigrasi berperan sebagai Pengendali Data Pribadi karena menentukan tujuan dan melakukan kendali pemrosesan data pribadi, misalnya, untuk keperluan pemeriksaan keimigrasian, autogate, visa, izin tinggal, M-Paspor, dan Cekal Online.

Sedangkan Direktorat LAIP sebagai pengelola layanan PDN berperan sebagai Prosesor Data Pribadi dan Telkom Sigma berperan sebagai Sub-Prosesor Data Pribadi dari Direktorat LAIP sebagai pengelola layanan PDN.

Pengelola PDN Kominfo melakukan pemrosesan data pribadi sesuai permintaan Ditjen Imigrasi sebagai pengguna layanan PDN sesuai syarat dan ketentuan penggunaan layanan PDN.

Dalam hal ini, pengelola layanan PDN hanya menyediakan layanan cloud serta hak akses sesuai kebutuhan Ditjen Imigrasi.

Pengelola layanan PDN tidak menentukan tujuan dan melakukan kendali pemrosesan data pribadi yang ditempatkan Ditjen Imigrasi pada layanan PDN.

Skenario 2: Pengendali Data Pribadi adalah Direktorat LAIP sebagai Pengelola Layanan PDN.

Sesuai amanat Pasal 27 ayat 5 Perpres Sistem Pemerintahan Berbasis Elektronik (SPBE), PDN diselenggarakan oleh menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika dan/atau Pusat Data Instansi Pusat dan Pemerintah Daerah yang memenuhi persyaratan tertentu.

Dengan kata lain, Kemenkominfo melalui Direktorat LAIP, Ditjen Aplikasi Informatika, mendapatkan tugas untuk menyelenggarakan layanan PDN.

Dalam skenario ini, Direktorat LAIP sebagai pengelola layanan PDN berperan sebagai Pengendali Data Pribadi karena dalam syarat dan ketentuan Penggunaan Layanan PDN, Direktorat LAIP menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi PIC atau Subjek Data Pribadi yang bertindak mewakili instansi pemerintah dalam mengajukan layanan PDN.

Dalam hal ini, pengguna layanan PDN wajib membuat akun pengguna layanan pada situs web https://pdn.layanan.go.id dengan melampirkan dokumen kelengkapan seperti scan dokumen kartu pegawai/ASN dan scan dokumen surat penugasan PIC.

Dari kedua skenario di atas, skenario yang relevan terhadap kasus kegagalan pelindungan data pribadi yang berdampak pada layanan publik adalah skenario pertama di mana instansi pemerintah sebagai pengguna layanan PDN berperan sebagai Pengendali Data Pribadi.

Dalam rangka pelayanan publik, setiap instansi pemerintah melakukan pemrosesan data pribadi dengan menentukan tujuan dan melakukan kendali pemrosesan data pribadi, misalnya, untuk keperluan imigrasi dan perizinan.

Beberapa kewajiban Pengendali Data Pribadi tertuang dalam ketentuan UU PDP, antara lain Pengendali Data Pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya.

Dalam melakukan pemrosesan data pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan data pribadi.

Pengendali Data Pribadi juga wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali Pengendali Data Pribadi.

Selain itu, Pengendali Data Pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah dan wajib mencegah data pribadi diakses secara tidak sah dengan menggunakan sistem keamanan.

Dalam hal terjadi kegagalan pelindungan data pribadi, misalnya data pribadi yang diproses tidak dapat dipulihkan akibat serangan ransomware, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada pengguna layanan sebagai Subjek Data Pribadi dan Lembaga Pelindungan Data Pribadi.

Pemberitahuan tertulis ini harus memuat: data pribadi yang terungkap; kapan dan bagaimana data pribadi terungkap; dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh Pengendali Data Pribadi.

Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan perlindungan data pribadi sebagai bentuk antisipasi terhadap dampak yang akan timbul akibat serangan ransomware tersebut.

Pelanggaran terhadap ketentuan yang tertuang dalam UU PDP dapat dikenai sanksi administratif berupa: 1. Peringatan tertulis; 2. Penghentian sementara kegiatan pemrosesan data pribadi; 3. Penghapusan atau pemusnahan data pribadi; dan/atau 4. Denda administratif.

Sanksi administratif berupa denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.

Penjatuhan sanksi administratif dilakukan oleh lembaga yang berwenang, dalam hal ini Lembaga Pelindungan Data Pribadi yang sampai saat ini belum ditetapkan oleh presiden.

Dengan kata lain, penegakan hukum administratif terhadap pelanggaran UU PDP belum dapat diterapkan.

Namun, jika ditemukan bukti kelalaian atau perbuatan melawan hukum atau pelanggaran serius yang mengarah pada kerugian besar, proses hukum dapat dijalankan sesuai dengan peraturan perundang-undangan yang berlaku.

Oleh karena itu, penentuan peran dan tanggung jawab terhadap kegagalan sistem dan perlindungan data pribadi akibat serangan ransomware mengacu kepada ketentuan dan sanksi yang diatur dalam PP PSTE.

Pembelajaran dari kasus Ini

Pertama, Pemerintah harus berani dan konsisten dalam pengawasan dan penegakan hukum administratif terhadap pelanggaran dan ketidakpatuhan terhadap regulasi.

Pemberian sanksi bagi penyelenggara elektronik yang mengalami kegagalan sistem dan perlindungan data pribadi harus secara konsisten dilakukan kepada setiap penyelenggara sistem elektronik lingkup publik dan lingkup privat.

Kedua, kepatuhan terhadap Regulasi Khususnya Kewajiban Backup dan Disaster Recovery.

PP PSTE sudah jelas mengatur kewajiban setiap Penyelenggara Sistem Elektronik Lingkup Publik untuk memiliki rencana menjaga keberlangsungan seperti backup dan disaster recovery.

Baca juga: Ransomware pada PDN: Pentingnya Backup dan Disaster Recovery

Dalam pengelolaan layanan PDN, setiap pengajuan layanan PDN oleh instansi pemerintah harus mencakup layanan Backup as a Service (BaaS) dan disaster recovery sebagai bagian dari setiap layanan SPBE, baik untuk layanan publik maupun untuk administrasi pemerintahan.

Ketiga, pentingnya berbagi peran dan tanggung jawab yang dituangkan dalam kontrak.

Dalam rangka penyelenggaraan sistem elektronik, setiap penyelenggara elektronik yang menyediakan, mengelola, dan/atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik perlu menuangkan hak dan kewajiban para pihak terkait dalam penyelenggaraan sistem elektronik tersebut.

Selain hak dan tanggung jawab masing-masing penyelenggara elektronik, kontrak ini harus mencakup perjanjian tingkat layanan, perjanjian keamanan informasi terhadap jasa layanan teknologi informasi yang digunakan, serta keamanan informasi dan sarana komunikasi internal yang diselenggarakan.

Keempat, perlunya kelembagaan yang tepat dalam pengelolaan ekosistem PDN.

Saat ini Direktorat LAIP berperan sebagai pengelola layanan PDN. Tugas utama Direktorat LAIP adalah melaksanakan kebijakan, memberikan bimbingan teknis dan supervisi, serta melakukan pemantauan, evaluasi, dan pelaporan di bidang layanan aplikasi informatika pemerintahan.

Oleh karena itu, perlu dibentuk Unit Pengelola Teknis (UPT) Layanan PDN di bawah Direktorat LAIP untuk fokus dalam pengelolaan ekosistem PDN, minimal dipimpin oleh Pejabat Eselon 3.

Harapannya kelembagaan ini bisa berkembang sesuai kebutuhan sehingga bisa terbentuk UPT Badan Layanan Umum PDN yang dipimpin minimal oleh Pejabat Eselon 2.

Kelima, perlunya talenta dan tenaga ahli yang memiliki kompetensi di bidang Teknologi Informasi.

Dalam pengelolaan layanan PDN, khususnya operasional ekosistem layanan PDN, diperlukan talenta dan tenaga ahli yang memiliki sertifikasi yang mendukung, seperti Data Center Administrator, Cybersecurity Engineer, DevOps Engineer, Storage Specialist, Disaster Recovery Specialist, dan Cloud Security Analyst.

Dengan terjadinya kasus ransomware yang berdampak nasional, kita dapat mengambil beberapa pembelajaran yang diharapkan dapat membuat pengelolaan layanan PDN berjalan lebih efektif, aman, dan sesuai dengan regulasi yang berlaku sehingga dapat mendukung program transformasi digital nasional.