BDAR subrangovas: kodėl paslaugų teikėjų vertinimas tapo gyvybiškai svarbiu jūsų verslo klausimu
Duomenų tvarkymo perdavimas paslaugų teikėjui niekada neatleidžia įmonės nuo atsakomybės. Nuo 2021 m. CNIL sugriežtino sankcijas organizacijoms, kurios tinkamai neįvertino ar nereguliavo savo veiklos. BDAR subrangovas 1 mln. eurų prieš „Mobius Solutions“ 2025 m. gruodžio mėn., 1,5 mln. eurų prieš „Dedalus Biologie“, 600 000 eurų prieš „Canal+ Group“, 800 000 eurų prieš „Discord“. Žinia aiški: perduoti duomenų tvarkymą išorės rangovams. asmens duomenys nedeleguoja atitikties.
Vadovams problema persikėlė iš teisinių klausimų į rizikos valdymą. Paslaugų teikėjų vertinimas, įforminimas BDAR subrangos sutartisGrandinės stebėjimas laikui bėgant: tai teisiniai įsipareigojimai, kurių nesilaikymas yra brangus.
BDAR subrangovo vaidmens ir jo įsipareigojimų supratimas
Kas yra subrangovas pagal BDAR?
BDAR apibrėžia duomenų tvarkytoją kaip bet kurį fizinį arba juridinį asmenį, kuris tvarko asmens duomenys vardu duomenų valdytojasKai tik paslaugų teikėjas pasiekia, talpina, analizuoja arba saugo asmens duomenys kuriuos jam patikite, jis yra subrangovas: debesijos prieglobos paslaugų teikėjai, SaaS leidėjai, darbo užmokesčio paslaugų teikėjai, rinkodaros agentūros, skambučių centrai, CRM, el. pašto paslaugų teikėjai, IT priežiūros įmonės.
Siena su statusu duomenų valdytojas ne visada akivaizdu. Paslaugų teikėjas, kuris nusprendžia dėl duomenų tvarkymo tikslo ar priemonių, patenka į aukštesnę kategoriją ir tada prisiima visą atsakomybę. Būtent į tokius spąstus pateko „Mobius Solutions Ltd“, kuriai skirta milijono eurų bauda. CNIL 2025 m. gruodžio mėn. už „Deezer“ duomenų pakartotinį panaudojimą savo paslaugoms tobulinti be jokių kliento nurodymų.
Subrangovo įsipareigojimai, kaip nurodyta 28 straipsnyje
BDAR 28 straipsnyje konkrečiai išvardyti subrangovo įsipareigojimai veikti tik pagal dokumentuotas instrukcijas, užtikrinti įgaliotų darbuotojų konfidencialumą, įgyvendinti tinkamas technines ir organizacines saugumo priemones, padėti duomenų valdytojas tvarkant asmenų teises ir pranešant apie pažeidimus, ištrinant arba grąžinant duomenis pasibaigus paslaugos teikimui ir palaikant tvarkymo veiklos registras būdingas jo veiklai.
Pastaroji prievolė dažnai pamirštama. Tačiau CNIL (Prancūzijos duomenų apsaugos tarnyba) ją nurodė keliose neseniai taikytose sankcijose, įskaitant „Mobius Solutions“ bylą. Nevedant registro, prarandamas pagrindinis atitikties įrodymas audito atveju.
Pakopinis subrangos sudarymas: išankstinis leidimas būtinas
Subrangovas gali pasitelkti vėlesnį subrangovą („kaskadinis“) tik gavęs išankstinį raštišką subrangovo leidimą, konkretų arba bendrą duomenų valdytojasBendrojo leidimo atveju paslaugų teikėjas privalo informuoti klientą apie bet kokius pakeitimus, kad šis galėtų jiems prieštarauti. SaaS paslaugų teikėjas, kuris naudojasi debesijos prieglobos paslaugų teikėju, kuris pats naudojasi stebėjimo subtiekėjo paslaugomis, privalo turėti galimybę dokumentuoti kiekvieną grandinės grandį.
Pareiga įvertinti subrangovus: pernelyg dažnai pamirštama pareiga
Aiškus ir struktūrinis BDAR įpareigojimas
BDAR 28 straipsnio 1 dalis yra nedviprasmiška: duomenų valdytojas „Naudojasi tik tais subrangovais, kurie suteikia pakankamas garantijas.“ Tai ne rekomendacija, o teigiamas įsipareigojimas. Prieš sudarydamas sutartį, vadovas privalo įsitikinti, kad jo paslaugų teikėjas turi įgūdžių, procedūrų ir organizaciją tvarkyti duomenis pagal reglamentą.
Tai reiškia formalizuotą vertinimo procedūrą: kriterijų lentelę, atitikties klausimyną, patvirtinamųjų dokumentų (saugumo politikos, sertifikatų, DPA, registras, paskyrimas Duomenų apsaugos pareigūnas), vėlesnių subrangovų analizė, serverio vietos ir bet kokio galimo duomenų perdavimas už ES ribų. Šis vertinimas turi būti stebimas ir saugomas – be jo vadovas negalės įrodyti nei savo kruopštumo, nei atskaitomybės principo laikymosi.
CNIL sankcijos, kurios turėtų įspėti vadovus
2024 m. CNIL Ji skyrė 87 sankcijas, kurių bendra suma viršija 55 mln. eurų. Keletas pastarųjų atvejų rodo, kad paslaugų teikėjų vertinimas ir reguliavimas tapo pagrindine kontrolės sritimi.
„Dedalus Biologie“ byla (2022 m. balandžio mėn., 1,5 mln. eurų) tebėra simbolinė. CNIL Prancūzijos konkurencijos tarnyba skyrė sankcijas šiam medicinos laboratorijų programinės įrangos leidėjui po didelio masto duomenų saugumo pažeidimo, susijusio su sveikatos informacija. Be saugumo spragos, pagrindinė nurodyta priežastis buvo privalomų 28 straipsnio nuostatų nebuvimas standartinėse sutartyse. Šis sprendimas žymėjo lūžio tašką: subrangovas dabar gali būti tiesiogiai nubaustas už tai, kad tinkamai neįformino santykių, neatsižvelgiant į kliento atsakomybę.
„Mobius Solutions Ltd“ / „Deezer“ byla (2025 m. gruodžio mėn., 1 mln. eurų) iliustruoja dažniausiai pasitaikančius trūkumus: duomenų saugojimą pasibaigus sutarčiai, tvarkymą ne pagal kliento nurodymus, registro trūkumą, saugumo priemonių trūkumą, dėl kurio kelių milijonų vartotojų duomenys buvo paskelbti tamsiajame internete.
„Discord“ byla (2022 m., 800 000 EUR) lemia sankcijas iš šalies pusės. duomenų valdytojas sutarties, atitinkančios 28 straipsnį, nebuvimas. „Canal+ Group“, kuriai 2022 m. buvo skirta 600 000 EUR bauda, buvo nubausta visų pirma už pakankamų sutartinių susitarimų trūkumą. Nuo 2021 m. sausio 27 d. CNIL pradėjo savo doktriną tuo pačiu metu sankcionuodamas duomenų valdytojas (150 000 EUR) ir jos subrangovui (75 000 EUR) už tai, kad jie nesiėmė priemonių prieš įgaliojimų klastojimą.
Ką CNIL nagrinėja savo auditų metu
Priimant sprendimus, valdymo tinklelis CNIL Išsami informacija tapo aiškesnė. Institucija tikrina, ar egzistuoja BDAR subrangos sutartis rašytinę ir 28 straipsnį atitinkančią instrukcijų dokumentaciją, atnaujintą vėlesnių subrangovų sąrašą, faktiškai įgyvendintas technines ir organizacines priemones, pranešimo procedūras, susijusias su duomenų pažeidimas, asmenų teisių gynimo tvarką, sutarties nutraukimo sąlygas ir atliktų auditų atsekamumą.
Kad paruoštume jūsų organizaciją šiems kontroliniams punktams, mūsų Išsamus BDAR atitikties auditų vadovas išsamiai aprašoma taikytina metodika.
Ar norite užtikrinti savo subrangos grandinės saugumą ir įrodyti atitiktį reikalavimams?
Tvirto sutarčių pagrindo kūrimas: BDAR subrangos sutartis
28 straipsnio 3 dalies privalomosios nuostatos
DPA (Duomenų tvarkymo sutartis)Arba BDAR subrangos sutartisturi apimti pagrindinį reglamente numatytų sąlygų rinkinį: tvarkymo dalyką ir trukmę, pobūdį ir tikslą, duomenų rūšį ir asmenų kategorijas, duomenų tvarkytojo pareigas ir teises. duomenų valdytojasTaip pat turi būti numatyti aštuoni konkretūs subrangovo įsipareigojimai: veikti pagal dokumentuotas instrukcijas, garantuoti konfidencialumą, imtis reikiamų saugumo priemonių, bendradarbiauti su vėlesniais subrangovais tik gavus leidimą, padėti atsakyti į asmenų prašymus, padėti saugumo ir pranešimų klausimais, grąžinti arba ištrinti duomenis pasibaigus sutarčiai ir pateikti visą informaciją, reikalingą auditams.
Leidėjo standartinės sąlygos paprastai yra nepakankamos, pavyzdžiui, CNIL „Dedalus“ ir keli kiti paslaugų teikėjai, kuriems vėliau buvo skirtos sankcijos, buvo už tai kritikuojami. Būtina atlikti kiekvienos sutarties peržiūrą.
Spąstai, kurių reikia vengti rašant
Atitiktį reikalavimams nuolat kenkia kelios klaidos. Sąlyga, visiškai atleidžianti subrangovą nuo atsakomybės, negali būti taikoma subrangovui. CNIL kaip ir nuotėkio aukai. Trūkstamas arba pasenęs vėlesnių subrangovų sąrašas atskleidžia duomenų valdytojas iki nesėkmės. Miglotai aprašytos saugumo priemonės yra nepakankamos: CNIL laukia konkretaus, patikrinamo ir datuoto informacinio dokumento. Pažeidimų pranešimo procedūros nebuvimas arba terminai, nesuderinami su 72 valandų laikotarpiu, nustatytu duomenų valdytojas, yra sistemingai išlaikomas iš įsipareigojimų nevykdančių subrangovų.
Pagrindinis duomenų apsaugos pareigūno vaidmuo ir duomenų valdymas
THE Duomenų apsaugos pareigūnas Duomenų apsaugos pareigūnas (DAP) atlieka esminį vaidmenį: jis vadovauja paslaugų teikėjų vertinimui, tvirtina sutarčių sąlygas, prižiūri subrangovų registrą ir įspėja vadovybę apie riziką. Jei jo nėra Duomenų apsaugos pareigūnasŠias misijas turi atlikti aiškiai apibrėžta funkcija. duomenų valdymas daugiausia priklauso nuo šio gebėjimo palaikyti santykius su subrangovais ilgą laiką.
Santykių valdymas laikui bėgant: auditai, stebėsena ir incidentai
Nuolatinis įsipareigojimas, o ne pasirašymo formalumas
Nepakanka to įtraukti į sutartį. duomenų valdytojas laikui bėgant turi užtikrinti, kad jo paslaugų teikėjas laikytųsi savo įsipareigojimų: periodiniai auditai, metinė veiklos rezultatų peržiūra DPAsistemingas atnaujinimas pasikeitus (naujas vėlesnis subrangovas, nauja taikymo sritis, nauja serverio vieta).
Ten CNIL yra aiškus: subrangovo naudojimas niekada neatleidžia nuo atsakomybės duomenų valdytojas savo rūpestingumo pareigos. „Canal+“ sankcija buvo pagrįsta būtent tuo, kad nebuvo įgyvendinta veiksminga paslaugų teikėjų priežiūra. Ir atvirkščiai, įmonė, galinti pateikti audito ataskaitas, užpildyti klausimynus ir veiksmų planus, demonstruoja savo rūpestingumą net ir incidento atveju.
THE „Viqtor“ subrangovų modulis centralizuoja vertinimą, sutartį, vėlesnius subrangovus, auditus ir mainų istoriją vienoje saugykloje.
Reagavimas į duomenų saugumo pažeidimą, susijusį su paslaugų teikėju
Didelė dalis pažeidimų, apie kuriuos kasmet pranešama CNIL apima subrangovą. duomenų valdytojas Todėl nuo pat pradžių sutartyje turi būti numatyta greitojo perspėjimo sistema. Subrangovas privalo informuoti savo klientą „kuo greičiau“, o tai praktiškai reiškia per 24–48 valandas, kad pranešimas būtų pateiktas per įstatyminį 72 valandų laikotarpį. CNILMūsų puslapis, skirtas duomenų pažeidimo pareiškimas Jis išsamiai aprašo žingsnius.
Į ką reikia atkreipti dėmesį
- Bet kuris paslaugų teikėjas, kuris dirba su asmens duomenys jūsų paskyrai yra BDAR subrangovas, ir įtraukia tiek jūsų, tiek jo atsakomybę.
- Išankstinis subrangovo vertinimas yra aiški prievolė pagal BDAR 28 straipsnio 1 dalį, o ne gera praktika.
- THE BDAR subrangos sutartis (DPA) turi apimti visas privalomas 28 straipsnio nuostatas; standartinių bendrųjų sąlygų beveik niekada nepakanka.
- Sankcijos CNIL Naujausi atvejai („Mobius“ – 1 mln. EUR, „Dedalus“ – 1,5 mln. EUR, „Canal+“ – 600 tūkst. EUR, „Discord“ – 800 tūkst. EUR) rodo, kad institucija skiria sankcijas tiek nevykdantiems paslaugų teikėjams, tiek aplaidiems klientams.
- Atitiktis reikalavimams įrodoma dokumentais: registrais, auditais, ataskaitomis, veiksmų planais.
- Subrangos santykiai valdomi laikui bėgant, o ne tik pasirašymo metu.
DUK – BDAR subrangovas
Kokie yra subrangovo įsipareigojimai pagal BDAR?
Subrangovas privalo veikti tik pagal dokumentuotus nurodymus, gautus iš subrangovo. duomenų valdytojas, garantuoti konfidencialumą, įgyvendinti tinkamas saugumo priemones, registruoti savo veiklą, padėti klientui valdyti teises ir pažeidimus, pasitelkti vėlesnius subrangovus tik su raštišku leidimu ir pasibaigus sutarčiai grąžinti arba ištrinti duomenis.
Ar subrangovas gali pasitelkti kitą subrangovą (pakopinė subrangos sutartis)?
Taip, gavus išankstinį raštišką leidimą iš duomenų valdytojasKonkretus arba bendrasis įgaliojimas. Bendrojo įgaliojimo atveju subrangovas privalo informuoti savo klientą apie bet kokius pakeitimus, kad klientas galėtų pateikti prieštaravimą. Pradinis subrangovas išlieka visiškai atsakingas už vėlesnio subrangovo įsipareigojimų vykdymą ir privalo jam nustatyti tuos pačius sutartinius įsipareigojimus.
Kokios baudos gali būti taikomos subrangovui už BDAR nesilaikymą?
Subrangovui gali būti taikomos sankcijos CNIL iki 10 mln. EUR arba 2 140 000 jos metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma didesnė. Naujausi pavyzdžiai – „Mobius Solutions Ltd“ (1 mln. EUR 2025 m. gruodžio mėn.) ir „Dedalus Biologie“ (1,5 mln. EUR 2022 m. balandžio mėn.). Subrangovas taip pat gali būti laikomas atsakingu atitinkamiems asmenims pagal 82 straipsnį.
Kokios sąlygos turėtų būti įtrauktos į BDAR subrangos sutartį?
THE DPA Jame turi būti aprašytas tvarkymo objektas, trukmė, pobūdis ir tikslas, duomenų ir asmenų kategorijos, taip pat įtraukti aštuoni 28(3) straipsnio įsipareigojimai: dokumentuoti nurodymai, konfidencialumas, saugumas, vėlesnių subtvarkytojų priežiūra, pagalba užtikrinant asmenų teises, pagalba teikiant pranešimus, grąžinant ar sunaikinant duomenis pasibaigus sutarčiai ir informacijos teikimas auditui. Turi būti pridėtas vėlesnių subtvarkytojų sąrašas.
Kaip MVĮ išsirinkti BDAR reikalavimus atitinkantį subrangovą?
Vertinimas grindžiamas keliais pagrindiniais kriterijais: egzistavimu DPA atitiktis, buvimas Duomenų apsaugos pareigūnasDuomenų vieta (pageidautina ES), saugumo sertifikatai (ISO 27001, HDS sveikatos priežiūrai), atnaujintas vėlesnių subrangovų sąrašas, rekomendacijos ir incidentų istorija. Užpildyta ir išsaugota oficiali atitikties anketa yra jūsų deramo kruopštumo įrodymas audito atveju.
Kokios yra debesijos prieglobos paslaugų teikėjo, kaip BDAR subrangovo, pareigos?
Debesų kompiuterijos prieglobos paslaugų teikėjas, kuris talpina asmens duomenys Klientui tai yra subrangovas. Subrangovas privalo užtikrinti saugumą (šifravimą, prieigos kontrolę, atsargines kopijas), informuoti klientą apie pažeidimą, prižiūrėti vėlesnius subrangovus, užtikrinti duomenų perkeliamumą ir veiksmingą ištrynimą, taip pat užtikrinti skaidrumą dėl duomenų vietos ir perdavimo. Sveikatos duomenims reikalingi specialūs sertifikatai, tokie kaip HDS.
Subrangovų vertinimas, priežiūra ir valdymas nėra kažkas, ką galima atlikti improvizuotai.
Norėdami sužinoti daugiau: visus mūsų išteklius apie BDAR atitiktį rasite adresu Viktoro platforma.