GDPR-alihankkija: Miksi palveluntarjoajiesi arvioinnista on tullut tärkeä asia yrityksellesi

Tietojenkäsittelyn ulkoistaminen palveluntarjoajalle ei koskaan vapauta yritystä vastuusta. Vuodesta 2021 lähtien CNIL on lisännyt seuraamuksia organisaatioille, jotka eivät ole arvioineet tai säännelleet toimintaansa asianmukaisesti GDPR-alihankkija 1 miljoona euroa Mobius Solutionsia vastaan joulukuussa 2025, 1,5 miljoonaa euroa Dedalus Biologiea vastaan, 600 000 euroa Canal+ Groupia vastaan, 800 000 euroa Discordia vastaan. Viesti on selvä: ulkoista tietojen käsittely henkilötiedot ei delegoi vaatimustenmukaisuutta.

Johtajien kannalta asia on siirtynyt lakiasioista riskienhallintaan. Palveluntarjoajien arviointi, virallistaminen GDPR-alihankintasopimusKetjun seuranta ajan kuluessa: nämä ovat lakisääteisiä velvoitteita, joiden noudattamatta jättäminen tulee kalliiksi.

GDPR-alihankkijan roolin ja velvollisuuksien ymmärtäminen

Kuka on alihankkija GDPR:n tarkoittamassa merkityksessä?

GDPR määrittelee henkilötietojen käsittelijäksi luonnollisen henkilön tai oikeushenkilön, joka käsittelee henkilötiedot puolesta rekisterinpitäjäHeti kun palveluntarjoaja käyttää, isännöi, analysoi tai tallentaa henkilötiedot jonka uskot hänelle, hän on alihankkija: pilvipalveluntarjoajat, SaaS-julkaisijat, palkanlaskennan tarjoajat, markkinointitoimistot, puhelinkeskukset, CRM-palveluntarjoajat, sähköpostipalveluntarjoajat, IT-ylläpitoyritykset.

Raja, jonka status on rekisterinpitäjä ei ole aina ilmeistä. Palveluntarjoaja, joka päättää tietojenkäsittelyn tarkoituksesta tai keinoista, siirtyy korkeampaan luokkaan ja kantaa sitten täyden vastuun. Juuri tähän ansaan Mobius Solutions Ltd lankesi, jolle määrättiin miljoonan euron sakko. CNIL joulukuussa 2025 Deezerin datan uudelleenkäytöstä omien palveluidensa parantamiseksi ilman asiakkaan ohjeita.

Alihankkijan velvollisuudet, jotka on esitetty 28 artiklassa

Yleisen tietosuoja-asetuksen 28 artiklassa luetellaan nimenomaisesti alihankkijan velvollisuudet toimi ainoastaan dokumentoitujen ohjeiden mukaisesti, takaa valtuutetun henkilöstön luottamuksellisuuden, toteuta asianmukaiset tekniset ja organisatoriset turvatoimenpiteet, avusta rekisterinpitäjä yksilöiden oikeuksien hallinnassa ja rikkomusten ilmoittamisessa, tietojen poistamisessa tai palauttamisessa palvelun päättyessä sekä ylläpidossa käsittelytoimien rekisteri sen toiminnalle ominainen.

Tämä viimeinen velvoite usein unohdetaan. Ranskan tietosuojaviranomainen CNIL on kuitenkin maininnut sen useissa viimeaikaisissa sanktioissa, mukaan lukien Mobius Solutions -tapaus. Rekisterin pitämättä jättäminen tarkoittaa, että menettää tärkeimmän todisteen vaatimustenmukaisuudesta tarkastuksen yhteydessä.

Alihankinnan ketjureaktio: ennakkolupa vaaditaan

Alihankkija voi palkata seuraavan alihankkijan ("ketjureaktio") vain, jos siihen on etukäteen annettu kirjallinen, erityinen tai yleinen lupa alihankkijalta. rekisterinpitäjäYleisen valtuutuksen tapauksessa palveluntarjoajan on ilmoitettava asiakkaalle kaikista muutoksista, jotta tämä voi vastustaa niitä. SaaS-palveluntarjoajan, joka on riippuvainen pilvipalveluntarjoajasta, joka itse käyttää valvonta-alipalveluntarjoajaa, on kyettävä dokumentoimaan jokainen ketjun lenkki.

Velvollisuus arvioida alihankkijoita: liian usein laiminlyöty velvollisuus

GDPR:n nimenomainen ja jäsentävä velvoite

GDPR:n 28 artiklan 1 kohta on yksiselitteinen: rekisterinpitäjä "Käytä vain alihankkijoita, jotka tarjoavat riittävät takuut." Tämä ei ole suositus, vaan positiivinen velvoite. Ennen sopimuksen tekemistä esimiehen on varmistettava, että palveluntarjoajalla on tarvittavat taidot, menettelytavat ja organisaatio käsitellä tietoja asetuksen mukaisesti.

Tämä edellyttää virallista arviointimenettelyä: kriteeritaulukkoa, vaatimustenmukaisuuskyselyä, tositteiden pyytämistä (turvallisuuspolitiikka, sertifikaatit, Tietosuoja, rekisteri, jonkin nimeäminen Tietosuojavastaava), seuraavien alihankkijoiden analysointi, palvelimen sijainnin ja mahdollisten tiedonsiirrot EU:n ulkopuolella. Tätä arviointia on seurattava ja säilytettävä – ilman sitä johtaja ei pysty osoittamaan huolellisuuttaan eikä vastuuvelvollisuusperiaatteen noudattamista.

CNIL-pakotteet, joiden tulisi varoittaa johtajia

Vuonna 2024 CNIL Se määräsi 87 pakotetta, joiden yhteismäärä oli yli 55 miljoonaa euroa. Useat viimeaikaiset tapaukset osoittavat, että sen palveluntarjoajien arvioinnista ja sääntelystä on tullut keskeinen valvonta-alue.

Dedalus Biologien tapaus (huhtikuu 2022, 1,5 miljoonaa euroa) on edelleen tyypillinen. CNIL Ranskan kilpailuviranomainen määräsi seuraamuksen tälle lääketieteellisten laboratorioiden ohjelmistojulkaisijalle laajan terveystietoja koskevan tietomurron jälkeen. Tietoturva-aukon lisäksi tärkeimpänä syynä ilmoitettiin artiklan 28 mukaisten pakollisten lausekkeiden puuttuminen sen vakiosopimuksista. Tämä päätös oli käännekohta: alihankkijaa voidaan nyt rangaista suoraan suhteen asianmukaisen virallistamisen laiminlyönnistä asiakkaan vastuusta riippumatta.

Mobius Solutions Ltd / Deezer -tapaus (joulukuu 2025, 1 miljoona euroa) havainnollistaa yleisimpiä puutteita: tietojen säilyttämistä sopimuksen päättymisen jälkeen, käsittelyä asiakkaan ohjeiden vastaisesti, rekisterin puutetta ja turvatoimien puutetta, jotka johtivat useiden miljoonien käyttäjien tietojen julkaisemiseen darknetissä.

Discord-tapaus (2022, 800 000 euroa) johtaa seuraamuksiin rekisterinpitäjä 28 artiklan mukaisen sopimuksen puuttuminen. Canal+ Groupille määrättiin 600 000 euron sakko vuonna 2022, ja sitä rangaistiin erityisesti riittävien sopimusjärjestelyjen puutteesta. 27. tammikuuta 2021 alkaen CNIL vihki oppinsa voimaan samanaikaisesti hyväksymällä rekisterinpitäjä (150 000 euroa) ja sen alihankkija (75 000 euroa) siitä, etteivät ne olleet ryhtyneet toimenpiteisiin valtakirjojen väärentämisen estämiseksi.

Mitä CNIL tarkastelee auditoinneissaan

Päätöksiä tehtäessä ohjausruudukko CNIL Yksityiskohdat ovat selventyneet. Viranomainen varmistaa, että kyseessä on GDPR-alihankintasopimus kirjallinen ja 28 artiklan mukainen ohjeiden dokumentointi, ajantasainen luettelo seuraavista alihankkijoista, tosiasiallisesti toteutetut tekniset ja organisatoriset toimenpiteet, ilmoitusmenettelyt tietomurto, järjestelyt yksilöiden avustamiseksi heidän oikeuksiensa kanssa, sopimuksen irtisanomisen ehdot ja suoritettujen tarkastusten jäljitettävyys.

Jotta organisaatiosi voisi valmistautua näihin tarkastuspisteisiin, meidän Täydellinen opas GDPR-vaatimustenmukaisuustarkastuksiin yksityiskohtaisesti kuvataan sovellettava menetelmä.

Haluatko suojata alihankintaketjusi ja osoittaa vaatimustenmukaisuutesi? 

Vankan sopimuskehyksen rakentaminen: GDPR:n alihankintasopimus

Artiklan 28 kappaleen 3 pakolliset lausekkeet

Tietojenkäsittelysopimus (DPA), Tai GDPR-alihankintasopimuson sisällettävä asetuksessa määrätyt keskeiset lausekkeet: käsittelyn kohde ja kesto, luonne ja tarkoitus, tietojen tyyppi ja henkilöryhmät, velvollisuudet ja oikeudet rekisterinpitäjäSen on myös sisällettävä kahdeksan alihankkijan erityistä sitoumusta: toimia dokumentoitujen ohjeiden mukaisesti, taata luottamuksellisuus, toteuttaa vaaditut turvatoimenpiteet, ottaa mukaan seuraavia alihankkijoita vain valtuutetuilla henkilöillä, auttaa vastaamaan yksilöiden pyyntöihin, avustaa turvallisuus- ja ilmoitusasioissa, palauttaa tai poistaa tiedot sopimuksen päättyessä ja asettaa saataville kaikki tarvittavat tiedot tarkastuksia varten.

Kustantajan vakioehdot ovat yleensä riittämättömiä, kuten CNIL Dedalusta ja useita muita palveluntarjoajia, joille on sittemmin määrätty seuraamuksia, kritisoitiin tästä. Sopimuskohtainen tarkastelu on välttämätöntä.

Kirjoittamisessa vältettävät sudenkuopat

Useat virheet heikentävät säännöllisesti vaatimustenmukaisuutta. Alihankkijan kokonaan vastuusta vapauttava lauseke ei ole täytäntöönpanokelpoinen aliurakoitsijaa vastaan. CNIL vuodon uhrille. Puuttuva tai vanhentunut luettelo seuraavista alihankkijoista paljastaa rekisterinpitäjä epäonnistumiseen. Epämääräisesti kuvatut turvatoimenpiteet ovat riittämättömiä: CNIL odottaa konkreettista, todennettavissa olevaa ja päivättyä viiteasiakirjaa. Rikkomusilmoitusmenettelyn puuttuminen tai määräajat, jotka ovat ristiriidassa 72 tunnin määräajan kanssa. rekisterinpitäjä, pidätetään järjestelmällisesti laiminlyöviä alihankkijoita vastaan.

Tietosuojavastaavan keskeinen rooli ja tiedonhallinta

THE Tietosuojavastaava Tietosuojavastaavalla (DPO) on keskeinen rooli: hän johtaa palveluntarjoajien arviointia, validoi sopimuslausekkeita, valvoo alihankkijoiden rekisteriä ja varoittaa johtoa riskeistä. Tietosuojavastaavan puuttuessa TietosuojavastaavaNämä tehtävät on suoritettava selkeästi määritellyn toiminnon avulla. tiedonhallinta riippuu pitkälti tästä kyvystä ylläpitää suhteita alihankkijoihin ajan kuluessa.

Suhteen hallinta ajan kuluessa: auditoinnit, seuranta ja häiriötilanteet

Jatkuva velvoite, ei pelkkä allekirjoitusmuodollisuus

Sen kirjaaminen sopimukseen ei riitä. rekisterinpitäjä on ajan mittaan varmistettava, että sen palveluntarjoaja noudattaa sitoumuksiaan: säännölliset tarkastukset, vuosittainen tarkastus Tietosuojasystemaattinen päivitys muutosten yhteydessä (uusi seuraava alihankkija, uusi laajuus, uusi palvelimen sijainti).

Siellä CNIL on yksiselitteinen: alihankkijan käyttö ei koskaan vapauta rekisterinpitäjä huolellisuusvelvollisuudestaan. Canal+:n määräämä seuraamus perustui juuri siihen havaintoon, että palveluntarjoajien tehokasta valvontaa ei ollut toteutettu. Toisaalta yritys, joka kykenee tuottamaan tarkastusraportteja, täytettyjä kyselylomakkeita ja toimintasuunnitelmia, osoittaa huolellisuuttaan jopa vaaratilanteen sattuessa.

THE Viqtor Alihankkijoiden Moduuli keskittää arvioinnin, sopimuksen, myöhemmät alihankkijat, auditoinnit ja vaihtohistorian yhteen tietovarastoon.

Palveluntarjoajaan liittyvään tietomurtoon reagoiminen

Merkittävä osa vuosittain viranomaisille ilmoitetuista rikkomuksista CNIL mukana alihankkija. rekisterinpitäjä Siksi sopimukseen on sisällytettävä nopea hälytysjärjestelmä alusta alkaen. Alihankkijan on ilmoitettava asiakkaalleen "mahdollisimman pian", mikä käytännössä tarkoittaa 24–48 tuntia, jotta ilmoitus ehtii tehdä lainmukaisen 72 tunnin määräajan puitteissa. CNILSivumme, joka on omistettu aiheelle tietomurtolausunto Hän selostaa vaiheet yksityiskohtaisesti.

Mitä sinun on huomioitava

  • Mikä tahansa palveluntarjoaja, joka käsittelee henkilötiedot tilillesi on GDPR-alihankkija, ja sitoo sekä sinun että hänen vastuunsa.
  • Alihankkijan ennakkoarviointi on GDPR:n 28 artiklan 1 kohdan mukainen nimenomainen velvoite, ei hyvä käytäntö.
  • THE GDPR-alihankintasopimus (DPA) on sisällettävä kaikki 28 artiklan pakolliset lausekkeet; vakiomuotoiset yleiset ehdot eivät juuri koskaan riitä.
  • Pakotteet CNIL Viimeaikaiset tapaukset (Mobius 1 miljoonaa euroa, Dedalus 1,5 miljoonaa euroa, Canal+ 600 000 euroa, Discord 800 000 euroa) osoittavat, että viranomainen määrää seuraamuksia sekä laiminlyöville palveluntarjoajille että huolimattomille asiakkaille.
  • Vaatimustenmukaisuus osoitetaan dokumentoinnilla: rekistereillä, auditoinneilla, raporteilla ja toimintasuunnitelmilla.
  • Alihankintasuhdetta hallitaan ajan kuluessa, ei vain allekirjoitushetkellä.

Usein kysytyt kysymykset — GDPR-alihankkija

Alihankkijan on toimittava ainoastaan alihankkijan antamien dokumentoitujen ohjeiden mukaisesti. rekisterinpitäjä, takaa luottamuksellisuuden, toteuttaa asianmukaiset turvatoimenpiteet, pitää kirjaa toiminnastaan, avustaa asiakastaan oikeuksien ja loukkausten hallinnassa, käyttää seuraavia alihankkijoita vain kirjallisella luvalla sekä palauttaa tai poistaa tiedot sopimuksen päättyessä.

Kyllä, etukäteen kirjallisella luvalla rekisterinpitäjäYksilöllinen tai yleinen valtuutus. Yleisen valtuutuksen tapauksessa alihankkijan on ilmoitettava asiakkaalleen kaikista muutoksista, jotta asiakas voi vastustaa niitä. Alkuperäinen alihankkija on edelleen täysin vastuussa seuraavan alihankkijan velvoitteiden suorittamisesta ja hänen on asetettava sille samat sopimusvelvoitteet.

Alihankkijalle voidaan määrätä seuraamuksia CNIL jopa 10 miljoonaa euroa tai 2 140 000 euroa sen vuotuisesta maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi. Mobius Solutions Ltd (1 miljoona euroa joulukuussa 2025) ja Dedalus Biologie (1,5 miljoonaa euroa huhtikuussa 2022) ovat tuoreita esimerkkejä. Alihankkija voidaan myös pitää vastuullisena asianomaisille henkilöille 82 artiklan nojalla.

THE Tietosuoja Siinä on kuvattava käsittelyn kohde, kesto, luonne ja tarkoitus, tieto- ja yksilöryhmät ja sen on sisällettävä 28(3) artiklan kahdeksan sitoumusta: dokumentoidut ohjeet, luottamuksellisuus, turvallisuus, seuraavien alihankkijoiden valvonta, avustaminen yksilöiden oikeuksien kanssa, avustaminen tietojen ilmoittamisessa, palauttamisessa tai tuhoamisessa sopimuksen päättyessä sekä tietojen toimittaminen tarkastuksia varten. Mukana on oltava luettelo seuraavista alihankkijoista.

Arviointi perustuu muutamaan keskeiseen kriteeriin: olemassaoloon Tietosuoja vaatimustenmukainen, a:n läsnäolo TietosuojavastaavaTietojen sijainti (mieluiten EU), tietoturvasertifikaatit (ISO 27001, HDS terveydenhuoltoon), ajantasainen luettelo seuraavista alihankkijoista, referenssit ja tapahtumahistoria. Täytetty ja säilytetty virallinen vaatimustenmukaisuuskyselylomake toimii todisteena huolellisuusvelvoitteestasi mahdollisen tarkastuksen yhteydessä.

Pilvipalveluntarjoaja, joka isännöi henkilötiedot Asiakkaan kannalta tämä on alihankkija. Alihankkijan on varmistettava tietoturva (salaus, pääsynhallinta, varmuuskopiot), ilmoitettava asiakkaalle tietomurron sattuessa, valvottava seuraavia alihankkijoita, mahdollistettava tietojen siirrettävyys ja tehokas poistaminen sekä tarjottava läpinäkyvyyttä tietojen sijainnin ja siirtojen suhteen. Terveystietojen osalta vaaditaan erityisiä sertifikaatteja, kuten HDS.

Alihankkijoiden arviointi, valvonta ja hallinta ei ole asia, jota voi improvisoida.

Lisätietoja: löydä kaikki GDPR-vaatimustenmukaisuutta koskevat resurssimme osoitteesta Viqtor-alusta.

fiFI