Podizvođač za GDPR: Zašto je procjena pružatelja usluga postala ključno pitanje za vaše poslovanje

Prepuštanje obrade podataka pružatelju usluga nikada ne oslobađa tvrtku od njezinih odgovornosti. Od 2021. godine CNIL pooštrio je sankcije protiv organizacija koje nisu pravilno procijenile ili regulirale svoje Podizvođač za GDPR Milijun eura protiv Mobius Solutionsa u prosincu 2025., 1,5 milijuna eura protiv Dedalus Biologie, 600.000 eura protiv Canal+ Groupa, 800.000 eura protiv Discorda. Poruka je jasna: prepustite obradu vanjskim suradnicima. osobni podaci ne delegira usklađenost.

Za menadžere se problem premjestio s pravnih pitanja na upravljanje rizicima. Evaluacija pružatelja usluga, formaliziranje ugovor o podugovaranju prema GDPR-uPraćenje lanca tijekom vremena: to su zakonske obveze čije nepoštivanje skupo košta.

Razumijevanje uloge podizvođača za GDPR i njihovih obveza

Tko je podizvođač u smislu GDPR-a?

GDPR definira obrađivača podataka kao svaku fizičku ili pravnu osobu koja obrađuje osobni podaci u ime kontrolor podatakaČim pružatelj usluga pristupi, hostira, analizira ili pohrani osobni podaci koje mu povjerite, on je podizvođač: cloud hosting, SaaS izdavači, pružatelji usluga obračuna plaća, marketinške agencije, pozivni centri, CRM, pružatelji usluga e-pošte, tvrtke za IT održavanje.

Granica sa statusom kontrolor podataka nije uvijek očito. Pružatelj usluga koji odlučuje o svrsi ili načinu obrade podataka prelazi u višu kategoriju i tada snosi punu odgovornost. Upravo je to zamka u koju je upala tvrtka Mobius Solutions Ltd, kažnjena s milijun eura od strane CNIL u prosincu 2025. zbog ponovne upotrebe Deezerovih podataka za poboljšanje vlastitih usluga, bez ikakvih uputa od strane klijenta.

Obveze podizvođača kako je navedeno u članku 28.

Članak 28. GDPR-a posebno navodi obveze podizvođača djelovati samo prema dokumentiranim uputama, jamčiti povjerljivost ovlaštenog osoblja, provoditi odgovarajuće tehničke i organizacijske sigurnosne mjere, pomagati kontrolor podataka u upravljanju pravima pojedinaca i prijavljivanju kršenja, brisanju ili vraćanju podataka na kraju usluge te održavanju registar aktivnosti obrade specifičan za njegovu djelatnost.

Ova posljednja obveza često se zanemaruje. Međutim, CNIL (Francusko tijelo za zaštitu podataka) na nju se pozvalo u nekoliko nedavnih sankcija, uključujući slučaj Mobius Solutions. Nevođenje registra znači lišavanje glavnog dokaza o usklađenosti u slučaju revizije.

Kaskadno podugovaranje: prethodno odobrenje je obavezno

Podizvođač može angažirati sljedećeg podizvođača („kaskada“) samo uz prethodno pismeno odobrenje, posebno ili opće, od kontrolor podatakaU slučaju općeg ovlaštenja, pružatelj usluga mora obavijestiti klijenta o svim promjenama kako bi mu omogućio prigovor. SaaS pružatelj usluga koji se oslanja na pružatelja usluga hostinga u oblaku, koji sam koristi podpružatelja usluga praćenja, mora biti u mogućnosti dokumentirati svaku kariku u lancu.

Obveza ocjenjivanja podizvođača: prečesto zanemarena dužnost

Eksplicitna i strukturirajuća obveza GDPR-a

Članak 28. stavak 1. GDPR-a je nedvosmislen: kontrolor podataka "Koristi samo podizvođače koji nude dovoljna jamstva." Ovo nije preporuka, već pozitivna obveza. Prije sklapanja ugovora, upravitelj mora osigurati da njegov pružatelj usluga ima vještine, postupke i organizaciju za obradu podataka u skladu s propisima.

To podrazumijeva formalizirani postupak evaluacije: tablicu kriterija, upitnik o usklađenosti, zahtjev za pratećom dokumentacijom (sigurnosna politika, certifikati, DPA, registar, oznaka DPO), analiza naknadnih podizvođača, provjera lokacije poslužitelja i svih potencijalnih prijenosi podataka izvan EU-a. Ova se procjena mora pratiti i čuvati - bez nje upravitelj neće moći dokazati ni svoju marljivost ni usklađenost s načelom odgovornosti.

Sankcije CNIL-a koje bi trebale upozoriti menadžere

U 2024. godini, CNIL Izdalo je 87 sankcija u ukupnom iznosu od preko 55 milijuna eura. Nekoliko nedavnih slučajeva pokazuje da je procjena i reguliranje pružatelja usluga postalo ključno područje kontrole.

Slučaj Dedalus Biologie (travanj 2022., 1,5 milijuna eura) ostaje simboličan. CNIL Francusko tijelo za zaštitu tržišnog natjecanja sankcioniralo je ovog izdavača softvera za medicinske laboratorije nakon masovnog kršenja podataka koji uključuju zdravstvene informacije. Osim sigurnosnog propusta, glavni razlog bio je nedostatak obveznih klauzula iz članka 28. u standardnim ugovorima. Ova odluka označila je prekretnicu: podizvođač sada može biti izravno kažnjen zbog toga što nije pravilno formalizirao odnos, bez obzira na odgovornost klijenta.

Slučaj Mobius Solutions Ltd / Deezer (prosinac 2025., 1 milijun eura) ilustrira najčešće nedostatke: zadržavanje podataka nakon isteka ugovora, obrada izvan uputa klijenta, nedostatak registra, nedostatak sigurnosnih mjera što je dovelo do objavljivanja podataka nekoliko milijuna korisnika na darknetu.

Slučaj Discord (2022., 800.000 eura) rezultira sankcijama na strani kontrolor podataka nepostojanje ugovora u skladu s člankom 28. Canal+ Group, kažnjen s 600.000 eura 2022. godine, kažnjen je posebno zbog nedostatka dovoljnih ugovornih sporazuma. Od 27. siječnja 2021. godine CNIL uveo je svoju doktrinu istodobnim odobravanjem kontrolor podataka (150.000 eura) i njegovog podizvođača (75.000 eura) zbog nepoduzimanja mjera protiv nedozvoljenog korištenja vjerodajnica.

Što CNIL ispituje u svojim revizijama

Kako se donose odluke, kontrolna mreža CNIL Detalji su postali jasniji. Vlasti provjeravaju postojanje Ugovor o podugovaranju u skladu s GDPR-om pisane i u skladu s člankom 28., dokumentacija uputa, ažurirani popis sljedećih podizvođača, stvarno provedene tehničke i organizacijske mjere, postupci obavještavanja za kršenje podataka, aranžmane za pomoć pojedincima u ostvarivanju njihovih prava, uvjete za raskid ugovora i sljedivost provedenih revizija.

Kako bismo pripremili vašu organizaciju za ove kontrolne točke, naši Potpuni vodič za revizije usklađenosti s GDPR-om detaljno opisuje metodologiju koja će se primjenjivati.

Želite li osigurati svoj lanac podizvođača i dokazati usklađenost s propisima? 

Izgradnja čvrstog ugovornog okvira: ugovor o podugovaranju prema GDPR-u

Obvezne odredbe članka 28. stavka 3.

DPA (Ugovor o obradi podataka)Ili Ugovor o podugovaranju u skladu s GDPR-ommora uključivati osnovni skup klauzula propisanih uredbom: predmet i trajanje obrade, priroda i svrha, vrsta podataka i kategorije osoba, obveze i prava kontrolor podatakaTakođer mora uključivati osam specifičnih obveza podizvođača: postupati prema dokumentiranim uputama, jamčiti povjerljivost, poduzeti potrebne sigurnosne mjere, angažirati sljedeće podizvođače samo uz ovlaštenje, pomoći u odgovaranju na zahtjeve pojedinaca, pomoći u pitanjima sigurnosti i obavještavanja, vratiti ili izbrisati podatke na kraju ugovora i staviti na raspolaganje sve informacije potrebne za revizije.

Standardni uvjeti i odredbe izdavača uglavnom su nedovoljni, kao što su CNIL Dedalus i nekoliko drugih pružatelja usluga, koji su u međuvremenu sankcionirani, kritizirani su zbog toga. Pregled svakog pojedinačnog ugovora je ključan.

Zamke koje treba izbjegavati u pisanju

Nekoliko pogrešaka redovito potkopava usklađenost. Klauzula koja potpuno oslobađa podizvođača od odgovornosti nije provediva protiv CNIL kao žrtvu curenja informacija. Nedostajući ili zastarjeli popis naknadnih podizvođača otkriva kontrolor podataka do neuspjeha. Nejasno opisane sigurnosne mjere nisu dovoljne: CNIL čeka konkretan, provjerljiv i datiran referentni dokument. Nepostojanje postupka obavještavanja o kršenju ili rokovi koji nisu kompatibilni sa 72 sata propisanih kontrolor podataka, sustavno se zadržava protiv podizvođača koji ne ispunjavaju obveze.

Središnja uloga DPO-a i upravljanje podacima

THE DPO Službenik za zaštitu podataka (DPO) igra ključnu ulogu: vodi evaluaciju pružatelja usluga, potvrđuje ugovorne klauzule, nadzire registar podizvođača i upozorava upravu na rizike. U nedostatku DPOOve misije mora izvršavati jasno određena funkcija. upravljanje podacima uvelike se oslanja na tu sposobnost održavanja odnosa s podizvođačima tijekom vremena.

Upravljanje odnosom tijekom vremena: revizije, praćenje i incidenti

Trajna obveza, a ne formalnost potpisivanja

Nije dovoljno to navesti u ugovoru. kontrolor podataka mora s vremenom osigurati da njegov pružatelj usluga poštuje svoje obveze: periodične revizije, godišnji pregled DPA, sustavno ažuriranje u slučaju promjene (novi sljedeći podizvođač, novi opseg, nova lokacija poslužitelja).

Tamo CNIL je eksplicitno: korištenje podizvođača nikada ne oslobađa kontrolor podataka svoje dužnosti pažnje. Sankcija Canal+ temeljila se upravo na nalazu da nije proveden učinkovit nadzor nad pružateljima usluga. Suprotno tome, tvrtka sposobna izraditi revizorska izvješća, ispunjene upitnike i akcijske planove pokazuje svoju marljivost, čak i u slučaju incidenta.

THE Viqtor modul za podizvođače centralizira evaluaciju, ugovor, naknadne podizvođače, revizije i povijest razmjena u jednom repozitoriju.

Odgovor na povredu podataka koja uključuje pružatelja usluga

Značajan udio kršenja koja se svake godine prijavljuje CNIL uključuje podizvođača. kontrolor podataka Stoga sustav brzog obavještavanja mora biti uključen u ugovor od samog početka. Podizvođač je dužan obavijestiti svog klijenta "što je prije moguće", što u praksi znači 24 do 48 sati kako bi se omogućila obavijest unutar zakonskog roka od 72 sata. CNILNaša stranica posvećena izjava o povredi podataka On detaljno opisuje korake.

Što trebate napomenuti

  • Svaki pružatelj usluga koji se bavi osobni podaci za vaš račun je Podizvođač za GDPRi podrazumijeva vašu odgovornost kao i njegovu.
  • Prethodna procjena podizvođača je izričita obveza prema članku 28. stavku 1. GDPR-a, a ne dobra praksa.
  • THE Ugovor o podugovaranju u skladu s GDPR-om (DPA) mora uključivati sve obvezne odredbe članka 28.; standardni opći uvjeti gotovo nikada nisu dovoljni.
  • Sankcije CNIL Nedavni slučajevi (Mobius 1 milijun eura, Dedalus 1,5 milijuna eura, Canal+ 600 tisuća eura, Discord 800 tisuća eura) pokazuju da nadležno tijelo sankcionira i pružatelje usluga koji ne ispunjavaju obveze i nemarne klijente.
  • Usklađenost se dokazuje dokumentacijom: registrima, revizijama, izvješćima, akcijskim planovima.
  • Podugovarački odnos se upravlja tijekom vremena, ne samo u trenutku potpisivanja.

Često postavljana pitanja — Podizvođač za GDPR

Podizvođač mora djelovati samo na temelju dokumentiranih uputa od kontrolor podataka, jamčiti povjerljivost, provoditi odgovarajuće sigurnosne mjere, voditi evidenciju o svojim aktivnostima, pomagati klijentu u upravljanju pravima i kršenjima, koristiti sljedeće podizvođače samo uz pismeno odobrenje te vratiti ili izbrisati podatke na kraju ugovora.

Da, uz prethodno pismeno odobrenje od kontrolor podatakaPosebno ili opće ovlaštenje. U slučaju općeg ovlaštenja, podizvođač mora obavijestiti svog klijenta o svim promjenama kako bi klijent mogao uložiti prigovor. Početni podizvođač ostaje u potpunosti odgovoran za izvršavanje obveza od strane sljedećeg podizvođača i mora mu nametnuti iste ugovorne obveze.

Podizvođač može biti sankcioniran od strane CNIL do 10 milijuna eura ili 2.140.000 godišnjeg svjetskog prometa, ovisno o tome što je veće. Mobius Solutions Ltd (1 milijun eura u prosincu 2025.) i Dedalus Biologie (1,5 milijuna eura u travnju 2022.) nedavni su primjeri. Podizvođač također može biti odgovoran dotičnim pojedincima prema članku 82.

THE DPA Mora opisati predmet, trajanje, prirodu i svrhu obrade, kategorije podataka i pojedince te uključivati osam obveza iz članka 28(3): dokumentirane upute, povjerljivost, sigurnost, nadzor nad naknadnim podobrađivačima, pomoć s pravima pojedinaca, pomoć pri obavještavanju, povrat ili uništavanje podataka na kraju ugovora i pružanje informacija za revizije. Popis naknadnih podobrađivača mora se priložiti.

Evaluacija se temelji na nekoliko ključnih kriterija: postojanje DPA usklađen, prisutnost DPOLokacija podataka (po mogućnosti EU), sigurnosni certifikati (ISO 27001, HDS za zdravstvo), ažurirani popis naknadnih podizvođača, reference i povijest incidenata. Ispunjeni i sačuvani formalni upitnik o usklađenosti služi kao dokaz vaše dubinske analize u slučaju revizije.

Pružatelj usluga hostinga u oblaku koji hostira osobni podaci Za klijenta, ovo je podizvođač. Podizvođač mora osigurati sigurnost (enkripciju, kontrolu pristupa, sigurnosne kopije), obavijestiti klijenta u slučaju povrede, nadzirati sljedeće podizvođače, omogućiti prenosivost podataka i učinkovito brisanje te osigurati transparentnost u pogledu lokacije i prijenosa podataka. Za zdravstvene podatke potrebni su posebni certifikati poput HDS-a.

Evaluacija, nadzor i upravljanje podizvođačima nije nešto što se može improvizirati.

Za više informacija: pronađite sve naše resurse o usklađenosti s GDPR-om na Viqtor platforma.

hrHR