Υπεργολάβος GDPR: Γιατί η αξιολόγηση των παρόχων υπηρεσιών σας έχει γίνει ζωτικό ζήτημα για την επιχείρησή σας

Η ανάθεση της επεξεργασίας των δεδομένων της σε πάροχο υπηρεσιών δεν απαλλάσσει ποτέ την εταιρεία από τις ευθύνες της. Από το 2021, η CNIL έχει αυξήσει τις κυρώσεις κατά οργανισμών που δεν είχαν αξιολογήσει ή ρυθμίσει σωστά τις δραστηριότητές τους. Υπεργολάβος του ΓΚΠΔ 1 εκατομμύριο ευρώ κατά της Mobius Solutions τον Δεκέμβριο του 2025, 1,5 εκατομμύριο ευρώ κατά της Dedalus Biologie, 600.000 ευρώ κατά της Canal+ Group, 800.000 ευρώ κατά της Discord. Το μήνυμα είναι σαφές: ανάθεση της επεξεργασίας σε εξωτερικούς συνεργάτες. προσωπική πληροφορία δεν αναθέτει τη συμμόρφωση.

Για τους διευθυντές, το ζήτημα έχει μετατοπιστεί από νομικά ζητήματα στη διαχείριση κινδύνου. Αξιολόγηση παρόχων υπηρεσιών, τυποποίηση η συμφωνία υπεργολαβίας του ΓΚΠΔΠαρακολούθηση της αλυσίδας με την πάροδο του χρόνου: πρόκειται για νομικές υποχρεώσεις των οποίων η μη συμμόρφωση είναι δαπανηρή.

Κατανόηση του ρόλου του υπεργολάβου GDPR και των υποχρεώσεών του

Ποιος θεωρείται υπεργολάβος κατά την έννοια του ΓΚΠΔ;

Ο ΓΚΠΔ ορίζει ως επεξεργαστή δεδομένων κάθε φυσικό ή νομικό πρόσωπο που επεξεργάζεται προσωπική πληροφορία εκ μέρους του υπεύθυνος επεξεργασίας δεδομένωνΜόλις ένας πάροχος υπηρεσιών αποκτήσει πρόσβαση, φιλοξενήσει, αναλύσει ή αποθηκεύσει προσωπική πληροφορία που του εμπιστεύεστε, είναι υπεργολάβος: cloud hosts, SaaS publishers, πάροχοι μισθοδοσίας, marketing agencies, call centers, CRM, πάροχοι email, εταιρείες συντήρησης IT.

Τα σύνορα με την κατάσταση του υπεύθυνος επεξεργασίας δεδομένων δεν είναι πάντα προφανές. Ένας πάροχος υπηρεσιών που αποφασίζει για τον σκοπό ή τα μέσα επεξεργασίας δεδομένων μετακινείται σε ανώτερη κατηγορία και στη συνέχεια φέρει την πλήρη ευθύνη. Αυτή ακριβώς είναι η παγίδα στην οποία έπεσε η Mobius Solutions Ltd, στην οποία επιβλήθηκε πρόστιμο ενός εκατομμυρίου ευρώ από την CNIL τον Δεκέμβριο του 2025 για επαναχρησιμοποίηση δεδομένων Deezer για τη βελτίωση των δικών της υπηρεσιών, χωρίς καμία εντολή από τον πελάτη της.

Οι υποχρεώσεις του υπεργολάβου όπως περιγράφονται στο Άρθρο 28

Το άρθρο 28 του ΓΚΠΔ απαριθμεί συγκεκριμένα τα υποχρεώσεις του υπεργολάβου : ενεργούν μόνο βάσει τεκμηριωμένων οδηγιών, εγγυώνται την εμπιστευτικότητα του εξουσιοδοτημένου προσωπικού, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας, βοηθούν τους υπεύθυνος επεξεργασίας δεδομένων στη διαχείριση των δικαιωμάτων των ατόμων και στην αναφορά παραβιάσεων, στη διαγραφή ή επιστροφή δεδομένων στο τέλος της υπηρεσίας και στη διατήρηση ενός μητρώο δραστηριοτήτων επεξεργασίας συγκεκριμένο για τη δραστηριότητά του.

Αυτή η τελευταία υποχρέωση συχνά παραβλέπεται. Ωστόσο, η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) την έχει επικαλεστεί σε αρκετές πρόσφατες κυρώσεις, συμπεριλαμβανομένης της υπόθεσης Mobius Solutions. Η μη τήρηση μητρώου σημαίνει ότι στερείται κανείς το κύριο αποδεικτικό στοιχείο συμμόρφωσης σε περίπτωση ελέγχου.

Υπεργολαβία σε διαδοχικές διαδικασίες: απαιτείται προηγούμενη άδεια

Ένας υπεργολάβος μπορεί να προσλάβει έναν επόμενο υπεργολάβο («cascade») μόνο με προηγούμενη γραπτή εξουσιοδότηση, ειδική ή γενική, από τον υπεύθυνος επεξεργασίας δεδομένωνΣε περίπτωση γενικής εξουσιοδότησης, ο πάροχος πρέπει να ενημερώνει τον πελάτη για τυχόν αλλαγές, ώστε να του επιτρέπει να αντιταχθεί. Ένας πάροχος SaaS που βασίζεται σε έναν πάροχο φιλοξενίας cloud, ο οποίος χρησιμοποιεί ο ίδιος έναν υποπάροχο παρακολούθησης, πρέπει να είναι σε θέση να τεκμηριώνει κάθε κρίκο στην αλυσίδα.

Η υποχρέωση αξιολόγησης των υπεργολάβων: ένα καθήκον που πολύ συχνά παραμελείται

Μια ρητή και διαρθρωτική υποχρέωση του ΓΚΠΔ

Το άρθρο 28 παράγραφος 1 του ΓΚΠΔ είναι σαφές: υπεύθυνος επεξεργασίας δεδομένων «Χρησιμοποιεί μόνο υπεργολάβους που προσφέρουν επαρκείς εγγυήσεις». Αυτό δεν αποτελεί σύσταση, είναι θετική υποχρέωση. Πριν από τη σύναψη σύμβασης, ο διαχειριστής πρέπει να διασφαλίσει ότι ο πάροχος υπηρεσιών του διαθέτει τις δεξιότητες, τις διαδικασίες και την οργάνωση για την επεξεργασία δεδομένων σύμφωνα με τον κανονισμό.

Αυτό συνεπάγεται μια τυποποιημένη διαδικασία αξιολόγησης: πλέγμα κριτηρίων, ερωτηματολόγιο συμμόρφωσης, αίτημα για δικαιολογητικά (πολιτική ασφαλείας, πιστοποιήσεις, ΑΠΔ, μητρώο, ονομασία ενός ΥΠΔ), ανάλυση των επόμενων υπεργολάβων, επαλήθευση της τοποθεσίας του διακομιστή και τυχόν πιθανές μεταφορές δεδομένων εκτός ΕΕ. Αυτή η αξιολόγηση πρέπει να παρακολουθείται και να τηρείται — χωρίς αυτήν, ο διαχειριστής δεν θα είναι σε θέση να αποδείξει ούτε την επιμέλειά του ούτε τη συμμόρφωσή του με την αρχή της λογοδοσίας.

Κυρώσεις της CNIL που θα πρέπει να ειδοποιήσουν τους διευθυντές

Το 2024, το CNIL Εξέδωσε 87 κυρώσεις συνολικού ύψους άνω των 55 εκατομμυρίων ευρώ. Αρκετές πρόσφατες υποθέσεις δείχνουν ότι η αξιολόγηση και η ρύθμιση των παρόχων υπηρεσιών της έχει γίνει βασικός τομέας ελέγχου.

Η υπόθεση Dedalus Biologie (Απρίλιος 2022, 1,5 εκατομμύριο ευρώ) παραμένει εμβληματική. CNIL Η Γαλλική Αρχή Ανταγωνισμού επέβαλε κυρώσεις σε αυτόν τον εκδότη λογισμικού για ιατρικά εργαστήρια μετά από μια μαζική παραβίαση δεδομένων που αφορούσε πληροφορίες υγείας. Πέρα από το ελάττωμα ασφαλείας, η απουσία υποχρεωτικών ρητρών από το Άρθρο 28 στις τυποποιημένες συμβάσεις ήταν ο κύριος λόγος που δόθηκε. Αυτή η απόφαση σηματοδότησε ένα σημείο καμπής: ένας υπεργολάβος μπορεί πλέον να τιμωρηθεί άμεσα για μη ορθή επισημοποίηση της σχέσης, ανεξάρτητα από την ευθύνη του πελάτη.

Η υπόθεση Mobius Solutions Ltd / Deezer (Δεκέμβριος 2025, 1 εκατομμύριο ευρώ) καταδεικνύει τις πιο συχνές ελλείψεις: διατήρηση δεδομένων μετά τη λήξη της σύμβασης, επεξεργασία εκτός των οδηγιών του πελάτη, έλλειψη μητρώου, έλλειψη μέτρων ασφαλείας που οδήγησε στη δημοσίευση των δεδομένων αρκετών εκατομμυρίων χρηστών στο darknet.

Η υπόθεση Discord (2022, 800.000 €) έχει ως αποτέλεσμα κυρώσεις από την πλευρά του υπεύθυνος επεξεργασίας δεδομένων η απουσία σύμβασης που να συμμορφώνεται με το Άρθρο 28. Ο Όμιλος Canal+, στον οποίο επιβλήθηκε πρόστιμο 600.000 ευρώ το 2022, τιμωρήθηκε ιδίως για την έλλειψη επαρκών συμβατικών συμφωνιών. Από τις 27 Ιανουαρίου 2021, ο CNIL εγκαινίασε το δόγμα του επικυρώνοντας ταυτόχρονα ένα υπεύθυνος επεξεργασίας δεδομένων (150.000 €) και τον υπεργολάβο του (75.000 €) για μη λήψη μέτρων κατά της παραποίησης πιστοποιητικών.

Τι εξετάζει η CNIL στους ελέγχους της

Καθώς λαμβάνονται αποφάσεις, το πλέγμα ελέγχου του CNIL Οι λεπτομέρειες έχουν γίνει πιο σαφείς. Η αρχή επαληθεύει την ύπαρξη ενός Συμφωνία υπεργολαβίας GDPR γραπτή και σύμφωνη με το Άρθρο 28, την τεκμηρίωση των οδηγιών, τον ενημερωμένο κατάλογο των επόμενων υπεργολάβων, τα τεχνικά και οργανωτικά μέτρα που εφαρμόστηκαν στην πραγματικότητα, τις διαδικασίες κοινοποίησης για ένα παραβίαση δεδομένων, οι ρυθμίσεις για την παροχή βοήθειας σε άτομα σχετικά με τα δικαιώματά τους, οι όροι λήξης της σύμβασης και η ιχνηλασιμότητα των διενεργούμενων ελέγχων.

Για να προετοιμάσουμε τον οργανισμό σας για αυτά τα σημεία ελέγχου, Ένας πλήρης οδηγός για τους ελέγχους συμμόρφωσης με τον GDPR περιγράφει λεπτομερώς τη μεθοδολογία που θα εφαρμοστεί.

Θέλετε να ασφαλίσετε την αλυσίδα υπεργολαβίας σας και να αποδείξετε τη συμμόρφωσή σας; 

Δημιουργία ενός στέρεου συμβατικού πλαισίου: η συμφωνία υπεργολαβίας του GDPR

Οι υποχρεωτικές ρήτρες του άρθρου 28, παράγραφος 3

Η Συμφωνία Επεξεργασίας Δεδομένων (DPA), Ή Συμφωνία υπεργολαβίας GDPRπρέπει να περιλαμβάνει ένα βασικό σύνολο ρητρών που επιβάλλονται από τον κανονισμό: αντικείμενο και διάρκεια της επεξεργασίας, φύση και σκοπός, είδος δεδομένων και κατηγορίες προσώπων, υποχρεώσεις και δικαιώματα του υπεύθυνος επεξεργασίας δεδομένωνΠρέπει επίσης να περιλαμβάνει οκτώ συγκεκριμένες δεσμεύσεις από τον υπεργολάβο: να ενεργεί βάσει τεκμηριωμένων οδηγιών, να εγγυάται την εμπιστευτικότητα, να λαμβάνει τα απαιτούμενα μέτρα ασφαλείας, να συνεργάζεται με τους επόμενους υπεργολάβους μόνο κατόπιν εξουσιοδότησης, να βοηθά στην απάντηση αιτημάτων από άτομα, να βοηθά σε θέματα ασφάλειας και ειδοποιήσεων, να επιστρέφει ή να διαγράφει δεδομένα στο τέλος της σύμβασης και να διαθέτει όλες τις απαραίτητες πληροφορίες για τους ελέγχους.

Οι τυπικοί όροι και προϋποθέσεις ενός εκδότη είναι γενικά ανεπαρκείς, όπως π.χ. CNIL Η Dedalus και αρκετοί άλλοι πάροχοι υπηρεσιών, οι οποίοι έκτοτε έχουν υποστεί κυρώσεις, δέχτηκαν κριτική για αυτό. Είναι απαραίτητη η αναθεώρηση κάθε σύμβασης ξεχωριστά.

Παγίδες που πρέπει να αποφεύγονται στη γραφή

Αρκετά σφάλματα υπονομεύουν τακτικά τη συμμόρφωση. Μια ρήτρα που απαλλάσσει πλήρως τον υπεργολάβο από την ευθύνη δεν είναι εκτελεστή έναντι του CNIL ως προς το θύμα μιας διαρροής. Μια ελλείπουσα ή παρωχημένη λίστα επόμενων υπεργολάβων εκθέτει το υπεύθυνος επεξεργασίας δεδομένων σε μια αποτυχία. Τα αόριστα περιγραφόμενα μέτρα ασφαλείας δεν επαρκούν: το CNIL αναμένει ένα συγκεκριμένο, επαληθεύσιμο, χρονολογημένο έγγραφο αναφοράς. Η απουσία διαδικασίας γνωστοποίησης παραβίασης ή προθεσμίες ασυμβίβαστες με τις 72 ώρες που επιβάλλονται στην υπεύθυνος επεξεργασίας δεδομένων, παρακρατείται συστηματικά από υπεργολάβους που αθετούν τις υποχρεώσεις τους.

Ο κεντρικός ρόλος του DPO και η διακυβέρνηση δεδομένων

Ο ΥΠΔ Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διαδραματίζει καίριο ρόλο: ηγείται της αξιολόγησης των παρόχων υπηρεσιών, επικυρώνει τις συμβατικές ρήτρες, επιβλέπει το μητρώο υπεργολάβων και ειδοποιεί τη διοίκηση για τους κινδύνους. Ελλείψει ΥΠΔΑυτές οι αποστολές πρέπει να εκτελούνται από μια σαφώς καθορισμένη λειτουργία. διακυβέρνηση δεδομένων βασίζεται σε μεγάλο βαθμό σε αυτή την ικανότητα διατήρησης της σχέσης με τους υπεργολάβους με την πάροδο του χρόνου.

Διαχείριση της σχέσης με την πάροδο του χρόνου: έλεγχοι, παρακολούθηση και περιστατικά

Μια διαρκής υποχρέωση, όχι μια τυπική διαδικασία υπογραφής

Δεν αρκεί να το συμπεριλάβουμε σε μια σύμβαση. υπεύθυνος επεξεργασίας δεδομένων πρέπει να διασφαλίζει με την πάροδο του χρόνου ότι ο πάροχος υπηρεσιών του τηρεί τις δεσμεύσεις του: περιοδικοί έλεγχοι, ετήσια αναθεώρηση του ΑΠΔ, συστηματική ενημέρωση σε περίπτωση αλλαγής (νέος επόμενος υπεργολάβος, νέο πεδίο εφαρμογής, νέα τοποθεσία διακομιστή).

Εκεί CNIL είναι ρητό: η χρήση υπεργολάβου δεν απαλλάσσει ποτέ τον υπεύθυνος επεξεργασίας δεδομένων του καθήκοντός του για επιμέλεια. Η κύρωση του Canal+ βασίστηκε ακριβώς στη διαπίστωση ότι δεν εφαρμοζόταν αποτελεσματική εποπτεία των παρόχων υπηρεσιών. Αντίθετα, μια εταιρεία ικανή να συντάξει εκθέσεις ελέγχου, να συμπληρώσει ερωτηματολόγια και να σχεδιάσει σχέδια δράσης αποδεικνύει την επιμέλειά της, ακόμη και σε περίπτωση συμβάντος.

Ο Ενότητα Υπεργολάβων Viqtor συγκεντρώνει την αξιολόγηση, τη σύμβαση, τους επόμενους υπεργολάβους, τους ελέγχους και το ιστορικό των ανταλλαγών σε ένα ενιαίο αποθετήριο.

Αντιμετώπιση παραβίασης δεδομένων που αφορά πάροχο υπηρεσιών

Ένα σημαντικό ποσοστό των παραβάσεων που αναφέρονται κάθε χρόνο στην CNIL περιλαμβάνει έναν υπεργολάβο. υπεύθυνος επεξεργασίας δεδομένων Συνεπώς, ένα σύστημα ταχείας ειδοποίησης πρέπει να περιλαμβάνεται στη σύμβαση εξαρχής. Ο υπεργολάβος υποχρεούται να ενημερώσει τον πελάτη του «το συντομότερο δυνατό», πράγμα που στην πράξη σημαίνει 24 έως 48 ώρες για να καταστεί δυνατή η ειδοποίηση εντός της νόμιμης προθεσμίας των 72 ωρών. CNILΗ σελίδα μας αφιερωμένη στην δήλωση παραβίασης δεδομένων Περιγράφει λεπτομερώς τα βήματα.

Τι πρέπει να σημειώσετε

  • Οποιοσδήποτε πάροχος υπηρεσιών που ασχολείται με προσωπική πληροφορία για τον λογαριασμό σας είναι ένα Υπεργολάβος του ΓΚΠΔ, και εμπλέκει τις δικές σας ευθύνες καθώς και τις δικές του.
  • Η προηγούμενη αξιολόγηση ενός υπεργολάβου αποτελεί ρητή υποχρέωση βάσει του άρθρου 28 παράγραφος 1 του ΓΚΠΔ και όχι ορθή πρακτική.
  • Ο Συμφωνία υπεργολαβίας (DPA) του GDPR πρέπει να περιλαμβάνει όλες τις υποχρεωτικές ρήτρες του Άρθρου 28· οι τυποποιημένοι γενικοί όροι και προϋποθέσεις σχεδόν ποτέ δεν επαρκούν.
  • Οι κυρώσεις CNIL Πρόσφατες υποθέσεις (Mobius €1 εκατ., Dedalus €1,5 εκατ., Canal+ €600.000, Discord €800.000) δείχνουν ότι η αρχή επιβάλλει κυρώσεις τόσο σε παρόχους υπηρεσιών που αθετούν τις υποχρεώσεις τους όσο και σε αμελείς πελάτες.
  • Η συμμόρφωση αποδεικνύεται μέσω τεκμηρίωσης: μητρώα, έλεγχοι, εκθέσεις, σχέδια δράσης.
  • Μια σχέση υπεργολαβίας διαχειρίζεται με την πάροδο του χρόνου, όχι μόνο κατά τη στιγμή της υπογραφής.

Συχνές ερωτήσεις — Υπεργολάβος GDPR

Ο υπεργολάβος πρέπει να ενεργεί μόνο βάσει τεκμηριωμένων οδηγιών από τον υπεύθυνος επεξεργασίας δεδομένων, εγγυάται την εμπιστευτικότητα, εφαρμόζει κατάλληλα μέτρα ασφαλείας, τηρεί αρχείο των δραστηριοτήτων της, βοηθά τον πελάτη της στη διαχείριση δικαιωμάτων και παραβιάσεων, χρησιμοποιεί μόνο επόμενους υπεργολάβους με γραπτή εξουσιοδότηση και επιστρέφει ή διαγράφει δεδομένα στο τέλος της σύμβασης.

Ναι, με προηγούμενη γραπτή άδεια από τον υπεύθυνος επεξεργασίας δεδομένωνΕιδική ή γενική εξουσιοδότηση. Σε περίπτωση γενικής εξουσιοδότησης, ο υπεργολάβος οφείλει να ενημερώνει τον πελάτη του για τυχόν αλλαγές, ώστε να μπορεί ο πελάτης να αντιταχθεί. Ο αρχικός υπεργολάβος παραμένει πλήρως υπεύθυνος για την εκτέλεση των υποχρεώσεων από τον επόμενο υπεργολάβο και οφείλει να του επιβάλει τις ίδιες συμβατικές υποχρεώσεις.

Ένας υπεργολάβος μπορεί να λάβει κυρώσεις από την CNIL έως 10 εκατομμύρια ευρώ ή 2.140.000 ευρώ του ετήσιου παγκόσμιου κύκλου εργασιών της, όποιο από τα δύο είναι υψηλότερο. Πρόσφατα παραδείγματα είναι οι Mobius Solutions Ltd (1 εκατομμύριο ευρώ τον Δεκέμβριο του 2025) και Dedalus Biologie (1,5 εκατομμύριο ευρώ τον Απρίλιο του 2022). Ο υπεργολάβος μπορεί επίσης να θεωρηθεί υπεύθυνος έναντι των εμπλεκόμενων φυσικών προσώπων βάσει του άρθρου 82.

Ο ΑΠΔ Πρέπει να περιγράφει το αντικείμενο, τη διάρκεια, τη φύση και τον σκοπό της επεξεργασίας, τις κατηγορίες δεδομένων και τα άτομα, και να ενσωματώνει τις οκτώ δεσμεύσεις του Άρθρου 28(3): τεκμηριωμένες οδηγίες, εμπιστευτικότητα, ασφάλεια, εποπτεία των επόμενων υπεργολάβων επεξεργασίας, υποστήριξη στα δικαιώματα των ατόμων, υποστήριξη στην κοινοποίηση, την επιστροφή ή την καταστροφή δεδομένων στο τέλος της σύμβασης και παροχή πληροφοριών για ελέγχους. Πρέπει να επισυνάπτεται ο κατάλογος των επόμενων υπεργολάβων επεξεργασίας.

Η αξιολόγηση βασίζεται σε μερικά βασικά κριτήρια: την ύπαρξη ΑΠΔ συμβατό, παρουσία ενός ΥΠΔΤοποθεσία δεδομένων (κατά προτίμηση ΕΕ), πιστοποιήσεις ασφαλείας (ISO 27001, HDS για την υγειονομική περίθαλψη), ενημερωμένη λίστα επόμενων υπεργολάβων, συστάσεων και ιστορικό συμβάντων. Ένα συμπληρωμένο και διατηρημένο επίσημο ερωτηματολόγιο συμμόρφωσης χρησιμεύει ως απόδειξη της δέουσας επιμέλειας που επιδείξατε σε περίπτωση ελέγχου.

Ένας πάροχος φιλοξενίας cloud που φιλοξενεί προσωπική πληροφορία Για έναν πελάτη, αυτός είναι ένας υπεργολάβος. Ο υπεργολάβος πρέπει να διασφαλίζει την ασφάλεια (κρυπτογράφηση, έλεγχος πρόσβασης, αντίγραφα ασφαλείας), να ενημερώνει τον πελάτη σε περίπτωση παραβίασης, να επιβλέπει τους επόμενους υπεργολάβους, να επιτρέπει τη φορητότητα των δεδομένων και την αποτελεσματική διαγραφή τους, και να παρέχει διαφάνεια σχετικά με την τοποθεσία και τις μεταφορές δεδομένων. Για τα δεδομένα υγείας, απαιτούνται συγκεκριμένες πιστοποιήσεις όπως το HDS.

Η αξιολόγηση, η επίβλεψη και η διαχείριση των υπεργολάβων σας δεν είναι κάτι που μπορεί να αυτοσχεδιαστεί.

Για να μάθετε περισσότερα: βρείτε όλους τους πόρους μας σχετικά με τη συμμόρφωση με τον GDPR στη διεύθυνση Πλατφόρμα Viqtor.

elEL