No jūsu jautājuma konteksta neizriet informācija, kādus personas datus iestādes par personu apstrādā vai kas tie ir par datiem un kāda veida informācija tiek apstrādāta. Katrā ziņā personas datu apstrādei ir nepieciešama personas piekrišana, kā to nosaka Eiropas Parlaments un Padomes regula (ES) 2016/679. Ja personas datus apstrādā ārstniecības iestāde, tad šie pēc savas būtības ir sensitīvi dati saistībā ar personas pamattiesībām un brīvībām, un šie dati ir īpaši aizsargājami un neizpaužami (regulas 51. apsvērums).

Jūsu jautājuma kontekstā ir jāņem vērā regulas principi, proti, personas datu apstrāde būtu jāveido tā, lai šī apstrāde kalpotu cilvēkam. Fiziskām personām būtu jāspēj kontrolēt savus personas datus (regulas 4. un 7. apsvērums). Iestādēm dati jāvāc konkrētiem, skaidriem un leģitīmiem nolūkiem, un to turpmāko apstrādi nevar veikt ar minētajiem nolūkiem nesavietojamā veidā. Ja dati tiek glabāti veidā, kas pieļauj identifikāciju, tad jānodrošina, lai tos neglabā ilgāk, nekā nepieciešams sākotnējiem nolūkiem. Iepriekšminētie principi ir nostiprināti regulas 6. pantā.

Tātad personas datus, piemēram, par personas privāto dzīvi, iestāde drīkst glabāt līdz tās noteiktajam leģitīmajam nolūkam (apstrādes mērķim), un šie personas dati visu šo glabāšanas laiku ir aizsargājami un neizpaužami. Kad apstrādes mērķis ir sasniegts, iestādei personas dati ir jādzēš (regulas 17. pants). Personas datu glabāšanas un neizpaušanas princips ir jāanalizē plašākā kontekstā, nekā to nosaka Informācijas atklātības likuma 5. panta ceturtā daļa, proti, ir jāņem vērā regulas principi par personas datu neaizskaramību un neizpaušanu.