Masuk tirto.id
tirto.id - Penyalahgunaan data pribadi penumpang oleh karyawan Kereta Api Indonesia (KAI) Services menjadi alarm pentingnya sistem perlindungan data pribadi konsumen. Lebih dari sekadar tindakan pelanggaran, kasus ini dinilai menjadi puncak gunung es dari buruknya pengelolaan data pribadi di Indonesia.
Pakar Keamanan Siber, Alfons Tanujaya, mengatakan penyalahgunaan data pribadi penumpang oleh karyawan KAI Service menjadi bukti bahwa standar pengelolaan dan perlindungan data pribadi di perusahaan sebesar PT KAI pun masih belum berjalan dengan optimal.
Alfons menyebut, PT KAI sebagai salah satu perusahaan pelopor penggunaan check-in berbasis wajah para penumpangnya, seharusnya sudah menerapkan standar perlindungan data pribadi berbasis ISO 27001, yakni sebuah standar internasional untuk sistem manajemen keamanan informasi.
“Ada pemberian hak akses yang jelas, ada pembatasan akses yang jelas bagi pengguna, ada penggolongan user yang jelas sehingga itu tidak bisa diakses sembarangan datanya. Lalu ada juga data-masking,” kata Alfons dalam keterangan tertulisnya, Sabtu (10/1/2025).
Namun, dengan kasus penyalahgunaan data pribadi yang dilakukan oleh seorang karyawan dari anak perusahaannya, KAI terbukti belum mampu melindungi data pribadi penumpangnya dengan baik.
Alfons menganggap kasus ini tidak bisa dianggap remeh dan menunjukkan kecerobohan PT KAI dalam mengelola data pribadi para penumpang yang sensitif. Para penumpang KAI juga disebutnya sangat dirugikan dengan kasus seperti ini, karena sedari awal sebenarnya mereka terpaksa harus memberikan data pribadinya agar bisa mengakses layanan KAI. Namun, data pribadi itu justru disalahgunakan oleh oknum yang tidak bertanggungjawab.
“Kalau tidak memberikan data, enggak bisa akses layanan. Ini dipaksa gitu loh. Nah, kamu udah maksa orang memberikan data, lalu memberikan layanan, lalu kamu menyebarkan dan tidak melakukan dengan baik. Itu kamu salah dan kamu wajib memberikan pertanggungjawaban,” tegasnya.
Oleh karenanya, Alfons meminta Kementerian Komunikasi dan Digital (Komdigi) serta Badan Siber dan Sandi Negara (BSSN) untuk menindak kasus ini dengan serius, salah satunya dengan memberikan hukuman kepada pihak PT KAI berdasarkan Undang-Undang (UU) Perlindungan Data Pribadi (PDP) yang berlaku.
“Supaya ada efek jera bagaimana kalau mengelola datanya tidak sesuai standar dan mengorbankan pemilik data itu harus mendapatkan sanksi supaya lembaga badan publik lain atau lembaga lain yang mengelola data jadi tahu ini dihukum nih,” ucapnya.
Selain itu, Komdigi dan BSSN juga diminta untuk melakukan audit secara menyeluruh terkait penerapan standar ISO 27001 oleh PT KAI. Alfons menambahkan, untuk mencegah kasus serupa, ke depannya PT KAI juga harus melakukan data-masking, atau penyamaran data-data yang sensitif.
“Alamatnya juga di-masking, [dikasih] bintang-bintang, atau nomor telepon di-masking juga. Lalu alamat email di-masking, sehingga itu tidak bisa disalahgunakan,” jelasnya.
Di sisi lain, Alfons juga mewajarkan apabila masyarakat kemudian menjadi lebih kritis dan khawatir sebelum memberikan data pribadinya kepada pihak lain. Hal ini seperti yang terjadi pada salah seorang pengguna media sosial Threads dengan akun bernama @adtsgr, di mana ia ditolak masuk ke salah satu pusat kebugaran karena menolak memberikan data biometriknya.
“Hari ini saya tidak diperbolehkan masuk FTL Gym karena belum registrasi biometric face ID untuk akses otomatis gym. Di T&C yang saya tandatangani, tidak ada kewajiban biometrik sebagai syarat akses masuk. Apakah perusahaan boleh mewajibkan biometrik sebagai satu-satunya cara akses layanan di Indonesia?” tulis akun tersebut pada unggahannya di media sosial Threads, Rabu (7/1/2026) lalu.
Menurut Alfons, pemberian data biometrik berpotensi untuk menimbulkan penyalahgunaan data pribadi. Terutama apabila pihak pengelola data tidak bisa memastikan apakah data itu akan dienkripsi dengan baik.
“Kalau misalnya pengelolanya tidak mengamankan datanya dengan baik, lalu data biometrik ini misalnya tidak dienkripsi dengan baik, lalu datanya bocor atau bisa dikopi, ya itu yang jadi korbannya itu yang pemilik datanya,” katanya.
Sehingga sebagai konsumen dan pemilik data, masyarakat disebutnya berhak untuk menolak memberikan data pribadinya ke pihak lain.
“Itu memang wajar bagi pelanggan gym, mereka berhak menolak,” pungkasnya.
Penulis: Naufal Majid
Editor: Siti Fatimah
