При предоставлении медицинского оборудования клинике исходной должна быть модель, при которой клиника сохраняет статус лица, определяющего цели медицинского процесса и обработки данных пациентов, а поставщик оборудования выполняет техническую функцию.
Если поставщику необходим доступ к персональным данным для монтажа, настройки, сервисного сопровождения или удаленной диагностики, такой доступ должен быть оформлен как обработка персональных данных по поручению оператора.
Такой подход соответствует позиции Роскомнадзора, изложенной в материале Управление Роскомнадзора по Саратовской области, «Методические рекомендации по работе с персональными данными для субъектов малого и среднего предпринимательства».
➖➖➖➖➖➖➖➖➖➖➖
Из той же позиции Роскомнадзора следует, что в поручении должны быть определены перечень действий с персональными данными, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность персональных данных, а ответственность перед субъектом за действия лица, обрабатывающего данные по поручению, несет оператор.
По этой причине договорная конструкция должна быть разделена:
⚫️отдельно — поставка, аренда или иное предоставление оборудования;
⚫️отдельно — монтаж, ввод в эксплуатацию, обучение и сервис;
⚫️отдельно — условия порученной обработки, если подрядчик получает доступ к данным.
➖➖➖➖➖➖➖➖➖➖➖
Судебная практика по сервисному контуру подтверждает, что отношения по обслуживанию медицинского оборудования не могут оформляться формально. В Решении Арбитражного суда Волгоградской области от 27.01.2020 по делу № А12-42980/2019 суд признал правомерным привлечение клиники к ответственности по статье 6.28 КоАП РФ и указал, что техническое обслуживание медицинского изделия должно осуществляться в соответствии с технической и эксплуатационной документацией производителя.
Для договорной модели это означает необходимость детального определения состава работ, порядка допуска и фактически выполняемого обслуживания. (Судакт)
➖➖➖➖➖➖➖➖➖➖➖
Практика по доступу подрядчика в контур медицинской организации также показывает необходимость отдельного оформления блока по персональным данным. В Решении Арбитражного суда города Москвы от 25.09.2024 по делу № А40-284334/2023 зафиксировано, что заказчик запрашивал персональные данные сотрудников исполнителя и соисполнителя, что повлекло необходимость получения согласий на обработку и передачу персональных данных, а также вопрос о копиях договоров поручения по обработке персональных данных с третьими лицами, которым эти данные предполагалось передавать. Этот судебный акт подтверждает, что при допуске подрядчика в инфраструктуру медицинской организации privacy-блок рассматривается как самостоятельный элемент правового оформления. (Судакт)
Правовой вывод состоит в следующем. Клиника должна оставаться оператором в медицинском контуре. Поставщик оборудования должен квалифицироваться как поставщик и сервисный подрядчик, а при наличии доступа к персональным данным — как лицо, обрабатывающее данные по поручению оператора.
Передача поставщику самостоятельного доступа к данным пациентов вне технической цели, без отдельного договорного оформления и без ограничения состава операций создает для клиники повышенный регуляторный риск. Этот вывод согласуется с позицией Роскомнадзора о порученной обработке и с приведенной судебной практикой. См. Управление Роскомнадзора по Саратовской области, «Методические рекомендации по работе с персональными данными для субъектов малого и среднего предпринимательства», Решение Арбитражного суда Волгоградской области от 27.01.2020 по делу № А12-42980/2019, Решение Арбитражного суда города Москвы от 25.09.2024 по делу № А40-284334/2023.
