Aksi ‘Ngulik’ Data Penumpang KAI: Termasuk Pelanggaran Serius UU PDP

Uzone.id— Penyalahgunaan datapribadi terjadi di lingkungan perusahaan transportasi umum KAI Services.Peristiwa ini sempat viral di media sosial X dimana oknum karyawan KAI didugamembocorkan data pribadi penumpang demi tujuan pribadi mereka.

Menanggapi hal ini, Alfons Tanujaya selaku pengamat siberdari Vaksincom mengungkap bahwa kasus ini menjadi puncak gunung es daripengelolaan data yang tidak sesuai dengan standar sehingga korbannya adalahmasyarakat lain.

“Anda (KAI) tidak proaktif dan itu puncak gunung es. Kenapa?Karena hal ini menunjukkan pengelolaan data yang sangat tidak standar. Dapatdikatakan ceroboh dan mengorbankan pemilik data,” katanya dalam keterangan yangditerima Uzone.id, Sabtu, (10/01).

Alfons melanjutkan bahwa hasil dari pengelolaan data yang‘amburadul’ ini dapat menyebabkan data-data sensitif dengan mudah diaksessiapapun.

“Jadi karyawan atau siapapun yang bertugas di KAI bisamengakses semua data dengan bebas dan menganggap data itu haknya. Menganggapitu berkah yang tinggal dieksploitasi,” tegasnya.

Menurutnya, kasus ini merupakan kasus pengelolaan data yangtidak bertanggung jawab karena menyangkut kepercayaan penumpang untuk menyimpandata mereka ke pihak perusahaan. Bahkan, ini merupakan pelanggaran serius UUPDP.

Ia juga meminta Komdigi dan juga BSSN untuk turun tangandalam kasus ini untuk melakukan audit menyeluruh dan mengecek kepatuhan dalamstandar pengelolaan data (minimal ISO 27001).

“Kalau misalnya tidak memenuhi, dibenerin. Itu yang palingpenting. Kita nggak penting menghukum. Tapi kalau bertahun-tahun nggak pernahdilaksanakan dan tidak dijalankan dengan baik, ya berikan sanksi,” tegasnya.

KAI sendiri sudah memberikan sanksi tegas bagi karyawan yangterlibat tapi Alfons menegaskan bahwa KAI sebagai pengelola data pun dinilaiwajib ikut bertanggung jawab, karena masyarakat seakan dipaksa menyerahkan datauntuk bisa menggunakan layanan mereka.

“Bukan mempercayakan datanya lebih tepatnya dipaksa untukmemberikan datanya jika ingin mengakses layanan KAI. Jadi bukan cuman KAImenghukum oknum lalu selesai, enggak. Tetapi sebaliknya KAI juga harusdisanksi.” kata Alfons.

Ia memberi saran bagi berbagai pihak yang mendapatkepercayaan untuk mengelola data pengguna untuk menerapkan beberapa hal yangmenjadi standar.

“Standar seperti apa yang harus diterapkan? Contohnya, harusada log yang jelas atas data yang dikelola. Lalu siapa yang mengakses, kapandiaksesnya, data apa yang diakses. Karena ISO-nya jalan, log-nya jalan,ketahuan langsung ini siapa yang akses data ini,” ujarnya.

Kasus penyalahgunaan data di KAI Services

Pada 6 Januari 2026 lalu, seorang pengguna di X menceritakanbahwa dirinya menjadi korban penyalahgunaan data, dimana data diri berupa namahingga nomor HP yang dimasukkan pada sistem KAI ‘diberikan’ kepada penumpanglain.

Dalam postingan tersebut, dirinya menceritakan pengalamansaat menjadi penumpang kereta KAI Services, dirinya duduk bersama penumpanglaki-laki.

“Dari awal perjalanan yang bersangkutan ngajak ngobrolnonstop, aku cuma jawab seadanya tanpa tanya balik apa pun karena memang bikingak nyaman aja cara ngobrolnya,” kata korban.

Kejanggalan kemudian dimulai ketika penumpang laki-lakitersebut mengetahui nama depan korban, lalu tanggal lahir hingga pada akhirnyamendapat nomor WhatsApp korban.

“Ternyata entah bagaimana masnya ini bisa akses dataku diKAI. aku langsung confront dan bilang kenapa buka-buka data pribadi, apalagisbg bahan obrolan,” tambah korban.

Usut punya usut, penumpang lelaki tersebut merupakan pekerjadi KAI juga dan bisa mengakses data dari penumpang lain. 

Kejadian ini merupakan satu dari beberapa kasus serupa yangterjadi pada korban lainnya, mereka mengaku bahwa mereka menjadi korbanpenumpang lain yang mengorek sistem KAI hanya untuk kenalan.