GDPR-i alltöövõtja: miks on teenusepakkujate hindamine teie ettevõtte jaoks muutunud oluliseks küsimuseks

Andmete töötlemise teenusepakkujale tellimine ei vabasta ettevõtet kunagi vastutusest. Alates 2021. aastast CNIL on suurendanud sanktsioone organisatsioonide vastu, kes ei olnud oma tegevust nõuetekohaselt hinnanud ega reguleerinud. GDPR-i alltöövõtja 1 miljon eurot Mobius Solutionsi vastu 2025. aasta detsembris, 1,5 miljonit eurot Dedalus Biologie vastu, 600 000 eurot Canal+ Groupi vastu, 800 000 eurot Discordi vastu. Sõnum on selge: andmete töötlemine tuleb tellida alltöövõtjalt. isikuandmed ei delegeeri vastavuskohustust.

Juhtide jaoks on teema nihkunud juriidilistelt küsimustelt riskijuhtimisele. Teenusepakkujate hindamine, vormistamine GDPR-i alltöövõtulepingKeti jälgimine aja jooksul: need on juriidilised kohustused, mille mittetäitmine on kulukas.

GDPR-i alltöövõtja rolli ja kohustuste mõistmine

Kes on alltöövõtja GDPR-i tähenduses?

GDPR määratleb andmetöötleja kui füüsilise või juriidilise isiku, kes töötleb isikuandmed kellegi nimel andmetöötlejaNiipea kui teenusepakkuja pääseb juurde, majutab, analüüsib või salvestab isikuandmed mille te talle usaldate, on ta alltöövõtja: pilvehostid, SaaS-i avaldajad, palgaarvestuse pakkujad, turundusagentuurid, kõnekeskused, CRM-i pakkujad, e-posti pakkujad, IT-hooldusettevõtted.

Piir staatusega andmetöötleja ei ole alati ilmne. Teenusepakkuja, kes otsustab andmetöötluse eesmärgi või vahendid, liigub kõrgemasse kategooriasse ja kannab seejärel täielikku vastutust. Just sellesse lõksu langes Mobius Solutions Ltd, kellele määrati miljoni euro suurune trahv. CNIL 2025. aasta detsembris Deezeri andmete taaskasutamise eest oma teenuste täiustamiseks ilma kliendi juhisteta.

Alltöövõtja kohustused vastavalt artiklile 28

Isikuandmete kaitse üldmääruse artikkel 28 loetleb konkreetselt alltöövõtja kohustused tegutseda ainult dokumenteeritud juhiste kohaselt, tagada volitatud isikute konfidentsiaalsus, rakendada asjakohaseid tehnilisi ja korralduslikke turvameetmeid, abistada andmetöötleja üksikisikute õiguste haldamisel ja rikkumistest teatamisel, andmete kustutamisel või tagastamisel teenuse lõppedes ning töötlemistoimingute register oma tegevusele omane.

See viimane kohustus jäetakse sageli tähelepanuta. CNIL (Prantsuse andmekaitseamet) on seda aga mitmes hiljutises sanktsioonis, sealhulgas Mobius Solutionsi kohtuasjas, viidanud. Registri pidamata jätmine tähendab auditi korral peamise vastavustõendi kaotamist.

Kaskaadne alltöövõtt: eelnev luba on kohustuslik

Alltöövõtja võib kaasata järgneva alltöövõtja ("kaskaad") ainult eelneva kirjaliku loaga, olgu see siis konkreetne või üldine, alltöövõtjalt. andmetöötlejaÜldise volituse korral peab teenusepakkuja klienti muudatustest teavitama, et tal oleks võimalik vastuväiteid esitada. SaaS-teenusepakkuja, kes tugineb pilvemajutusteenuse pakkujale, kes ise kasutab jälgimist pakkuvat allteenusepakkujat, peab suutma dokumenteerida iga ahela lüli.

Alltöövõtjate hindamise kohustus: liiga sageli tähelepanuta jäetud ülesanne

GDPR-i selgesõnaline ja struktureeriv kohustus

GDPR-i artikli 28 lõige 1 on ühemõtteline: andmetöötleja „Kasutab ainult alltöövõtjaid, kes pakuvad piisavaid tagatisi.“ See ei ole soovitus, vaid positiivne kohustus. Enne lepingu sõlmimist peab haldur veenduma, et tema teenusepakkujal on oskused, protseduurid ja korraldus andmete töötlemiseks vastavalt määrusele.

See eeldab ametlikku hindamisprotseduuri: kriteeriumide tabel, vastavusküsimustik, lisadokumentide (turvapoliitika, sertifikaadid, ...) taotlemine. Andmekaitse, register, a määramine Andmekaitseametnik), järgnevate alltöövõtjate analüüs, serveri asukoha ja võimalike andmeedastus väljaspool ELi. Seda hinnangut tuleb jälgida ja säilitada – ilma selleta ei saa juht tõendada oma hoolsust ega vastutuspõhimõtte järgimist.

CNIL-i sanktsioonid, mis peaksid juhte hoiatama

2024. aastal CNIL See kehtestas 87 sanktsiooni kogusummas üle 55 miljoni euro. Mitmed hiljutised juhtumid näitavad, et teenusepakkujate hindamisest ja reguleerimisest on saanud peamine kontrollivaldkond.

Dedalus Biologie juhtum (aprill 2022, 1,5 miljonit eurot) on endiselt sümboolse tähtsusega. CNIL Prantsuse konkurentsiamet määras sellele meditsiinilaborite tarkvara väljaandjale sanktsioonid pärast ulatuslikku terviseandmeid hõlmavat andmete rikkumist. Lisaks turvaveale oli peamiseks põhjuseks artiklis 28 sätestatud kohustuslike klauslite puudumine tüüplepingutes. See otsus tähistas pöördepunkti: alltöövõtjat saab nüüd otse karistada suhte nõuetekohase vormistamata jätmise eest, olenemata kliendi vastutusest.

Mobius Solutions Ltd / Deezeri juhtum (detsember 2025, 1 miljon eurot) illustreerib kõige sagedasemaid puudusi: andmete säilitamine pärast lepingu lõppemist, töötlemine väljaspool kliendi juhiseid, registri puudumine, turvameetmete puudumine, mis viis mitme miljoni kasutaja andmete avaldamiseni pimeveebis.

Discordi juhtum (2022, 800 000 eurot) toob kaasa sanktsioonid andmetöötleja artiklile 28 vastava lepingu puudumine. Canal+ Groupile määrati 2022. aastal 600 000 euro suurune trahv, kuid teda karistati eelkõige piisavate lepinguliste kokkulepete puudumise eest. 27. jaanuari 2021 seisuga CNIL avas oma doktriini, kiites samaaegselt heaks a andmetöötleja (150 000 eurot) ja tema alltöövõtja (75 000 eurot) meetmete võtmata jätmise eest volituste võltsimise vastu.

Mida CNIL oma auditites uurib

Otsuste langetamisel muutub ka juhtimisvõrk. CNIL Üksikasjad on selgemaks saanud. Ametiasutus kontrollib olemasolu. GDPR-i alltöövõtuleping kirjalik ja artiklile 28 vastav juhiste dokumentatsioon, järgnevate alltöövõtjate ajakohane nimekiri, tegelikult rakendatud tehnilised ja korralduslikud meetmed, teavitamismenetlused andmete rikkumine, üksikisikute abistamise kord nende õiguste osas, lepingu lõpetamise tingimused ja läbiviidud auditite jälgitavus.

Teie organisatsiooni ettevalmistamiseks nendeks kontrollpunktideks, meie Täielik juhend GDPR-i vastavusauditite kohta kirjeldab üksikasjalikult rakendatavat metoodikat.

Kas soovite oma alltöövõtuahelat kindlustada ja vastavust nõuetele näidata? 

Kindla lepingulise raamistiku loomine: GDPR-i alltöövõtuleping

Artikli 28 lõike 3 kohustuslikud sätted

Andmetöötlusleping (DPA), Või GDPR-i alltöövõtulepingpeab sisaldama määrusega ettenähtud põhiklausleid: töötlemise ese ja kestus, laad ja eesmärk, andmete liik ja isikute kategooriad, töötleja kohustused ja õigused. andmetöötlejaSee peab sisaldama ka kaheksat alltöövõtja konkreetset kohustust: tegutseda dokumenteeritud juhiste järgi, tagada konfidentsiaalsus, võtta vajalikke turvameetmeid, kaasata järgnevaid alltöövõtjaid ainult loaga, aidata vastata üksikisikute taotlustele, abistada turvalisuse ja teavitamisega seotud küsimustes, tagastada või kustutada andmed lepingu lõppedes ning teha kättesaadavaks kogu audititeks vajalik teave.

Kirjastaja standardsed tingimused on üldiselt ebapiisavad, näiteks CNIL Dedalust ja mitmeid teisi teenusepakkujaid, kellele on sellest ajast alates karistused määratud, kritiseeriti selle eest. Lepingute kaupa läbivaatamine on hädavajalik.

Lõksud, mida kirjutamisel vältida

Nõuetele vastavust kahjustavad regulaarselt mitmed vead. Klausel, mis vabastab alltöövõtja täielikult vastutusest, ei ole alltöövõtja vastu jõustatav. CNIL lekke ohvri kohta. Puuduv või aegunud nimekiri järgnevatest alltöövõtjatest paljastab andmetöötleja ebaõnnestumiseni. Ebamääraselt kirjeldatud turvameetmed on ebapiisavad: CNIL ootab konkreetset, kontrollitavat ja dateeritud viitedokumenti. Rikkumisest teatamise korra puudumine või tähtajad, mis ei ole kooskõlas kehtestatud 72 tunniga andmetöötleja, peetakse süstemaatiliselt kinni kohustusi rikkuvate alltöövõtjate vastu.

Andmekaitseametniku ja andmehalduse keskne roll

THE Andmekaitseametnik Andmekaitseametnikul (DPO) on keskne roll: ta juhib teenusepakkujate hindamist, valideerib lepingutingimused, teostab järelevalvet alltöövõtjate registri üle ja hoiatab juhtkonda riskide eest. Andmekaitseametniku puudumisel AndmekaitseametnikNeid ülesandeid peab täitma selgelt määratletud funktsioon. andmehaldus tugineb suuresti sellele võimele säilitada aja jooksul suhteid alltöövõtjatega.

Suhete haldamine aja jooksul: auditid, jälgimine ja intsidendid

Jätkuv kohustus, mitte allkirjaformaalsus

Lepingusse panemisest ei piisa. andmetöötleja peab aja jooksul tagama, et teenusepakkuja täidab oma kohustusi: perioodilised auditid, iga-aastane läbivaatamine Andmekaitsesüstemaatiline uuendamine muudatuste korral (uus järgnev alltöövõtja, uus ulatus, uus serveri asukoht).

Seal CNIL on selgesõnaline: alltöövõtja kasutamine ei vabasta kunagi vastutusest andmetöötleja oma hoolsuskohustusest. Canal+ sanktsioon põhines just sellel järeldusel, et teenusepakkujate üle ei rakendatud tõhusat järelevalvet. Seevastu ettevõte, mis on võimeline esitama auditiaruandeid, täidetud küsimustikke ja tegevuskavasid, näitab oma hoolsust isegi intsidendi korral.

THE Viqtori alltöövõtjate moodul koondab hindamise, lepingu, järgnevad alltöövõtjad, auditid ja teabevahetuse ajaloo ühte hoidlasse.

Teenusepakkujaga seotud andmelekke korral reageerimine

Märkimisväärne osa igal aastal komisjonile teatatud rikkumistest CNIL hõlmab alltöövõtjat. andmetöötleja Seetõttu tuleb lepingusse algusest peale lisada kiirhoiatussüsteem. Alltöövõtja on kohustatud oma klienti teavitama „niipea kui võimalik“, mis praktikas tähendab 24–48 tundi, et teavitamine oleks võimalik seadusjärgse 72-tunnise perioodi jooksul. CNILMeie leht on pühendatud andmete rikkumise avaldus Ta kirjeldab samme detailselt.

Mida on vaja märkida

  • Iga teenusepakkuja, kes tegeleb isikuandmed teie konto jaoks on GDPR-i alltöövõtjaja see hõlmab nii sinu kui ka tema vastutust.
  • Alltöövõtja eelnev hindamine on isikuandmete kaitse üldmääruse artikli 28 lõike 1 kohaselt otsene kohustus, mitte hea tava.
  • THE GDPR-i alltöövõtuleping (DPA) peab sisaldama kõiki artikli 28 kohustuslikke klausleid; tüüptingimustest peaaegu kunagi ei piisa.
  • Sanktsioonid CNIL Hiljutised juhtumid (Mobius 1 miljon eurot, Dedalus 1,5 miljonit eurot, Canal+ 600 000 eurot, Discord 800 000 eurot) näitavad, et amet karistab nii kohustusi rikkuvaid teenusepakkujaid kui ka hoolimatuid kliente.
  • Vastavust tõendatakse dokumentatsiooni abil: registrid, auditid, aruanded, tegevuskavad.
  • Allhankelepingu suhet hallatakse aja jooksul, mitte ainult allkirjastamise ajal.

KKK – GDPR-i alltöövõtja

Alltöövõtja peab tegutsema ainult alltöövõtja dokumenteeritud juhiste kohaselt. andmetöötleja, tagama konfidentsiaalsuse, rakendama asjakohaseid turvameetmeid, pidama oma tegevuse üle arvestust, abistama oma klienti õiguste ja rikkumiste haldamisel, kasutama järgnevaid alltöövõtjaid ainult kirjaliku loaga ning tagastama või kustutama andmed lepingu lõppedes.

Jah, eelneva kirjaliku loaga andmetöötlejaÜld- või erivolitus. Üldvolituse korral peab alltöövõtja oma klienti kõigist muudatustest teavitama, et klient saaks vastuväiteid esitada. Esialgne alltöövõtja jääb täielikult vastutavaks järgmise alltöövõtja kohustuste täitmise eest ja peab talle kehtestama samad lepingulised kohustused.

Alltöövõtjat saab karistada CNIL kuni 10 miljonit eurot või 2 140 000 eurot tema aastasest ülemaailmsest käibest, olenevalt sellest, kumb on suurem. Hiljutised näited on Mobius Solutions Ltd (1 miljon eurot detsembris 2025) ja Dedalus Biologie (1,5 miljonit eurot aprillis 2022). Alltöövõtjat võidakse artikli 82 alusel asjaomaste isikute ees vastutavaks pidada.

THE Andmekaitse See peab kirjeldama töötlemise eset, kestust, laadi ja eesmärki, andme- ja isikukategooriaid ning sisaldama artikli 28 lõike 3 kaheksat kohustust: dokumenteeritud juhised, konfidentsiaalsus, turvalisus, järgnevate alltöötlejate järelevalve, abi üksikisikute õiguste osas, abi teavitamisel, andmete tagastamisel või hävitamisel lepingu lõppedes ning teabe esitamine audititeks. Lisada tuleb järgnevate alltöötlejate nimekiri.

Hindamine põhineb paaril põhikriteeriumil: olemasolu Andmekaitse nõuetele vastav, a olemasolu AndmekaitseametnikAndmete asukoht (eelistatavalt EL), turvasertifikaadid (ISO 27001, HDS tervishoiu jaoks), ajakohane nimekiri järgnevatest alltöövõtjatest, referentsid ja intsidentide ajalugu. Täidetud ja säilitatud ametlik vastavusküsimustik on auditi korral tõendiks teie hoolsuskohustuse täitmise kohta.

Pilvemajutusteenuse pakkuja, kes majutab isikuandmed Kliendi jaoks on see alltöövõtja. Alltöövõtja peab tagama turvalisuse (krüpteerimine, juurdepääsu kontroll, varundamine), teavitama klienti rikkumise korral, teostama järelevalvet järgnevate alltöövõtjate üle, võimaldama andmete teisaldatavust ja tõhusat kustutamist ning tagama läbipaistvuse andmete asukoha ja edastamise osas. Terviseandmete puhul on vaja spetsiifilisi sertifikaate, näiteks HDS.

Alltöövõtjate hindamine, järelevalve ja juhtimine ei ole midagi, mida saab improviseerida.

Lisateabe saamiseks: kõik meie ressursid GDPR-i nõuetele vastavuse kohta leiate aadressilt Viqtori platvorm.

etET