Aksi ‘Ngulik’ Data Penumpang KAI: Termasuk Pelanggaran Serius UU PDP
Uzone.id — Penyalahgunaan data
pribadi terjadi di lingkungan perusahaan transportasi umum KAI Services.
Peristiwa ini sempat viral di media sosial X dimana oknum karyawan KAI diduga
membocorkan data pribadi penumpang demi tujuan pribadi mereka.
Menanggapi hal ini, Alfons Tanujaya selaku pengamat siber
dari Vaksincom mengungkap bahwa kasus ini menjadi puncak gunung es dari
pengelolaan data yang tidak sesuai dengan standar sehingga korbannya adalah
masyarakat lain.
“Anda (KAI) tidak proaktif dan itu puncak gunung es. Kenapa? Karena hal ini menunjukkan pengelolaan data yang sangat tidak standar. Dapat dikatakan ceroboh dan mengorbankan pemilik data,” katanya dalam keterangan yang diterima Uzone.id, Sabtu, (10/01).
Alfons melanjutkan bahwa hasil dari pengelolaan data yang
‘amburadul’ ini dapat menyebabkan data-data sensitif dengan mudah diakses
siapapun.
“Jadi karyawan atau siapapun yang bertugas di KAI bisa
mengakses semua data dengan bebas dan menganggap data itu haknya. Menganggap
itu berkah yang tinggal dieksploitasi,” tegasnya.
Menurutnya, kasus ini merupakan kasus pengelolaan data yang
tidak bertanggung jawab karena menyangkut kepercayaan penumpang untuk menyimpan
data mereka ke pihak perusahaan. Bahkan, ini merupakan pelanggaran serius UU
PDP.
Ia juga meminta Komdigi dan juga BSSN untuk turun tangan
dalam kasus ini untuk melakukan audit menyeluruh dan mengecek kepatuhan dalam
standar pengelolaan data (minimal ISO 27001).
“Kalau misalnya tidak memenuhi, dibenerin. Itu yang paling
penting. Kita nggak penting menghukum. Tapi kalau bertahun-tahun nggak pernah
dilaksanakan dan tidak dijalankan dengan baik, ya berikan sanksi,” tegasnya.
KAI sendiri sudah memberikan sanksi tegas bagi karyawan yang terlibat tapi Alfons menegaskan bahwa KAI sebagai pengelola data pun dinilai wajib ikut bertanggung jawab, karena masyarakat seakan dipaksa menyerahkan data untuk bisa menggunakan layanan mereka.
“Bukan mempercayakan datanya lebih tepatnya dipaksa untuk
memberikan datanya jika ingin mengakses layanan KAI. Jadi bukan cuman KAI
menghukum oknum lalu selesai, enggak. Tetapi sebaliknya KAI juga harus
disanksi.” kata Alfons.
Ia memberi saran bagi berbagai pihak yang mendapat
kepercayaan untuk mengelola data pengguna untuk menerapkan beberapa hal yang
menjadi standar.
“Standar seperti apa yang harus diterapkan? Contohnya, harus
ada log yang jelas atas data yang dikelola. Lalu siapa yang mengakses, kapan
diaksesnya, data apa yang diakses. Karena ISO-nya jalan, log-nya jalan,
ketahuan langsung ini siapa yang akses data ini,” ujarnya.
Kasus penyalahgunaan data di KAI Services
Pada 6 Januari 2026 lalu, seorang pengguna di X menceritakan
bahwa dirinya menjadi korban penyalahgunaan data, dimana data diri berupa nama
hingga nomor HP yang dimasukkan pada sistem KAI ‘diberikan’ kepada penumpang
lain.
Dalam postingan tersebut, dirinya menceritakan pengalaman
saat menjadi penumpang kereta KAI Services, dirinya duduk bersama penumpang
laki-laki.
“Dari awal perjalanan yang bersangkutan ngajak ngobrol
nonstop, aku cuma jawab seadanya tanpa tanya balik apa pun karena memang bikin
gak nyaman aja cara ngobrolnya,” kata korban.
Kejanggalan kemudian dimulai ketika penumpang laki-laki
tersebut mengetahui nama depan korban, lalu tanggal lahir hingga pada akhirnya
mendapat nomor WhatsApp korban.
“Ternyata entah bagaimana masnya ini bisa akses dataku di
KAI. aku langsung confront dan bilang kenapa buka-buka data pribadi, apalagi
sbg bahan obrolan,” tambah korban.
Usut punya usut, penumpang lelaki tersebut merupakan pekerja
di KAI juga dan bisa mengakses data dari penumpang lain.
Kejadian ini merupakan satu dari beberapa kasus serupa yang
terjadi pada korban lainnya, mereka mengaku bahwa mereka menjadi korban
penumpang lain yang mengorek sistem KAI hanya untuk kenalan.