Data pribadi yang bersifat spesifik di antaranya meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Sementara data pribadi yang bersifat umum meliputi, nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Kedua, hal yang sangat prinsipil yang perlu dipahami pengelola adalah, setiap pemrosesan data pribadi harus memiliki dasar hukum (pasal 20 (2) UU PDP).
Dasar itu meliputi beberapa variabel, dari mulai persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 (satu) atau beberapa tujuan tertentu.
Tujuan tertentu ini lazimnya sesuai yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi, misalnya melalui kebijakan privasi.
Berikutnya dasar hukum dapat pula berupa pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian.
Hal lain yang dapat dijadikan dasar pemrosesan adalah pemenuhan kewajiban hukum dari Pengendali Data Pribadi, sesuai dengan ketentuan peraturan perundang-undangan.
Data pribadi juga dapat diproses dalam rangka pemenuhan pelindungan kepentingan vital Subjek Data Pribadi, misalnya dalam keadaan darurat untuk penyelamatan pasien, pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi, berdasarkan peraturan perundang-undangan.
Terakhir alternatif dasar pemrosesan data pribadi adalah, pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.
RS dan layanan Kesehatan dapat memproses data pribadi dengan salah satu atau lebih dasar pemrosesan sebagaimana diatur pada pasal 20 (2) UU PDP tersebut.
Pengelola harus memproses data secara aman dengan sistem cyber security terpercaya sesuai dengan ketentuan Pasal 35 UU PDP. Pasal ini menegaskan bahwa Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya.
Upaya ini dilakukan melalui penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan dan penentuan tingkat keamanan, dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi, dalam pemrosesannya.
Regulasi Pelindungan Data Pribadi bertujuan melindungi dan menjamin hak dasar warga negara, menjamin masyarakat mendapatkan pelayanan dari Korporasi, Badan Publik, Organisasi Internasional, dan Pemerintah, mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi, serta mendukung peningkatan daya saing industri dalam negeri.
Oleh karena itu, proteksi data pribadi harus menjadi prioritas. Pelanggaran yang dilakukan oleh peretas atau siapapun akan dikenakan sanksi termasuk sanksi pidana.
Berikut adalah hal-hal yang dilarang dalam UU PDP: