Z pohledu ochrany osobních údajů je především potřeba myslet na velmi problematickou možnost anonymizace biologického vzorku. Na vzorek je nutno nahlížet jako na nosič osobních údajů zvláštní kategorie (biometrických údajů) a potenciální identifikátor. Se zřetelem na zásady minimalizace údajů a omezení uložení lze proto doporučit vždy k označení vzorků používat pseudonymizaci – tedy biologické vzorky uchovávat pod netriviálním kódovým označením bez přímých identifikátorů. Identifikátory je zapotřebí uchovávat jinde než biologický materiál, spolu s informacemi umožňujícími spojení identifikačních údajů a vzorku, tedy s tzv. převodním klíčem.

Je nezbytné účastníka informovat, obdobně jako při každém jiném získávání údajů pro výzkum, o účelu získávání vzorků, specifikovat, o jaký vzorek půjde (tkáň, krev, moč, ...), dostatečně popsat postup při jejich sběru, informovat o možných rizicích spojených s odběrem vzorku, poskytnout informace o tom, jak budou vzorky využity a jak s nimi bude nakládáno – zejména kde budou uloženy, kdo k nim bude mít přístup, zda je budou provázet další údaje (např. údaje z anamnézy, ostatní výzkumná data apod.), jak budou zabezpečeny, zda budou uloženy pod kódem nebo s identifikačními údaji, jak dlouho budou uchovány a kdy budou zlikvidovány.

Před samotným sběrem osobních údajů je nutné získat souhlas účastníka, který, jde-li o zásah do integrity člověka, musí být písemný a musí být udělen s vědomím o povaze zásahu a jeho možných následcích.

Pokud biologické vzorky (a případně související klinické údaje) nejsou získávány vlastní činností, ale např. od výzkumných partnerů, je zapotřebí prověřit, zda předání vzorků ze zdravotnického zařízení odpovídá tomu, k čemu byl udělen souhlas při odběru vzorků, tedy zda je zdravotnické zařízení oprávněno vzorky a údaje předávat třetím stranám, případně využívat pro vlastní výzkum.

Samotný proces předání biologického materiálu by měl být řešen smluvně, ať už ve smlouvě o spolupráci na projektu nebo v rámci tzv. MTA / DTA (Material Transfer Agreement / Data Transfer Agreement). Obsahem takové smlouvy by měl být popis vzorků a případně souvisejících předávaných dat, informace o oprávnění zdravotnického zařízení je předávat dál, přehled a obsah udělených souhlasů, účel a způsoby předání, zabezpečení osobních údajů, odpovědnost vůči subjektům údajů – pacientům, likvidace vzorků, způsob řešení náhodných nálezů atd.