Dane dotyczące stanu zdrowia są ściśle związane ze sferą prywatności człowieka. Ich ujawnienie może spowodować uczucie wstydu, a nawet być przejawem dyskryminacji.
Ochrona danych osobowych wynika przede wszystkim z Konstytucji RP. W art. 47 gwarantuje obywatelom prawo do prywatności, a w art. 51 prawo do ochrony dotyczących jej informacji.

Szczególnie chroniona kategoria

Znacznie szerzej ochrona jest uregulowana w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.). Dane te są traktowane jako szczególnie chroniona kategoria. Zgodnie z art. 6 ust. 1 tej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
W tym drugim przypadku chodzi o taką osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Danymi osobowymi nie są jednak pojedyncze informacje o dużym stopniu ogólności (np. sam adres osoby), ale ich zestawienie.
Stosunkowo precyzyjnie określony został sposób postępowania z danymi medycznymi. Artykuł 27 wspomnianej ustawy zabrania przetwarzania danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, co stanowi katalog zamknięty w sferze danych medycznych. Ustawodawca przyjął generalną zasadę niedopuszczalności swobodnego przetwarzania wymienionych danych. Jednak są wyjątki od tej zasady (art. 27 ust. 2).

Przetwarzanie danych

Dopuszczalne jest m.in. przetwarzanie danych osobowych, jeśli osoba, której dane dotyczą, wyraziła na to zgodę na piśmie, gdy jest to niezbędne do ochrony jej żywotnych interesów lub jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów. Ponadto przetwarzanie to jest możliwe, jeśli dotyczy danych, które są niezbędne do dochodzenia praw przed sądem lub które zostały podane do wiadomości publicznej przez zainteresowaną osobę albo też zezwala na to przepis szczególny innej ustawy (np. ustawa o Policji).

Dokumentacja medyczna

Przez pojęcie przetwarzania danych należy rozumieć wszelkie czynności wykonywane na danych osobowych (m.in. zbieranie, utrwalenie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych). Jedną z form przetwarzania tych danych jest prowadzenie dokumentacji medycznej. Zgodnie z art. 18 ust. 1 i 2 ustawy z 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (t.j. Dz.U. z 2007 r. nr 14, poz. 89 z późn. zm.), ZOZ jest zobowiązany prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu oraz zapewnia ochronę danych zawartych w tej dokumentacji.
Dokumentacja medyczna zawiera dane osobowe pacjenta, w tym dane o jego stanie zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym także ich udostępnianie, może nastąpić tylko w przypadkach wymienionych w art. 27 ust. 2 ustawy o ochronie danych osobowych.
O udostępnianiu dokumentacji medycznej stanowi przepis art. 18 ust. 3 i 4 ustawy o ZOZ, który wymienia przypadki zgodnego z prawem przekazania informacji zawartej w tej dokumentacji. Na przykład podmiotami uprawnionymi są: pacjent, ZOZ, organy i instytucje państwowe (wskazane w ustawie) oraz ZUS.

Ustawowe sankcje

Niezgodne z prawem przetwarzania medycznych danych osobowych jest karalne (art. 49-54 ustawy o ochronie danych osobowych). Artykuł 49 przewiduje zastosowanie kary grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech. Pomimo regulacji dotyczących ochrony medycznych danych osobowych w ZOZ zdarzają się sytuacje, w których dochodzi do naruszenia przepisów. Przykładem może być przeprowadzanie wywiadów i badań pacjentów w wieloosobowych salach, przechowywanie dokumentacji medycznej bez zabezpieczenia czy umieszczanie karty pacjenta w miejscu, w którym każdy może się z nią zapoznać