PT Reska Multi Usaha, anak perusahaan PT Kereta Api Indonesia (KAI) yang mengelola layanan pendukung perkeretaapian, menyampaikan permohonan maaf resmi dan menempuh jalur damai menyusul insiden penyalahgunaan data pribadi seorang penumpang oleh oknum karyawannya. Kasus ini mencuat ke publik setelah korban membagikan pengalamannya melalui media sosial X pada 9 Januari 2026, memicu reaksi keras dari masyarakat mengenai kerentanan data konsumen.
Insiden bermula ketika seorang penumpang perempuan mengungkapkan bahwa data nomor telepon pribadinya diakses dan disalahgunakan oleh seorang pria yang kemudian diketahui sebagai karyawan KAI Services. Pelaku, yang sebelumnya duduk bersebelahan dengan korban di dalam kereta, secara tidak sah memperoleh informasi pribadi korban dan menghubungi via pesan ponsel tanpa pertukaran kontak sebelumnya. Manager Corporate Communication KAI Services, Nyoman Suardhita, pada 8 Januari 2026, menegaskan bahwa tindakan tersebut merupakan pelanggaran berat terhadap standar operasional prosedur (SOP) dan kode etik perusahaan, serta "sama sekali tidak mencerminkan nilai-nilai perusahaan dan merupakan pelanggaran privasi yang tidak dapat kami toleransi."
Menanggapi insiden yang viral tersebut, KAI Services segera mengambil langkah internal. Perusahaan telah menghubungi korban secara langsung untuk menyampaikan permohonan maaf dan memastikan langkah-langkah penyelesaian yang diperlukan. Oknum karyawan yang bersangkutan telah dipanggil dan menjalani proses pemeriksaan intensif. Manajemen berjanji akan memberikan sanksi tegas sesuai aturan perusahaan untuk menciptakan efek jera. KAI Services juga melakukan evaluasi menyeluruh terhadap sistem akses data internal.
Kasus penyalahgunaan data pribadi ini bukan yang pertama kali menerpa entitas di bawah naungan KAI Group. Pada tahun 2024, PT KAI Commuter menghadapi dua dugaan kebocoran data pengguna dalam enam bulan, salah satunya melibatkan penjualan 2 juta baris data di dark web pada Juli 2024. Sebelumnya, pada Januari 2024, PT KAI juga diduga menjadi sasaran serangan ransomware oleh geng "Stormous" yang mengklaim telah mengakses data sensitif karyawan dan pelanggan. Meskipun Vice President Public Relations PT KAI, Joni Martinus, saat itu menyatakan belum ada bukti konkret kebocoran, perusahaan tetap melakukan investigasi mendalam.
Rentetan insiden ini menyoroti tantangan berkelanjutan dalam menjaga keamanan data di tubuh KAI Group, meskipun perusahaan mengklaim telah menerapkan standar keamanan data canggih dan berkomitmen terhadap kepatuhan regulasi. Executive Vice President Informasi dan Teknologi KAI, Albertus Indarko Wiyogo, pada Januari 2024 menyatakan bahwa sistem tiket KAI menggunakan teknologi cloud@customer bekerja sama dengan Oracle, dengan seluruh data pelanggan tersimpan aman di pusat data KAI. Namun, berulangnya kasus, dari peretasan eksternal hingga penyalahgunaan internal, menimbulkan pertanyaan serius mengenai efektivitas implementasi kebijakan dan sistem perlindungan data.
Implikasi jangka panjang dari insiden semacam ini melampaui sanksi internal dan permintaan maaf. Kepercayaan publik, yang merupakan aset tak ternilai bagi penyedia layanan transportasi, dapat terkikis secara signifikan. Dalam lanskap regulasi yang semakin ketat dengan berlakunya Undang-Undang Pelindungan Data Pribadi (UU PDP) di Indonesia, perusahaan memiliki tanggung jawab hukum yang besar untuk melindungi informasi konsumen. Pelanggaran, baik disengaja maupun karena kelalaian, dapat berujung pada konsekuensi hukum dan denda substansial. Vice President Corporate Communication KAI, Anne Purba, pada 8 Januari 2026, menegaskan kembali komitmen KAI Group dalam menjaga keamanan data pribadi dan kepercayaan pelanggan, serta memastikan setiap dugaan pelanggaran diproses sesuai ketentuan hukum.
Kasus KAI Services ini menjadi pengingat kritis bagi seluruh entitas bisnis di Indonesia tentang urgensi penguatan tata kelola data. Ini mencakup tidak hanya investasi pada teknologi keamanan siber, tetapi juga pelatihan karyawan secara berkala mengenai etika dan prosedur penanganan data pribadi, serta penegakan disiplin yang konsisten untuk setiap pelanggaran. Tanpa strategi komprehensif yang kuat, insiden serupa berpotensi terulang, merusak reputasi perusahaan dan menimbulkan kerugian bagi individu yang data pribadinya disalahgunakan.
