Dane dotyczące stanu zdrowia stanowią szczególną kategorię danych osobowych. Związane są one ściśle ze sferą prywatności człowieka, a ich ujawnienie może spowodować u osoby uczucie wstydu, a nawet prowadzić do dyskryminacji osoby.
Ochrona danych osobowych wynika przede wszystkim z Konstytucji RP. Mianowicie w art. 47 gwarantuje obywatelom prawo do prywatności, a w art. 51 prawo do ochrony dotyczących jej informacji.
Znacznie szerzej ochrona jest uregulowana w Ustawie o ochronie danych osobowych (u.o.d.o.). Dane te są traktowane jako szczególnie chroniona kategoria danych osobowych. Zgodnie z art. 6 ust. 1 u.o.d.o. za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przy czym, osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 u.o.d.o.). Danymi osobowymi nie są jednak pojedyncze informacje o dużym stopniu ogólności (jak np. sam adres osoby), ale ich zestawienie. Stosunkowo precyzyjnie określony został sposób postępowania z danymi medycznymi. Art. 27 u.o.d.o. zabrania przetwarzania danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, co stanowi katalog zamknięty w sferze danych medycznych. Ustawodawca przyjął generalną zasadę niedopuszczalności swobodnego przetwarzania wskazanych powyżej danych. Jednakże są wyjątki od tej zasady (art. 27 ust. 2 u.o.d.o.). Dopuszczalne jest m.in. przetwarzanie danych osobowych gdy osoba, której dane dotyczą wyraziła na to zgodę na piśmie, gdy jest to niezbędne do ochrony żywotnych interesów tej osoby lub jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, również gdy dotyczy danych, które są niezbędne do dochodzenia praw przed sądem lub które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą albo też zezwala na to przepis szczególny innej ustawy (np. Ustawa o policji).
Pod pojęciem przetwarzania danych należy rozumieć wszelkie czynności wykonywane na danych osobowych (m.in. zbieranie, utrwalenie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych). Jedną z form przetwarzania danych osobowych jest prowadzenie dokumentacji medycznej. Zgodnie z art. 18 ust. 1 i 2 Ustawy o zakładach opieki zdrowotnej (u.z.o.z.) zakład opieki zdrowotnej jest zobowiązany prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu oraz zapewnia ochronę danych zawartych w tej dokumentacji. Dokumentacja medyczna zawiera dane osobowe pacjenta, w tym dane o jego stanie zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym także ich udostępnianie, może mieć miejsce tylko w przypadkach wymienionych w art. 27 ust. 2 u.o.d.o. O udostępnianiu dokumentacji medycznej stanowi przepis art. 18 ust. 3 i 4 u.z.o.z., który wymienia przypadki zgodnego z prawem przekazania informacji objętych tą dokumentacją. Dla przykładu jako podmioty uprawnione można tu podać: samego pacjenta, ZOZ, organy i instytucje państwowe (wskazane w ustawie) oraz zakład ubezpieczeń. U.o.d.o. w art. 49-54 zawiera również przepisy karne, które przewidują karalność niezgodnego z prawem przetwarzania medycznych danych osobowych. Art. 49 przewiduje w tej materii zastosowanie kary grzywny, ograniczenia wolności albo pozbawienia wolności do lat 3. Pomimo regulacji dotyczących ochrony medycznych danych osobowych, w Zakładach Opieki Zdrowotnej często zdarzają się sytuacje, w których dochodzi do naruszenie przepisów. Przykładowo można podać przeprowadzanie wywiadów i badań pacjentów w wieloosobowych salach, przechowywanie dokumentacji medycznej bez zabezpieczenia czy umieszczanie karty pacjenta w miejscu, w którym każdy może się z nią zapoznać.