Na základe nariadenia EÚ a Rady č. 2016/679 (ďalej len GDPR) čl. 13
1. Prevádzkovateľ

Prevádzkovateľ v informačnom systéme spracúva osobné údaje dotknutej osoby – pacienta za účelom poskytovania zdravotnej starostlivosti. OÚ sú spracúvané bez súhlasu dotknutej osoby na právnom základe v zmysle GDPR čl. 6 ods. 1 písm. b) v spojitosti so:
Zákonom č. 576/2004 Z.z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákonom č. 362/2011 Z.z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a zákonom č. 581/2004 Z.z. o zdravotných poisťovniach, dohľade nad zdravotnou starostlivosťou a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a zákonom č. 153/2013 Z.z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Prevádzkovateľ poskutuje osobné údaje dotknutej osoby nasledovným príjemcom: zdravotná poisťovňa dotknutej osoby, iný poskytovatelia zdravotnej starostlivosti poskytujúci zdravotnú starostlivosť dotknutej osobe, Národné centrum zdravotníckych informácií, osoby vymenované v § 24 ods. 4 a § 25 ods. 1 zákona č. 576/2004 Z.z.

V zmysle § 22 ods. 2 zákona č. 576/2004 Z.z. prevádzkovateľ uchováva osobné údaje dotknutej osoby 20 rokov po smrti dotknutej osoby alebo aspoň 20 rokov od posledného poskytnutia zdravotnej starostlivosti dotknutej osobe.

Prevádzkovateľ má prístup k OÚ pacientov uchovávaných v Národnom zdravotnom informačnom systéme na základe Zákona č. 153/2013 Z.z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení.

Prevádzkovateľ neuskutočňuje prenos osobných údajov do tretích krajín.
Práva dotknutých osôb (pacientov) podľa nariadenia EÚ 2016/679:
Právo požadovať od poskytovateľa prístup k osobným údajom týkajúcich sa pacienta – pacient má právo požiadať prevádzkovateľa o informácie ohľadom typu a rozsahu uchovávaných OÚ o pacientovi. Pacient má tiež právo získať výpis OÚ, ktoré prevádzkovateľ o ňom uchováva.
Právo na opravu osobných údajov – Pacient má právo požadovať opravu OÚ, ktoré prevádzkovateľ uchováva. Tento má povinnosť ich bezodkladne opraviť – pokiaľ je to technicky možné.
Právo na vymazanie osobných údajov – Pacient nemá právo na zabudnutie/vymazanie OÚ, ktoré o ňom prevádzkovateľ uchováva. Toto právo sa nevzťahuje na údaje, ktoré prevádzkovateľ uchováva na základe zákonnej povinnosti.
Právo na obmedzenie spracúvania osobných údajov – v prípade, že spracúvanie údajov je protizákonné alebo prevádzkovateľ už nepotrebuje OÚ na účely spracúvania, ale potrebuje ich pacient na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov má pacient právo žiadať obmedzenie spracúvania takýchto údajov.
Právo namietať spracúvanie osobných údajov – pacient má právo namietať spracovanie OÚ zo strany prevádzkovateľa.
Právo na prenosnosť osobných údajov – pacient má právo na prenosnosť svojich údajov k inému prevádzkovateľovi. Tento ich tak musí poskytnúť pacientovi v štruktúrovanom a bežne používanom formáte. Pacient má následne právo tieto údaje preniesť k inému prevádzkovateľovi. Priamy prenos od jedného prevádzkovateľa k druhému nie je technicky možný.
Odvolanie súhlasu so spracovaním osobných údajov – pacient má právo kedykoľvek odvolať súhlas so spracovaním OÚ, ktorý poskytol prevádzkovateľovi. Toto odvolanie musí byť vykonané písomne.

V prípade upretia týchto práv má pacient právo podať sťažnosť na úrade pre ochranu osobných údajov Slovenskej republiky.
Podrobnosti môže dotknutá osoba získať nahliadnutím do bezpečnostnej dokumentácie prevádzkovateľa.