Meningkatnya penggunaan teknologi dan informasi utamanya dalam akses internet memberikan dampak positif serta negatif yang tidak dapat dihindari salah satunya adalah kejahatan siber (cybercrime). Kasus yang terjadi pada Badan Penyelenggaraan Jaminan Sosial (BPJS) Kesehatan yang dikelola oleh pemerintah di Indonesia menjadi salah satu badan hukum milik negara yang terkena dampak dari kejahatan siber tersebut dengan terjadinya kebocoran data pribadi milik peserta. Penelitian ini bertujuan untuk mengkaji perlindungan hukum atas kebocoran data pribadi yang terjadi pada ratusan juta data yang terkumpul di Badan Penyelenggaraan Jaminan Sosial Kesehatan di Indonesia dan mengkaji penyelesaian sengketa apabila terjadi kebocoran data pribadi pada layanan jaminan sosial atas kesehatan. Penelitian ini merupakan penelitian hukum normatif yang bersifat preskriptif, sumber bahan hukum primer penelitian didapatkan dengan menelaah peraturan perundang-undangan dan sumber bahan hukum sekunder, selanjutnya dianalisis dengan model logika deduktif menggunakan teori perlindungan hukum M.Isnaeni dan teori penyelesaian sengketa Nurnaningsih Amrani. Hasil penelitian menunjukkan bahwa: Pertama, BPJS Kesehatan adalah pengendali data pribadi yang menghimpun data peserta dalam bentuk perjanjian (kebijakan privasi). Namun dalam pelaksanaannya, BPJS Kesehatan telah gagal melindungi data peserta yang mencakup informasi pribadi peserta, maka BPJS Kesehatan wajib untuk bertanggung jawab atas kerugian akibat bocornya data tersebut dan perlu meningkatkan keamanan server data serta perlu adanya aturan baru dalam perjanjian terkait kebocoran data untuk dapat melindungi hak-hak individu peserta sesuai dengan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Kedua, penyelesaian sengketa apabila terjadi kebocoran data yang melingkupi data-data pribadi peserta dapat diajukan melalui pengaduan pada website BPJS Kesehatan, maupun melalui gugatan hukum yang diselesaikan melalui jalur litigasi maupun non litigasi dengan cara mediasi maupun arbitrase. Kedepannya, peserta harus lebih berhati-hati karena kebocoran data dan kejahatan terhadap data pribadi bukan hanya dapat terjadi pada peserta BPJS Kesehatan saja, akan tetapi warga negara Indonesia yang menghimpun datanya pada pusat data.