Przetwarzanie danych osobowych pacjentów przez podmioty wykonujące działalność leczniczą nie jest uzależnione od  zgody osób, których dane są przetwarzane. Jak wynika bowiem z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie tych danych jest dopuszczalne m.in. gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zgodnie zaś z art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta podmiot udzielający świadczeń zobowiązany jest do prowadzenia dokumentacji medycznej, która stosownie do art. 25 tej ustawy zawiera co najmniej:

  1. oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości:
    1. nazwisko i imię (imiona),
    2. datę urodzenia,
    3. oznaczenie płci,
    4. adres miejsca zamieszkania,
    5. numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość,
    6. w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody – nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania;
  2. oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych;
  3. opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych;
  4. datę sporządzenia.

Stosownie do art. 29 w/w ustawy dokumentacja medyczna podlega przechowywaniu przez okres 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, i przez ten okres żadne dane, w tym dane identyfikujące pacjenta, nie mogą być z nie usunięte. Zgodnie bowiem z § 4 ust.3 rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania wpis dokonany w dokumentacji nie może być z niej usunięty, jedynie wówczas, gdy został dokonany błędnie, skreśla się go i zamieszcza adnotację o przyczynie błędu oraz datę i oznaczenie osoby dokonującej adnotacji, zgodnie z § 10 ust. 1 pkt 3.

Reasumując, przetwarzanie danych osobowych pacjenta w zakresie niezbędnym do prowadzenia dokumentacji medycznej jest obowiązkiem podmiotu prowadzącego działalność leczniczą, i jako takie nie jest zależne od zgody pacjenta ani też dane te nie mogą zostać usunięte na wniosek pacjenta do czasu upływu ustawowych terminów przechowywania dokumentacji medycznej.