GDPR apakšuzņēmējs: kāpēc pakalpojumu sniedzēju novērtēšana ir kļuvusi par būtisku jautājumu jūsu uzņēmumam
Datu apstrādes uzticēšana pakalpojumu sniedzējam nekad neatbrīvo uzņēmumu no atbildības. Kopš 2021. gada CNIL ir pastiprinājusi sankcijas pret organizācijām, kas nav pienācīgi novērtējušas vai regulējušas savu darbību. GDPR apakšuzņēmējs 1 miljons eiro pret Mobius Solutions 2025. gada decembrī, 1,5 miljoni eiro pret Dedalus Biologie, 600 000 eiro pret Canal+ Group, 800 000 eiro pret Discord. Vēstījums ir skaidrs: datu apstrādi uzticēt ārpakalpojumā. personas dati nedeleģē atbilstības pienākumus.
Vadītājiem problēma ir pārgājusi no juridiskiem jautājumiem uz risku pārvaldību. Pakalpojumu sniedzēju novērtēšana, formalizācija GDPR apakšuzņēmuma līgumsĶēdes uzraudzība laika gaitā: tās ir juridiskas saistības, kuru neievērošana rada lielas izmaksas.
Izpratne par GDPR apakšuzņēmēja lomu un pienākumiem
Kas ir apakšuzņēmējs GDPR izpratnē?
GDPR definē datu apstrādātāju kā jebkuru fizisku vai juridisku personu, kas apstrādā personas dati vārdā datu pārzinisTiklīdz pakalpojumu sniedzējs piekļūst, mitina, analizē vai saglabā personas dati ko jūs viņam uzticat, viņš ir apakšuzņēmējs: mākoņpakalpojumu mitinātāji, SaaS izdevēji, algu aprēķināšanas pakalpojumu sniedzēji, mārketinga aģentūras, zvanu centri, CRM, e-pasta pakalpojumu sniedzēji, IT uzturēšanas uzņēmumi.
Robeža ar statusu datu pārzinis ne vienmēr ir acīmredzams. Pakalpojumu sniedzējs, kurš nosaka datu apstrādes mērķi vai līdzekļus, pāriet augstākā kategorijā un pēc tam uzņemas pilnu atbildību. Tieši šajā slazdā iekrita Mobius Solutions Ltd, kam tika piespriests viena miljona eiro sods. CNIL 2025. gada decembrī par Deezer datu atkārtotu izmantošanu savu pakalpojumu uzlabošanai bez jebkādiem klienta norādījumiem.
Apakšuzņēmēja pienākumi, kas izklāstīti 28. pantā
GDPR 28. pantā ir īpaši uzskaitīti apakšuzņēmēja pienākumi rīkoties tikai saskaņā ar dokumentētiem norādījumiem, garantēt pilnvarotā personāla konfidencialitāti, ieviest atbilstošus tehniskos un organizatoriskos drošības pasākumus, palīdzēt datu pārzinis pārvaldot personu tiesības un ziņojot par pārkāpumiem, dzēšot vai atgriežot datus pakalpojuma beigās, kā arī uzturot apstrādes darbību reģistrs specifiski tās darbībai.
Šis pēdējais pienākums bieži tiek ignorēts. Tomēr CNIL (Francijas Datu aizsardzības iestāde) to ir atsaukusies uz vairākām nesenām sankcijām, tostarp Mobius Solutions lietā. Reģistra neveikšana nozīmē atteikšanos no galvenā atbilstības apliecinājuma audita gadījumā.
Kaskādes apakšuzņēmuma līgumi: iepriekšēja atļauja ir obligāta
Apakšuzņēmējs drīkst piesaistīt nākamo apakšuzņēmēju ("kaskāde") tikai ar iepriekšēju rakstisku atļauju, konkrētu vai vispārīgu no apakšuzņēmēja datu pārzinisVispārējas autorizācijas gadījumā pakalpojumu sniedzējam ir jāinformē klients par visām izmaiņām, lai viņš varētu iebilst. SaaS pakalpojumu sniedzējam, kas paļaujas uz mākoņdatošanas mitināšanas pakalpojumu sniedzēju, kurš pats izmanto uzraudzības apakšpakalpojumu sniedzēju, ir jāspēj dokumentēt katru ķēdes posmu.
Pienākums novērtēt apakšuzņēmējus: pienākums, kas pārāk bieži tiek atstāts novārtā
GDPR skaidri noteikts un strukturējošs pienākums
GDPR 28. panta 1. punkts ir nepārprotams: datu pārzinis "Izmanto tikai tādus apakšuzņēmējus, kuri piedāvā pietiekamas garantijas." Tas nav ieteikums, bet gan pozitīvs pienākums. Pirms līguma noslēgšanas vadītājam ir jānodrošina, ka viņa pakalpojumu sniedzējam ir prasmes, procedūras un organizācija, lai apstrādātu datus saskaņā ar regulu.
Tas nozīmē formalizētu novērtēšanas procedūru: kritēriju tabulu, atbilstības anketu, papildu dokumentu pieprasījumu (drošības politiku, sertifikācijas, DPA, reģistrs, a apzīmējums Datu aizsardzības speciālists), turpmāko apakšuzņēmēju analīze, servera atrašanās vietas pārbaude un jebkāda potenciāla datu pārsūtīšana ārpus ES. Šis novērtējums ir jāseko līdzi un jāglabā — bez tā vadītājs nevarēs pierādīt ne savu rūpību, ne atbilstību pārskatatbildības principam.
CNIL sankcijas, kurām vajadzētu brīdināt vadītājus
2024. gadā CNIL Tā noteica 87 sankcijas, kuru kopējā summa pārsniedza 55 miljonus eiro. Vairāki nesenie gadījumi liecina, ka pakalpojumu sniedzēju novērtēšana un regulēšana ir kļuvusi par galveno kontroles jomu.
Dedalus Biologie lieta (2022. gada aprīlis, 1,5 miljoni eiro) joprojām ir simboliska. CNIL Francijas Konkurences iestāde sodīja šo medicīnas laboratoriju programmatūras izdevēju pēc plaša mēroga datu noplūdes, kas saistīta ar veselības informāciju. Papildus drošības trūkumam galvenais minētais iemesls bija obligātu 28. panta klauzulu trūkums standarta līgumos. Šis lēmums iezīmēja pagrieziena punktu: apakšuzņēmējs tagad var tikt tieši sodīts par attiecību nepietiekamu formalizāciju neatkarīgi no klienta atbildības.
Mobius Solutions Ltd/Deezer lieta (2025. gada decembris, 1 miljons eiro) ilustrē visbiežāk pieļautos trūkumus: datu saglabāšanu pēc līguma termiņa beigām, apstrādi ārpus klienta norādījumiem, reģistra trūkumu, drošības pasākumu trūkumu, kas noveda pie vairāku miljonu lietotāju datu publicēšanas tumšajā tīmeklī.
Discord lieta (2022, 800 000 eiro) noved pie sankcijām no puses. datu pārzinis 28. pantam atbilstoša līguma neesamība. Canal+ Group, kurai 2022. gadā tika piespriests 600 000 eiro sods, tika piemērots jo īpaši sods par pietiekamu līgumsaistību trūkumu. Sākot ar 2021. gada 27. janvāri, CNIL atklāja savu doktrīnu, vienlaikus sankcionējot a datu pārzinis (150 000 eiro) un tā apakšuzņēmējam (75 000 eiro) par to, ka tie neveica pasākumus pret akreditācijas datu viltošanu.
Ko CNIL pārbauda savās revīzijās
Lēmumu pieņemšanas laikā mainās vadības režģis. CNIL Sīkāka informācija ir kļuvusi skaidrāka. Iestāde pārbauda [trūkst informācijas] esamību. GDPR apakšuzņēmuma līgums rakstiska un atbilstoša 28. panta prasībām, instrukciju dokumentācija, atjaunināts turpmāko apakšuzņēmēju saraksts, faktiski īstenotie tehniskie un organizatoriskie pasākumi, paziņošanas procedūras attiecībā uz datu noplūde, kārtību, kā palīdzēt personām īstenot viņu tiesības, līguma izbeigšanas nosacījumus un veikto revīziju izsekojamību.
Lai sagatavotu jūsu organizāciju šiem kontrolpunktiem, mūsu Pilnīgs ceļvedis par GDPR atbilstības auditiem sīki apraksta piemērojamo metodoloģiju.
Vai vēlaties nodrošināt savu apakšuzņēmēju ķēdi un pierādīt atbilstību prasībām?
Stabila līgumiskā regulējuma izveide: GDPR apakšuzņēmuma līgums
28. panta 3. punkta obligātie noteikumi
DPA (Datu apstrādes līgums), Vai GDPR apakšuzņēmuma līgumsjāiekļauj regulā noteikto pamatklauzulu kopums: apstrādes priekšmets un ilgums, raksturs un mērķis, datu veids un personu kategorijas, apstrādātāja pienākumi un tiesības. datu pārzinisTajā jāiekļauj arī astoņas konkrētas apakšuzņēmēja saistības: rīkoties saskaņā ar dokumentētiem norādījumiem, garantēt konfidencialitāti, veikt nepieciešamos drošības pasākumus, iesaistīt nākamos apakšuzņēmējus tikai ar atļauju, palīdzēt atbildēt uz personu pieprasījumiem, palīdzēt drošības un paziņošanas jautājumos, atgriezt vai dzēst datus līguma beigās un padarīt pieejamu visu informāciju, kas nepieciešama revīzijām.
Izdevēja standarta noteikumi un nosacījumi parasti ir nepietiekami, piemēram, CNIL Dedalus un vairāki citi pakalpojumu sniedzēji, kuriem kopš tā laika ir piemērotas sankcijas, par to tika kritizēti. Ir svarīgi pārskatīt katru līgumu atsevišķi.
Kļūdas, no kurām jāizvairās rakstot
Atbilstību regulāri apdraud vairākas kļūdas. Klauzula, kas pilnībā atbrīvo apakšuzņēmēju no atbildības, nav īstenojama pret CNIL attiecībā uz noplūdes upuri. Trūkstošs vai novecojis turpmāko apakšuzņēmēju saraksts pakļauj datu pārzinis līdz neveiksmei. Neskaidri aprakstīti drošības pasākumi ir nepietiekami: CNIL gaida konkrētu, pārbaudāmu un datētu atsauces dokumentu. Pārkāpumu paziņošanas procedūras neesamība vai termiņi, kas nav savienojami ar 72 stundām, kas noteiktas datu pārzinis, tiek sistemātiski paturēta pret neizpildītiem apakšuzņēmējiem.
DAS centrālā loma un datu pārvaldība
THE Datu aizsardzības speciālists Datu aizsardzības speciālistam (DPO) ir izšķiroša loma: viņš vada pakalpojumu sniedzēju novērtēšanu, apstiprina līguma klauzulas, pārrauga apakšuzņēmēju reģistru un brīdina vadību par riskiem. Ja tāda nav Datu aizsardzības speciālistsŠīs misijas jāveic skaidri noteiktai funkcijai. datu pārvaldība lielā mērā paļaujas uz šo spēju laika gaitā uzturēt attiecības ar apakšuzņēmējiem.
Attiecību pārvaldība laika gaitā: auditi, uzraudzība un incidenti
Pastāvīgs pienākums, nevis paraksta formalitāte
Ar to vien nepietiek, ka tas ir iekļauts līgumā. datu pārzinis laika gaitā jānodrošina, ka tā pakalpojumu sniedzējs ievēro savas saistības: periodiskas revīzijas, ikgadēja darbības pārskatīšana DPA, sistemātiska atjaunināšana izmaiņu gadījumā (jauns nākamais apakšuzņēmējs, jauna darbības joma, jauna servera atrašanās vieta).
Tur CNIL ir nepārprotams: apakšuzņēmēja izmantošana nekad neatbrīvo no atbildības datu pārzinis savu rūpības pienākumu. Canal+ sankcijas bija balstītas tieši uz konstatējumu, ka netika īstenota efektīva pakalpojumu sniedzēju uzraudzība. Turpretī uzņēmums, kas spēj sagatavot audita ziņojumus, aizpildīt anketas un rīcības plānus, apliecina savu rūpību pat incidenta gadījumā.
THE Viqtor apakšuzņēmēju modulis centralizēti glabā novērtējumu, līgumu, turpmākos apakšuzņēmējus, auditus un apmaiņas vēsturi vienā repozitorijā.
Reaģēšana uz datu noplūdi, kurā iesaistīts pakalpojumu sniedzējs
Ievērojama daļa no katru gadu ziņotajiem pārkāpumiem CNIL iesaista apakšuzņēmēju. datu pārzinis Tāpēc līgumā jau no paša sākuma ir jāiekļauj ātrās brīdināšanas sistēma. Apakšuzņēmējam ir jāinformē savs klients "cik drīz vien iespējams", kas praksē nozīmē 24 līdz 48 stundu laikā, lai nodrošinātu paziņojuma iesniegšanas iespēju likumā noteiktajā 72 stundu periodā. CNILMūsu lapa, kas veltīta datu pārkāpuma paziņojums Viņš sīki apraksta soļus.
Kas jums jāņem vērā
- Jebkurš pakalpojumu sniedzējs, kas nodarbojas ar personas dati jūsu kontam ir GDPR apakšuzņēmējs, un tas uzliek gan tavu, gan viņa atbildību.
- Apakšuzņēmēja iepriekšēja novērtēšana ir nepārprotams pienākums saskaņā ar GDPR 28. panta 1. punktu, nevis laba prakse.
- THE GDPR apakšuzņēmuma līgums (DPA) jāiekļauj visi 28. panta obligātie noteikumi; standarta vispārīgie noteikumi un nosacījumi gandrīz nekad nav pietiekami.
- Sankcijas CNIL Jaunākie gadījumi (Mobius 1 miljons eiro, Dedalus 1,5 miljoni eiro, Canal+ 600 000 eiro, Discord 800 000 eiro) liecina, ka iestāde piemēro sankcijas gan pakalpojumu sniedzējiem, kas nepilda saistības, gan klientiem, kas rīkojas nolaidīgi.
- Atbilstība tiek pierādīta ar dokumentāciju: reģistriem, auditiem, ziņojumiem, rīcības plāniem.
- Apakšuzņēmēja attiecības tiek pārvaldītas laika gaitā, ne tikai parakstīšanas brīdī.
Bieži uzdotie jautājumi — GDPR apakšuzņēmējs
Kādi ir apakšuzņēmēja pienākumi saskaņā ar GDPR?
Apakšuzņēmējam jārīkojas tikai saskaņā ar dokumentētiem norādījumiem no apakšuzņēmēja. datu pārzinis, garantēt konfidencialitāti, ieviest atbilstošus drošības pasākumus, reģistrēt savas darbības, palīdzēt klientam tiesību un pārkāpumu pārvaldībā, izmantot turpmākos apakšuzņēmējus tikai ar rakstisku atļauju un līguma beigās atgriezt vai dzēst datus.
Vai apakšuzņēmējs var izmantot citu apakšuzņēmēju (kaskādveida apakšuzņēmēju līgumi)?
Jā, ar iepriekšēju rakstisku atļauju no datu pārzinisĪpaša vai vispārīga atļauja. Vispārējas atļaujas gadījumā apakšuzņēmējam ir jāinformē savs klients par visām izmaiņām, lai klients varētu iebilst. Sākotnējais apakšuzņēmējs joprojām ir pilnībā atbildīgs par nākamā apakšuzņēmēja saistību izpildi un tam ir jāuzliek tādas pašas līgumsaistības.
Kādi sodi draud apakšuzņēmējam par GDPR neievērošanu?
Apakšuzņēmējam var piemērot sankcijas CNIL līdz 10 miljoniem eiro vai 2 140 000 eiro no tā gada apgrozījuma visā pasaulē, atkarībā no tā, kura summa ir lielāka. Neseni piemēri ir Mobius Solutions Ltd (1 miljons eiro 2025. gada decembrī) un Dedalus Biologie (1,5 miljoni eiro 2022. gada aprīlī). Apakšuzņēmējs var tikt saukts pie atbildības arī attiecīgo personu priekšā saskaņā ar 82. pantu.
Kādi punkti jāiekļauj GDPR apakšuzņēmuma līgumā?
THE DPA Tajā jāapraksta apstrādes objekts, ilgums, raksturs un mērķis, datu un personu kategorijas, kā arī jāiekļauj astoņas 28. panta 3. punktā noteiktās saistības: dokumentēti norādījumi, konfidencialitāte, drošība, turpmāko apakšapstrādātāju uzraudzība, palīdzība fizisko personu tiesību īstenošanā, palīdzība ar datu paziņošanu, atgriešanu vai iznīcināšanu līguma beigās un informācijas sniegšana revīzijām. Jāpievieno turpmāko apakšapstrādātāju saraksts.
Kā izvēlēties GDPR atbilstošu apakšuzņēmēju MVU?
Novērtējums ir balstīts uz dažiem galvenajiem kritērijiem: DPA atbilstošs, klātbūtne Datu aizsardzības speciālistsDatu atrašanās vieta (vēlams ES), drošības sertifikāti (ISO 27001, HDS veselības aprūpei), atjaunināts turpmāko apakšuzņēmēju saraksts, atsauksmes un incidentu vēsture. Aizpildīta un saglabāta oficiāla atbilstības anketa kalpo kā pierādījums jūsu rūpībai audita gadījumā.
Kādi ir mākoņdatošanas pakalpojumu sniedzēja pienākumi kā GDPR apakšuzņēmējam?
Mākoņdatošanas pakalpojumu sniedzējs, kas mitina personas dati Klientam tas ir apakšuzņēmējs. Apakšuzņēmējam ir jānodrošina drošība (šifrēšana, piekļuves kontrole, dublēšana), jāinformē klients pārkāpuma gadījumā, jāuzrauga turpmākie apakšuzņēmēji, jānodrošina datu pārnesamība un efektīva dzēšana, kā arī jānodrošina pārredzamība attiecībā uz datu atrašanās vietu un pārsūtīšanu. Veselības datiem ir nepieciešamas īpašas sertifikācijas, piemēram, HDS.
Apakšuzņēmēju novērtēšana, uzraudzība un pārvaldība nav kaut kas tāds, ko var improvizēt.
Lai uzzinātu vairāk: atrodiet visus mūsu resursus par atbilstību GDPR vietnē Viktora platforma.