Z raportu GIODO z 2015 roku dotyczącego realizowania zapisów ustawowych w zakresie ochrony danych osobowych można wysnuć niezbyt pochlebny wniosek. Podstawowym grzechem jest bałaganiarstwo, które powoduje, że dane medyczne są dostępne dla osób przypadkowych, np. dokumentacja leży na otwartej półce w pomieszczeniu zajmowanym przez sekretarki medyczne. Dostęp do niej mają wszystkie osoby, które przez całą dobę przewijają się przez dyżurkę.

Inne przewinienie polega na tym, że w archiwum szpitala nie prowadzi się rejestracji wypożyczania historii chorób. Nie wiadomo kiedy, kto, komu ani jakie dokumenty udostępnił. Nie wiadomo ponadto, czy zostały one zwrócone. Klucze do pomieszczeń, w których przechowywana jest ta dokumentacja, personel pozostawia po pracy w drzwiach, aby swobodnie mogły wejść do nich osoby sprzątające. O procedurze postępowania z kluczami do pokojów, w których znajdują się zbiory danych osobowych, niestety nie pomyślano.

W wielu szpitalach i ośrodkach zdrowia zapomniano także o innych podstawowych procedurach, takich jak czujniki przeciwpożarowe, polityka bezpieczeństwa czy nadawanie upoważnień do przetwarzania danych osobowych. W niektórych szpitalach nadgorliwie upoważniono osoby sprzątające lub portierów, którzy nie przetwarzają danych osobowych. Należy również pamiętać, że oprócz ogólnych przepisów ustawy o ochronie danych osobowych w przypadku dokumentacji medycznej dochodzą jeszcze przepisy o tajemnicy lekarskiej, co znacznie ogranicza krąg osób mających prawo do dostępu do takich zbiorów. Efektem kontroli GIODO w szpitalach jest m.in. zniknięcie kart pacjentów, które kiedyś były zawieszone na szpitalnych łóżkach. GIODO zakwestionował zasadność stosowania kart zawierających dane osobowe (imię i nazwisko, numer PESEL), umieszczonych w sposób umożliwiający zapoznanie się z ich treścią osobom do tego nieuprawnionym. Powołał się przy tym na przepisy Ustawy o ochronie danych osobowych oraz innych ustaw, spośród których należy wymienić przede wszystkim Ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta (przepisy art. 13 i 14). Już w 2012 roku minister zdrowia zaapelował do dyrektorów szpitali, by strzegli w tym zakresie prywatności pacjentów. Zaproponował rozwiązanie kompromisowe, jakim mogłyby być dwustronne karty gorączkowe.