Na przetwarzanie danych pacjenta w celach marketingowych przez niepubliczny zakład opieki zdrowotnej konieczna jest pisemna zgoda pacjenta.
W opisanej sytuacji mamy do czynienia z przetwarzaniem danych osobowych pacjenta, jako klienta niepublicznego zakładu opieki zdrowotnej.
Mimo iż, kwestia dotyczy legalności przetwarzania jedynie danych teleadresowych pacjentów, a nie danych o ich stanie zdrowia, dane adresowe i telefoniczne uzyskane zostały przez nzoz, w związku z udzielaniem świadczeń zdrowotnych i pochodzą z dokumentacji medycznej, a zatem przysługuje im szczególna ochrona prawna.
Wynika ona zarówno z ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926) - art. 27 ust. 1, jak i z ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (Dz. U. Nr 91, poz. 408) - art. 18 ust. 2
Art. 27 ust. 1 ustawy o ochronie danych osobowych zabrania przetwarzania danych dotyczących stanu zdrowia. Jest to jednak dopuszczalne prawnie po uzyskaniu pisemnej zgody osoby, której dane dotyczą - art. 27 ust. 2 ustawy o ochronie danych osobowych.
Taką zgodę winien uzyskać od swych klientów niepubliczny zakład opieki zdrowotnej.
Ustawa o ochronie danych osobowych dopuszcza wprawdzie możliwość przetwarzania danych do realizacji prawnie usprawiedliwionych celów, do których w świetle ustawy należy marketing bezpośredni własnych produktów lub usług administratora danych. - art. 23 ust. 4, Art. 23 ust. 1 pkt 5) (17)
Przetwarzanie to jednak nie może jednak naruszać praw i wolności osoby, której dane dotyczą. W tej sytuacji prawnej, do przetwarzania danych medycznych należy więc zastosować przepisy szczególne, nakazujące uzyskanie zgody na przetwarzanie danych, od osoby, o której dane chodzi.