Przetwarzane przez Regionalne Centrum Zdrowia – Podmiot Wykonujący Działalność Leczniczą (PWDL) dane osobowe Pacjenta muszą są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów w jakich są przetwarzane.
Z zastrzeżeniem pkt powyżej, PWDL przetwarzając dane osobowe w celach zdrowotnych może potencjalnie przetwarzać zakres danych osobowych wykraczający poza minimalny zakres danych obowiązkowo zawartych w dokumentacji medycznej zgodnie z przepisami prawa polskiego (patrz Art. 25 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Na przykład zazwyczaj adekwatne do celów zdrowotnych jest gromadzenie danych takich jak e-mail, czy telefon mimo że nie wchodzą w minimalny, wymagany ustawowo zakres danych zawartych w dokumentacji medycznej. Art. 9 ust. 2 lit h stanowi podstawę przetwarzania danych wrażliwych jak również danych „zwykłych” im towarzyszących. Zgodnie z motywem 35 preambuły RODO, do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej. Dane dotyczące zdrowia powinny być więc rozumiane kontekstowo, jako wszelkie dane osobowe przetwarzane w związku z celami zdrowotnymi.