Proces pozyskiwania i przetwarzania danych osobowych nabiera szczególnego charakteru w przypadku, gdy dotyczy branży medycznej. Dzieje się tak z kilku powodów. Przede wszystkim historia medyczna pacjenta, stanowiąca dane podlegające rozporządzeniu o ochronie danych osobowych, jest niezbędna w procesie diagnostycznym. Placówki medyczne nie są w stanie prawidłowo funkcjonować nie mając dostępu do szczegółowych danych pacjenta. Naruszenia w zakresie przetwarzania danych mogłyby spowodować błędną diagnozę i zagrożenie dla zdrowia pacjenta. Po drugie, dokumentacja medyczna często zawiera dane wrażliwe, których ujawnienia pacjenci sobie nie życzą. Przedsiębiorcy oraz administratorzy danych działający w branży ochrony zdrowia ponoszą w związku z tym szczególną odpowiedzialność, a konsekwencje naruszeń mogą być szczególnie niebezpieczne.
Obowiązki firm medycznych wynikające z RODO dotyczą nie tylko pacjentów, ale również wszystkich kontrahentów, którzy są osobami fizycznymi. Szczególnej ochronie podlegają więc imienne dokumenty finansowe, umowy czy masowa korespondencja, zarówno w formie tradycyjnej jak i elektronicznej. Podobnie jak w przypadku firm z innych branż jednym z najważniejszych obowiązków jest dokonanie oceny ryzyka związanego z pozyskiwaniem i przetwarzaniem danych osobowych. Ponadto należy w czytelny sposób poinformować pacjentów o polityce firmy w tym zakresie. Celowe może być wywieszenie stosownego dokumentu na widocznym miejscu, na przykład w recepcji firmy.
Pacjenci, oraz inni kontrahenci powinni być poinformowani o prawie dostępu do danych, prawie do ich poprawiania, usunięcia bądź ograniczenia przetwarzania. Pacjent powinien wiedzieć, w jakiej sytuacji podanie danych jest obowiązkowe jako konsekwencja przepisów prawa lub kiedy jest warunkiem umownym wykonania usługi. W niektórych przypadkach, na przykład w przypadku danych niezbędnych dla rozliczeń z Narodowym Funduszem Zdrowia, podanie danych może być obowiązkowe na podstawie innych przepisów. W takiej sytuacji nie mają zastosowania przepisy RODO.
RODO zniosło uciążliwy dla przedsiębiorców obowiązek rejestracji zbiorów danych w Urzędzie Ochrony Danych Osobowych, jednak w wypadku gdy przetwarzaniu polegają dane wrażliwe, powstał obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Taki rejestr powinien zawierać dane kontaktowe administratora, opis celów przetwarzania danych, opis kategorii osób, których dane dotyczą oraz którym mogą być ujawniane, planowany termin usunięcia danych i opis zastosowanych środków bezpieczeństwa.
Dyskusyjna jest kwestia konieczności wyznaczenia wymaganego przez RODO inspektora danych osobowych. Wymagane jest ono w przypadku placówek medycznych, które zajmują się przetwarzaniem danych osobowych na dużą skalę. Generalnie przyjmuje się, że niewielkie przychodnie nie mają takiego obowiązku. Z kolei w przypadku szpitali i innych dużych placówek, powołanie inspektora jest niezbędne.
W przypadku wątpliwości najlepiej skorzystać z usług firmy zewnętrznej. Koszty takiej usługi są niewielkie. Na przykład firma Aegis Security w jej ramach oferuje kompleksowy audyt prawny i informatyczny, wymaganą przez przepisy analizę ryzyka; wdrożenie spersonalizowanej wewnętrznej i zewnętrznej dokumentacji, szkolenia pracowników oraz przejęcie obowiązków inspektora ochrony danych.