Subdodávateľ GDPR: Prečo sa hodnotenie poskytovateľov služieb stalo pre vaše podnikanie kľúčovou otázkou

Outsourcing spracovania údajov poskytovateľovi služieb nikdy nezbavuje spoločnosť jej zodpovednosti. Od roku 2021 CNIL sprísnila sankcie voči organizáciám, ktoré riadne neposúdili alebo neregulovali svoje Subdodávateľ GDPR 1 milión eur proti spoločnosti Mobius Solutions v decembri 2025, 1,5 milióna eur proti spoločnosti Dedalus Biologie, 600 000 eur proti skupine Canal+, 800 000 eur proti spoločnosti Discord. Posolstvo je jasné: zadajte spracovanie externým firmám. osobné údaje nedeleguje dodržiavanie predpisov.

Pre manažérov sa problém presunul z právnych záležitostí na riadenie rizík. Hodnotenie poskytovateľov služieb, formalizácia subdodávateľská zmluva podľa GDPRMonitorovanie reťazca v priebehu času: ide o zákonné povinnosti, ktorých nedodržiavanie je nákladné.

Pochopenie úlohy subdodávateľa GDPR a jeho povinností

Kto je subdodávateľ v zmysle GDPR?

GDPR definuje spracovateľa údajov ako akúkoľvek fyzickú alebo právnickú osobu, ktorá spracováva osobné údaje v mene prevádzkovateľ údajovHneď ako poskytovateľ služieb pristupuje k údajom, hosťuje ich, analyzuje ich alebo ukladá osobné údaje ktoré mu zveríte, je subdodávateľom: cloudoví hostitelia, SaaS vydavatelia, poskytovatelia mzdových služieb, marketingové agentúry, call centrá, CRM, poskytovatelia e-mailov, spoločnosti zaoberajúce sa údržbou IT.

Hranica so statusom prevádzkovateľ údajov nie je vždy zrejmé. Poskytovateľ služieb, ktorý rozhoduje o účele alebo prostriedkoch spracovania údajov, prechádza do vyššej kategórie a potom nesie plnú zodpovednosť. Práve do tejto pasce padla spoločnosť Mobius Solutions Ltd, ktorej bola udelená pokuta vo výške jedného milióna eur. CNIL v decembri 2025 za opätovné použitie údajov zo služby Deezer na zlepšenie vlastných služieb bez akýchkoľvek pokynov od svojho klienta.

Povinnosti subdodávateľa uvedené v článku 28

Článok 28 GDPR konkrétne vymenúva povinnosti subdodávateľa konať len na základe zdokumentovaných pokynov, zaručiť dôvernosť oprávnených pracovníkov, zaviesť vhodné technické a organizačné bezpečnostné opatrenia, pomáhať prevádzkovateľ údajov pri správe práv jednotlivcov a hlásení porušení, vymazávaní alebo vrátení údajov na konci služby a udržiavaní register spracovateľských činností špecifické pre jeho činnosť.

Táto posledná povinnosť sa často prehliada. CNIL (francúzsky úrad na ochranu údajov) ju však v niekoľkých nedávnych sankciách citoval, vrátane prípadu Mobius Solutions. Nevedenie registra znamená, že sa v prípade auditu pripravíte o hlavný dôkaz o súlade s predpismi.

Kaskádové subdodávateľské zmluvy: predchádzajúce schválenie je povinné

Subdodávateľ môže najať následného subdodávateľa („kaskáda“) len s predchádzajúcim písomným súhlasom, konkrétnym alebo všeobecným, od prevádzkovateľ údajovV prípade všeobecného povolenia musí poskytovateľ informovať klienta o všetkých zmenách, aby mohol namietať. Poskytovateľ SaaS, ktorý sa spolieha na poskytovateľa cloudového hostingu, ktorý sám využíva subposkytovateľa monitorovania, musí byť schopný zdokumentovať každý článok v reťazci.

Povinnosť hodnotiť subdodávateľov: príliš často zanedbávaná povinnosť

Explicitná a štruktúrovaná povinnosť vyplývajúca z GDPR

Článok 28 odsek 1 GDPR je jednoznačný: prevádzkovateľ údajov „Využíva iba subdodávateľov, ktorí ponúkajú dostatočné záruky.“ Toto nie je odporúčanie, je to pozitívna povinnosť. Pred uzavretím zmluvy sa musí manažér uistiť, že jeho poskytovateľ služieb má zručnosti, postupy a organizáciu na spracovanie údajov v súlade s nariadením.

To znamená formalizovaný postup hodnotenia: tabuľka kritérií, dotazník o zhode, žiadosť o podporné dokumenty (bezpečnostná politika, certifikácie, DPA, register, označenie DPO), analýza následných subdodávateľov, overenie umiestnenia servera a akýchkoľvek potenciálnych prenosy údajov mimo EÚ. Toto hodnotenie sa musí sledovať a uchovávať – bez neho manažér nebude schopný preukázať ani svoju usilovnosť, ani dodržiavanie zásady zodpovednosti.

Sankcie CNIL, ktoré by mali upozorniť manažérov

V roku 2024 CNIL Uložila 87 sankcií v celkovej výške viac ako 55 miliónov eur. Niekoľko nedávnych prípadov ukazuje, že hodnotenie a regulácia poskytovateľov služieb sa stala kľúčovou oblasťou kontroly.

Prípad Dedalus Biologie (apríl 2022, 1,5 milióna eur) zostáva symbolický. CNIL Francúzsky úrad pre hospodársku súťaž udelil sankcie tomuto vydavateľovi softvéru pre zdravotnícke laboratóriá po rozsiahlom úniku údajov týkajúcich sa zdravotných informácií. Okrem bezpečnostnej chyby bola hlavným dôvodom absencia povinných ustanovení z článku 28 v štandardných zmluvách. Toto rozhodnutie znamenalo zlom: subdodávateľ môže byť teraz priamo penalizovaný za to, že riadne neformalizoval vzťah, bez ohľadu na zodpovednosť klienta.

Prípad Mobius Solutions Ltd / Deezer (december 2025, 1 milión eur) ilustruje najčastejšie nedostatky: uchovávanie údajov po skončení zmluvy, spracovanie mimo pokynov klienta, chýbajúci register, nedostatok bezpečnostných opatrení, čo viedlo k zverejneniu údajov niekoľkých miliónov používateľov na darknete.

Prípad Discord (2022, 800 000 EUR) vedie k sankciám zo strany prevádzkovateľ údajov absencia zmluvy v súlade s článkom 28. Skupina Canal+, ktorej bola v roku 2022 uložená pokuta 600 000 EUR, bola penalizovaná najmä za nedostatok dostatočných zmluvných dohôd. K 27. januáru 2021 CNIL inauguroval svoju doktrínu súčasným schválením prevádzkovateľ údajov (150 000 EUR) a jeho subdodávateľovi (75 000 EUR) za neprijatie opatrení proti falšovaniu poverení.

Čo CNIL skúma vo svojich auditoch

Pri prijímaní rozhodnutí sa riadiaca mriežka CNIL Detaily sa vyjasnili. Úrad overuje existenciu Subdodávateľská zmluva podľa GDPR písomné a v súlade s článkom 28, dokumentácia pokynov, aktuálny zoznam následných subdodávateľov, skutočne vykonané technické a organizačné opatrenia, postupy oznamovania pre únik údajov, opatrenia na pomoc jednotlivcom pri uplatňovaní ich práv, podmienky ukončenia zmluvy a sledovateľnosť vykonaných auditov.

Aby sme vašu organizáciu pripravili na tieto kontrolné body, naši Kompletný sprievodca auditmi súladu s GDPR podrobne opisuje metodiku, ktorá sa má použiť.

Chcete zabezpečiť svoj subdodávateľský reťazec a preukázať súlad s predpismi? 

Budovanie pevného zmluvného rámca: subdodávateľská zmluva podľa GDPR

Záväzné ustanovenia článku 28 odseku 3

Dohoda o spracovaní údajov (DPA), Alebo Subdodávateľská zmluva podľa GDPRmusí obsahovať základný súbor ustanovení stanovených nariadením: predmet a trvanie spracovania, povaha a účel, typ údajov a kategórie osôb, povinnosti a práva prevádzkovateľ údajovMusí tiež obsahovať osem konkrétnych záväzkov subdodávateľa: konať podľa zdokumentovaných pokynov, zaručiť dôvernosť, prijať požadované bezpečnostné opatrenia, osloviť ďalších subdodávateľov iba s povolením, pomôcť reagovať na žiadosti jednotlivcov, pomáhať v otázkach bezpečnosti a oznamovania, vrátiť alebo vymazať údaje na konci zmluvy a sprístupniť všetky informácie potrebné na audity.

Štandardné zmluvné podmienky vydavateľa sú vo všeobecnosti nedostatočné, ako napríklad CNIL Spoločnosť Dedalus a niekoľko ďalších poskytovateľov služieb, ktorí boli medzitým sankcionovaní, boli za to kritizovaní. Preskúmanie každej zmluvy je nevyhnutné.

Úskalia, ktorým sa treba pri písaní vyhnúť

Niekoľko chýb pravidelne narúša súlad s predpismi. Klauzula úplne oslobodzujúca subdodávateľa od zodpovednosti je voči CNIL ako obeť úniku. Chýbajúci alebo neaktuálny zoznam následných subdodávateľov odhaľuje prevádzkovateľ údajov k zlyhaniu. Nepresne opísané bezpečnostné opatrenia sú nedostatočné: CNIL očakáva konkrétny, overiteľný a datovaný referenčný dokument. Absencia postupu oznamovania porušenia alebo lehoty nezlučiteľné so 72 hodinami stanovenými pre prevádzkovateľ údajov, sa systematicky uchováva voči subdodávateľom, ktorí neplnia svoje povinnosti.

Ústredná úloha zodpovednej osoby za ochranu údajov a riadenie údajov

THE DPO Zodpovedná osoba pre ochranu údajov (DPO) zohráva kľúčovú úlohu: vedie hodnotenie poskytovateľov služieb, overuje zmluvné doložky, dohliada na register subdodávateľov a upozorňuje vedenie na riziká. V prípade absencie DPOTieto misie musí vykonávať jasne definovaná funkcia. správa údajov sa do značnej miery spolieha na túto schopnosť udržiavať vzťahy so subdodávateľmi v priebehu času.

Riadenie vzťahu v priebehu času: audity, monitorovanie a incidenty

Trvalý záväzok, nie formálna povinnosť podpisu

Uviesť to v zmluve nestačí. prevádzkovateľ údajov musí postupne zabezpečiť, aby jeho poskytovateľ služieb dodržiaval svoje záväzky: pravidelné audity, ročné preskúmanie DPA, systematická aktualizácia v prípade zmeny (nový následný subdodávateľ, nový rozsah, nové umiestnenie servera).

Tam CNIL je explicitné: použitie subdodávateľa nikdy neoslobodzuje prevádzkovateľ údajov svojej povinnosti starostlivosti. Sankcia spoločnosti Canal+ bola založená práve na zistení, že nebol zavedený účinný dohľad nad poskytovateľmi služieb. Naopak, spoločnosť schopná predložiť audítorské správy, vyplnené dotazníky a akčné plány preukazuje svoju starostlivosť, a to aj v prípade incidentu.

THE Modul subdodávateľov Viqtor centralizuje hodnotenie, zmluvu, následných subdodávateľov, audity a históriu výmen v jednom úložisku.

Reakcia na únik údajov týkajúci sa poskytovateľa služieb

Významná časť porušení hlásených každý rok CNIL zahŕňa subdodávateľa. prevádzkovateľ údajov Preto musí byť systém rýchleho varovania zahrnutý v zmluve od začiatku. Subdodávateľ je povinný informovať svojho klienta „čo najskôr“, čo v praxi znamená 24 až 48 hodín, aby bolo možné informovať v rámci zákonnej 72-hodinovej lehoty. CNILNaša stránka venovaná vyhlásenie o porušení údajov Podrobne popisuje kroky.

Čo si treba všimnúť

  • Každý poskytovateľ služieb, ktorý sa zaoberá osobné údaje pre váš účet je Subdodávateľ GDPRa zahŕňa vašu zodpovednosť rovnako ako jeho.
  • Predchádzajúce posúdenie subdodávateľa je výslovnou povinnosťou podľa článku 28 odseku 1 GDPR, nie je to osvedčený postup.
  • THE Subdodávateľská zmluva (DPA) podľa GDPR musí obsahovať všetky povinné ustanovenia článku 28; štandardné všeobecné obchodné podmienky takmer nikdy nestačia.
  • Sankcie CNIL Nedávne prípady (Mobius 1 milión EUR, Dedalus 1,5 milióna EUR, Canal+ 600 000 EUR, Discord 800 000 EUR) ukazujú, že úrad sankcionuje poskytovateľov služieb, ktorí si nesplácajú svoje služby, aj nedbanlivých klientov.
  • Súlad sa preukazuje prostredníctvom dokumentácie: registrov, auditov, správ, akčných plánov.
  • Subdodávateľský vzťah sa riadi počas celého obdobia, nielen v čase podpisu.

Často kladené otázky – Subdodávateľ GDPR

Subdodávateľ musí konať iba na základe zdokumentovaných pokynov od prevádzkovateľ údajov, zaručiť dôvernosť, zaviesť vhodné bezpečnostné opatrenia, viesť záznamy o svojich činnostiach, pomáhať klientovi pri správe práv a porušení, využívať ďalších subdodávateľov iba s písomným súhlasom a na konci zmluvy vrátiť alebo vymazať údaje.

Áno, s predchádzajúcim písomným súhlasom od prevádzkovateľ údajovŠpecifické alebo všeobecné poverenie. V prípade všeobecného poverenia musí subdodávateľ informovať svojho klienta o všetkých zmenách, aby klient mohol namietať. Pôvodný subdodávateľ zostáva plne zodpovedný za plnenie povinností následným subdodávateľom a musí mu uložiť rovnaké zmluvné povinnosti.

Subdodávateľ môže byť sankcionovaný CNIL do výšky 10 miliónov EUR alebo 2 140 000 z jeho ročného celosvetového obratu, podľa toho, ktorá suma je vyššia. Nedávnymi príkladmi sú spoločnosti Mobius Solutions Ltd (1 milión EUR v decembri 2025) a Dedalus Biologie (1,5 milióna EUR v apríli 2022). Subdodávateľ môže byť tiež zodpovedný voči dotknutým osobám podľa článku 82.

THE DPA Musí opisovať predmet, trvanie, povahu a účel spracovania, kategórie údajov a jednotlivcov a zahŕňať osem záväzkov podľa článku 28(3): zdokumentované pokyny, dôvernosť, bezpečnosť, dohľad nad následnými subdodávateľmi, pomoc s právami jednotlivcov, pomoc s oznámením, vrátenie alebo zničenie údajov na konci zmluvy a poskytovanie informácií na účely auditu. Musí byť priložený zoznam následných subdodávateľov.

Hodnotenie je založené na niekoľkých kľúčových kritériách: existencia DPA v súlade s predpismi, prítomnosť DPOUmiestnenie údajov (najlepšie EÚ), bezpečnostné certifikácie (ISO 27001, HDS pre zdravotníctvo), aktuálny zoznam následných subdodávateľov, referencie a história incidentov. Vyplnený a uchovaný formálny dotazník o zhode slúži ako dôkaz vašej náležitej starostlivosti v prípade auditu.

Poskytovateľ cloudového hostingu, ktorý hostuje osobné údaje Pre klienta je to subdodávateľ. Subdodávateľ musí zabezpečiť bezpečnosť (šifrovanie, riadenie prístupu, zálohy), informovať klienta v prípade narušenia bezpečnosti, dohliadať na ďalších subdodávateľov, umožniť prenosnosť údajov a ich efektívne vymazanie a zabezpečiť transparentnosť, pokiaľ ide o umiestnenie a prenos údajov. V prípade zdravotných údajov sa vyžadujú špecifické certifikácie, ako napríklad HDS.

Hodnotenie, dohľad nad a riadenie vašich subdodávateľov nie je niečo, čo sa dá improvizovať.

Ak sa chcete dozvedieť viac: všetky naše zdroje týkajúce sa dodržiavania GDPR nájdete na Platforma Viqtor.

sk_SKSK