Digitalisasi di bidang kesehatan telah membawa manfaat besar dalam efektivitas pelayanan, namun di sisi lain menimbulkan risiko kebocoran data pasien yang semakin tinggi. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) lahir sebagai regulasi komprehensif yang mengatur pengendalian dan pemrosesan data pribadi, termasuk data sensitif berupa rekam medis pasien. Artikel ini membahas dua hal pokok, yaitu pengaturan pertanggungjawaban hukum rumah sakit atas pembukaan data pribadi pasien menurut UU PDP, serta kedudukan hukum rumah sakit sebagai pengendali data pasien. Penelitian ini menggunakan metode yuridis normatif dengan pendekatan perundang-undangan dan konseptual. Hasil pembahasan menunjukkan bahwa rumah sakit dapat dimintai pertanggungjawaban hukum dalam tiga ranah, yakni perdata, administratif, dan pidana, apabila terbukti lalai menjaga kerahasiaan data pasien. Selain itu, rumah sakit memiliki kedudukan sebagai pengendali data yang menuntut penerapan prinsip legalitas, akuntabilitas, dan keamanan dalam pemrosesan data.