Hal yang Harus Diperhatikan Terkait Data Center Pasca-Berlakunya UU PDP

Hal yang Harus Diperhatikan Terkait Data Center Pasca-Berlakunya UU PDP

tribunwarta.com – Undang-Undang No. 27 Tahun 2022 Tentang Data Pribadi (UU PDP) memiliki dampak terhadap pola bisnis Pusat Data ( Data Center ) yang saat ini marak di Indonesia.

Ketat dan detailnya ketentuan UU PDP terkait kewajiban Pengendali dan Prosesor Data Pribadi, akan mendorong badan publik dan korporasi semakin hati-hati dalam penyimpanan data pribadi yang dikelolanya.

Selain terkait keamanan data, lahirnya UU PDP sebagai instrumen hukum baru, juga mendorong Operator Data Center untuk meninjau dan mengevaluasi substansi perjanjian mereka dengan para pelanggannya.

Prinsipnya agar substansi perjanjian memenuhi standar UU PDP, dan sekaligus menegaskan posisi masing-masing sebagai subjek perjanjian yang berkorelasi dengan hak dan tanggung jawab hukum.

Situasi di Indonesia saat ini, mirip dengan ketika General Data Protection Regulation (GDPR) pertama kali diberlakukan di Uni Eropa menggantikan regulasi lama, yaitu Direktif Pelindungan Data 95/46/EC (DPD95).

Hal ini mengingatkan saya pada tulisan berjudul One year on: How Has GDPR Affected Data Center Owners?, ditulis Kate O’Flaherty, 24 Mei 2019, yang membahas pelindungan data pascaberlakunya GDPR.

Jenis-jenis data center

Lalu apa yang dimaksud dengan Data Center? Istilah Data Center atau Pusat Data sesungguhnya bukan hal baru karena kita juga sudah lama mempraktikannya.

Kita sudah menerapkan pangkalan data Kekayaan Intelektual seperti data paten, merek, hak cipta sekitar lebih sepuluh tahun yang lalu dan menyimpannya pada sebuah Colocation Data Center.

Data Center merupakan fasilitas gedung dan infrastruktur teknologi tinggi sebagai pusat penyimpanan data dalam skala besar, berfungsi sebagai tempat server komputer level enterprise yang menampung database untuk situs web atau aplikasi.

Oleh karena itu jangan heran, jika penyedia layanan web hosting, pengembang aplikasi, platform digital, bahkan instansi pemerintah menggunakan fasilitas Data Center untuk mengoperasikan server dan menyimpan datanya.

Secara teknis Data center memiliki ratusan bahkan ribuan rak berisi server komputer, dan perangkat teknologi yang dijadikan instalasi penyimpanan data.

Terkait kewajiban regulatif terkait keamanan data, dan pelindungan dalam skala besar, maka Data Center juga harus dibangun dengan keamanan tingkat tinggi, baik fisik bangunan maupun konfigurasi software yang dioperasikannya.

UU PDP adalah legislasi terbaru yang mewajibkan keamanan data yang relevan dengan fungsi Data Center.

Dalam praktik, terdapat beberapa jenis Data Center yang diidentifikasi berdasar cara kerja dan fungsinya.

Pertama, Enterprise Data Center. Pusat Data ini biasanya dimiliki sendiri oleh perusahaan. Pusat data ini biasanya terletak di sekitar atau bahkan di dalam lokasi perusahaan.

Pusat data jenis ini tentu memiliki kelebihan karena berada langsung di bawah kendali pengendali data atau prosesor data. Namun konsekuensinya, perusahaan perlu investasi ekstra untuk gedung, instalasi dan infrastruktur data lainnya dengan standar keamanan tinggi.

Kedua, Cloud Data Center yang di dunia Cyberlaw sering disebut Data Center modern. Mirip dengan colocation, dalam arti menggunakan infrastruktur pihak ketiga.

Hanya bedanya, penyewaan dilakukan atas jasa dalam bentuk virtual, bukan instalasi perangkat keras.

Saat ini layanan kapasitas cloud tidak hanya untuk level korporat, karena sudah menyasar pengguna individual secara langsung.

Melalui perangkat individu seperti smartphone, Ipad, laptop, dll orang bisa berlangganan cloud storage, dan pembayarannya juga integral dengan langganan kuota operator telekomunikasi.

Selain yang sifatnya personal dikenal juga public cloud storage seperti Google Drive, dan Drop Box.

Karakteristik cloud storage sebagai penyimpanan data modern membuatnya dapat diakses dari manapun sepanjang adanya jaringan internet.

Ketiga Colocation Data Center. Jenis ini dioperasikan oleh perusahaan Data Center dilengkapi dengan infrastrukturnya, termasuk instalasi, ruangan dan bandwidth-nya. Pengguna atau pelanggan bisa menyewa termasuk hardware yang disediakan itu.

Colocation Data Center atau yang sering disebut Colo sangat masif sebagai model bisnis pusat data saat ini. Model ini dianggap paling efisien untuk korporasi.

Ketersediaan fasilitas dan infrastruktur dengan jaminan tingkat keamanan tinggi yang dapat dimanfaatkan oleh pengguna dengan metode sewa, membuat korporasi tidak perlu menyediakan investasi secara khusus di sektor ini.

Keempat, dalam praktik dikenal juga bentuk Edge Data Center (EDC) dan Micro Data Center (MDC).

EDC diperuntukan untuk meningkatkan Quality of Service (QoS) dan mengurangi latency. Sedangkan MDC didedikasikan untuk pusat data lingkup terbatas misalnya hanya untuk area terbatas.

Regulasi Indonesia

Berlakunya Peraturan Pemerintah No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) selain memberi garis pembeda terkait kriteria Penyelenggara Sistem Elektronik (PSE) lingkup publik dan privat, juga mengubah ketentuan sebelumnya, terkait kewajiban penyimpanan data di dalam negeri.

Berbeda dengan PSE Lingkup Publik, PSE lingkup privat diberikan pilihan untuk menyimpan data pada server di Indonesia, atau di luar negeri.

Menjamurnya bisnis Pusat Data secara global, tidak terlepas dari prospek bisnis yang lahir karena faktor kebutuhan penyimpanan data dalam kapasitas besar dan memiliki infrastruktur level tinggi yang bisa menjamin keamanan dan kepercayaan (trustworthy) bagi penggunanya.

Data Center yang menampung aplikasi dan menyimpan data secara andal bisa mencegah tindak pidana siber, pencurian informasi rahasia, data pribadi dan rahasia dagang (trade secrets).

Trade Secrets sebagai salah satu bentuk kekayaan intelektual, meskipun jarang dibicarakan dalam kaitannya dengan isu Data Center, justru merupakan bagian penting keunggulan sebuah korporasi.

Sebagai contoh adalah formula pembuatan Coca-Cola yang dilindungi secara ketat dalam sebuah Data Center sebagai Trade Secrets dan sudah berumur 130 tahun lebih (situs resmi The Coca Cola Company-Coca Cola Great Britain).

Berlakunya UU PDP, memberikan tanggung jawab yang lebih ketat tidak saja kepada Pengendali dan Prosesor Data Pribadi tetapi juga kepada Operator Data Center, khususnya terkait keamanan kebocoran, kehilangan, serta akses ilegal.

Dalam referensi Cyberlaw, masalah ini sudah diingatkan sejak lama oleh Maurizio Portolani & Mauricio Arregoces, dalam tulisannya yang berjudul Data Center Fundamentals. Publishers, Cisco Press (2004) 800 East 96th Street Indianapolis, IN 46240 USA.

Sampai sejauh mana tanggung jawab operator Data Center? Jocelyn Paulley dari Gowling WLG sebuah firma hukum yang memiliki tidak kurang 1500 lawyer tersebar di seluruh dunia menulis artikel dengan judul How much do data centres and cloud providers need to know about the data?

Paulley mengatakan sesuai dengan GDPR bahwa posisi operator colocation murni, bukanlah prosesor data.

Karena perangkat keras tempat pemrosesan data tidak dimiliki oleh penyedia colocation, sehingga mereka bukanlah prosesor.

Kecuali jika Pusat Data, misalnya, menyediakan layanan berupa akses ke aplikasi perangkat lunak sebagai layanan cloud, maka operator tersebut akan menjadi prosesor data.

UU PDP

Berlakunya UU PDP telah memengaruhi hubungan hukum antara Operator Data Center dengan Pengendali Data Pribadi. Beberapa ketentuan dalam UU PDP yang harus diperhatikan adalah:

Pertama, Pasal 44 jo. Pasal 45 UU PDP terkait kewajiban Pengendali Data Pribadi untuk memusnahkan Data Pribadi saat telah habis masa retensinya berdasarkan jadwal retensi arsip.

Pemusnahan juga dimungkinkan jika terdapat permintaan dari Subjek Data Pribadi, tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

Terkait hal ini, Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.

Kedua, Pasal 47 UU PDP, di mana Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungiawaban dalam kewajiban pelaksanaan prinsip Pelindungan Data Pribadi .

Ketentuan di atas memang secara tegas menyatakan bahwa Pengendali Data Pribadi yang wajib bertanggung jawab atas pemrosesan Data Pribadi, dan pemenuhan kewajiban Pelindungan Data Pribadi.

Konsekuensinya tentu Pengendali Data akan meminta jaminan dan kepastian Data Center sebagai tempat penyimpanan data yang memiliki tingkat keamanan tinggi.

Kewajiban pemusnahan Data Pribadi ini juga berdampak pada keharusan Data Center untuk tidak lagi menyimpan data pribadi dimaksud agar tidak melanggar Pasal 67 UU PDP yang diancam sanksi pidana.

Ketiga, Pasal 16 ayat (2) huruf e menyatakan bahwa pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, dan pengubahan yang tidak sah.

Ketentuan ini juga akan berkorelasi dengan fungsi dan jaminan keamanan Data Center di mana Pengendali Data menyimpan datanya.

Pengendali Data Pribadi tentu ingin mematuhi UU PDP untuk melindungi Data Pribadi pelanggannya. Pengendali data pribadi tentu perlu mendapat jaminan Data Center.

Berdasarkan hal-hal di atas, maka Data Center dan penggunanya harus memperbaharui semua perjanjiannya dan memasukan hal-hal yang diatur dalam UU PDP termasuk hal pemusnahan data pribadi, sebagai bagian dari perjanjian mereka.

Kehadiran UU PDP memberikan dampak positif bagi pertumbuhan bisnis Data Center. Standar hukum perlindungan, dan detail mekanisme pemrosesan Data Pribadi, memberikan kepastian hukum tidak saja terkait hak dan kewajiban secara B2B antara Data Center dan Penggunanya, juga sanksi kepada setiap orang yang mengganggu kinerja dan keamanan penyimpanan data di negeri ini.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

error: Content is protected !!