Podizvajalec GDPR: Zakaj je ocenjevanje ponudnikov storitev postalo ključno vprašanje za vaše podjetje
Zunanje izvajanje obdelave podatkov ponudniku storitev podjetja nikoli ne odvezuje odgovornosti. Od leta 2021 CNIL je poostrila sankcije proti organizacijam, ki niso ustrezno ocenile ali uredile svojih Podizvajalec GDPR 1 milijon evrov proti Mobius Solutions decembra 2025, 1,5 milijona evrov proti Dedalus Biologie, 600.000 evrov proti Canal+ Group, 800.000 evrov proti Discordu. Sporočilo je jasno: obdelavo prepustite zunanjim izvajalcem. osebni podatki ne delegira skladnosti.
Za menedžerje se je vprašanje preusmerilo s pravnih zadev na upravljanje tveganj. Vrednotenje ponudnikov storitev, formalizacija pogodba o podizvajanju v skladu z GDPRSpremljanje verige skozi čas: to so zakonske obveznosti, katerih neizpolnjevanje je drago.
Razumevanje vloge podizvajalca za GDPR in njegovih obveznosti
Kdo je podizvajalec v smislu GDPR?
GDPR opredeljuje obdelovalca podatkov kot vsako fizično ali pravno osebo, ki obdeluje osebni podatki v imenu upravljavec podatkovTakoj ko ponudnik storitev dostopa do podatkov, jih gosti, analizira ali shranjuje osebni podatki ki mu jih zaupate, je podizvajalec: ponudniki gostovanja v oblaku, založniki SaaS, ponudniki obračunavanja plač, marketinške agencije, klicni centri, CRM, ponudniki e-pošte, podjetja za vzdrževanje IT.
Meja s statusom upravljavec podatkov ni vedno očitno. Ponudnik storitev, ki odloča o namenu ali sredstvih obdelave podatkov, preide v višjo kategorijo in nato nosi polno odgovornost. Prav v to past se je znašlo podjetje Mobius Solutions Ltd, ki mu je sodišče naložilo globo v višini milijona evrov. CNIL decembra 2025 zaradi ponovne uporabe podatkov Deezer za izboljšanje lastnih storitev, brez kakršnih koli navodil stranke.
Obveznosti podizvajalca, kot so opisane v 28. členu
Člen 28 GDPR posebej navaja obveznosti podizvajalca : ravnati le po dokumentiranih navodilih, zagotavljati zaupnost pooblaščenega osebja, izvajati ustrezne tehnične in organizacijske varnostne ukrepe, pomagati upravljavec podatkov pri upravljanju pravic posameznikov in poročanju o kršitvah, brisanju ali vračanju podatkov ob koncu storitve ter vzdrževanju register dejavnosti obdelave specifične za njegovo dejavnost.
Ta zadnja obveznost se pogosto spregleda. Vendar pa jo je CNIL (francoski organ za varstvo podatkov) navedel v več nedavnih sankcijah, vključno s primerom Mobius Solutions. Če ne vodite registra, se v primeru revizije prikrajšate za glavni dokaz o skladnosti.
Kaskadno oddajanje pogodb podizvajalcem: predhodno dovoljenje je obvezno
Podizvajalec lahko najame naslednjega podizvajalca ("kaskada") le s predhodnim pisnim dovoljenjem, posebnim ali splošnim, s strani upravljavec podatkovV primeru splošnega pooblastila mora ponudnik obvestiti stranko o vseh spremembah, da ji omogoči ugovor. Ponudnik SaaS, ki se zanaša na ponudnika gostovanja v oblaku, ki sam uporablja podponudnika spremljanja, mora biti sposoben dokumentirati vsak člen v verigi.
Obveznost ocenjevanja podizvajalcev: dolžnost, ki se prepogosto zanemarja
Izrecna in strukturna obveznost GDPR
Člen 28, odstavek 1 GDPR je nedvoumen: upravljavec podatkov »Sodeluje le s podizvajalci, ki ponujajo zadostna jamstva.« To ni priporočilo, temveč pozitivna obveznost. Pred sklenitvijo pogodbe mora upravljavec zagotoviti, da ima njegov ponudnik storitev znanja, postopke in organizacijo za obdelavo podatkov v skladu s predpisi.
To pomeni formaliziran postopek ocenjevanja: tabela meril, vprašalnik o skladnosti, zahteva po podpornih dokumentih (varnostna politika, certifikati, DPA, register, oznaka Pooblaščena oseba za varstvo podatkov), analiza nadaljnjih podizvajalcev, preverjanje lokacije strežnika in vseh morebitnih prenosi podatkov zunaj EU. To oceno je treba spremljati in hraniti – brez nje vodja ne bo mogel dokazati niti svoje skrbnosti niti skladnosti z načelom odgovornosti.
Sankcije CNIL, ki bi morale opozoriti menedžerje
Leta 2024 je CNIL Izdala je 87 sankcij v skupni vrednosti več kot 55 milijonov evrov. Več nedavnih primerov kaže, da je ocenjevanje in reguliranje ponudnikov storitev postalo ključno področje nadzora.
Primer Dedalus Biologie (april 2022, 1,5 milijona evrov) ostaja simboličen. CNIL Francoski organ za varstvo konkurence je temu založniku programske opreme za medicinske laboratorije naložil sankcije zaradi obsežne kršitve varnosti podatkov, ki so vključevale zdravstvene informacije. Poleg varnostne napake je bil glavni razlog odsotnost obveznih klavzul iz 28. člena v standardnih pogodbah. Ta odločitev je pomenila prelomnico: podizvajalca je zdaj mogoče neposredno kaznovati, če ni pravilno formaliziral razmerja, ne glede na odgovornost naročnika.
Primer Mobius Solutions Ltd/Deezer (december 2025, 1 milijon evrov) ponazarja najpogostejše pomanjkljivosti: hramba podatkov po izteku pogodbe, obdelava zunaj navodil stranke, pomanjkanje registra, pomanjkanje varnostnih ukrepov, kar je privedlo do objave podatkov več milijonov uporabnikov na temnem spletu.
Primer Discord (2022, 800.000 EUR) povzroča sankcije na strani upravljavec podatkov odsotnost pogodbe, ki je v skladu s členom 28. Skupina Canal+, ki je bila leta 2022 kaznovana s 600.000 EUR, je bila kaznovana zlasti zaradi pomanjkanja zadostnih pogodbenih sporazumov. Od 27. januarja 2021 je CNIL je svojo doktrino uvedel s hkratnim odobritvijo upravljavec podatkov (150.000 EUR) in njegovega podizvajalca (75.000 EUR) zaradi neukrepanja proti prikrivanju poverilnic.
Kaj CNIL preučuje v svojih revizijah
Ko se sprejemajo odločitve, se nadzorna mreža CNIL Podrobnosti so postale jasnejše. Organ preverja obstoj Pogodba o podizvajanju v skladu z GDPR pisna in skladna s členom 28, dokumentacija navodil, posodobljen seznam nadaljnjih podizvajalcev, dejansko izvedeni tehnični in organizacijski ukrepi, postopki obveščanja za kršitev podatkov, ureditve za pomoč posameznikom pri uveljavljanju njihovih pravic, pogoje za prekinitev pogodbe in sledljivost opravljenih revizij.
Da bi vašo organizacijo pripravili na te kontrolne točke, naši Popoln vodnik za revizije skladnosti z GDPR podrobno opisuje metodologijo, ki jo je treba uporabiti.
Ali želite zavarovati svojo verigo podizvajalcev in dokazati skladnost s predpisi?
Gradnja trdnega pogodbenega okvira: sporazum o podizvajanju v skladu z GDPR
Obvezne določbe iz 28. člena, odstavka 3
Sporazum o obdelavi podatkov (DPA), Ali Pogodba o podizvajanju v skladu z GDPRmora vključevati osnovni sklop klavzul, ki jih določa uredba: predmet in trajanje obdelave, narava in namen, vrsta podatkov in kategorije oseb, obveznosti in pravice upravljavec podatkovVključevati mora tudi osem posebnih zavez podizvajalca: ravnanje po dokumentiranih navodilih, zagotavljanje zaupnosti, izvajanje zahtevanih varnostnih ukrepov, sodelovanje z nadaljnjimi podizvajalci le z dovoljenjem, pomoč pri odzivanju na zahteve posameznikov, pomoč pri varnostnih zadevah in obveščanju, vračilo ali izbris podatkov ob koncu pogodbe ter zagotavljanje vseh informacij, potrebnih za revizije.
Standardni pogoji poslovanja založnika so običajno nezadostni, kot na primer CNIL Dedalus in več drugih ponudnikov storitev, ki so bili od takrat sankcionirani, so bili zaradi tega kritizirani. Pregled vsake pogodbe posebej je bistvenega pomena.
Pasti, ki se jim je treba izogniti pri pisanju
Več napak redno spodkopava skladnost. Klavzula, ki podizvajalca popolnoma oprosti odgovornosti, ni izvršljiva zoper CNIL kot žrtev puščanja informacij. Manjkajoči ali zastareli seznam nadaljnjih podizvajalcev razkriva upravljavec podatkov do neuspeha. Nejasno opisani varnostni ukrepi so nezadostni: CNIL čaka na konkreten, preverljiv in datiran referenčni dokument. Odsotnost postopka za obveščanje o kršitvah ali roki, ki niso združljivi s 72 urami, ki so naloženi upravljavec podatkov, se sistematično hrani proti podizvajalcem, ki ne izpolnjujejo obveznosti.
Osrednja vloga pooblaščene osebe za varstvo podatkov in upravljanje podatkov
TA Pooblaščena oseba za varstvo podatkov Pooblaščena oseba za varstvo podatkov (DPO) ima ključno vlogo: vodi ocenjevanje ponudnikov storitev, potrjuje pogodbene klavzule, nadzira register podizvajalcev in opozarja vodstvo na tveganja. V odsotnosti Pooblaščena oseba za varstvo podatkovTe misije mora izvajati jasno opredeljena funkcija. upravljanje podatkov v veliki meri zanaša na to sposobnost ohranjanja odnosa s podizvajalci skozi čas.
Upravljanje odnosa skozi čas: revizije, spremljanje in incidenti
Stalna obveznost, ne formalnost podpisa
Ni dovolj, da to zapišeš v pogodbo. upravljavec podatkov mora sčasoma zagotoviti, da njegov ponudnik storitev spoštuje svoje zaveze: redne revizije, letni pregled DPA, sistematična posodobitev v primeru sprememb (nov nadaljnji podizvajalec, nov obseg, nova lokacija strežnika).
Tam CNIL je eksplicitno: uporaba podizvajalca nikoli ne izvzame upravljavec podatkov svoje dolžnosti skrbnosti. Sankcija Canal+ je temeljila prav na ugotovitvi, da ni bil izveden učinkovit nadzor nad ponudniki storitev. Nasprotno pa podjetje, ki je sposobno predložiti revizijska poročila, izpolnjene vprašalnike in akcijske načrte, dokazuje svojo skrbnost tudi v primeru incidenta.
TA Modul za podizvajalce Viqtor centralizira vrednotenje, pogodbo, nadaljnje podizvajalce, revizije in zgodovino izmenjav v enem samem repozitoriju.
Odzivanje na kršitev varnosti podatkov, v katero je vpleten ponudnik storitev
Precejšen delež kršitev, o katerih se vsako leto poroča CNIL vključuje podizvajalca. upravljavec podatkov Zato mora biti sistem hitrega obveščanja vključen v pogodbo že od samega začetka. Podizvajalec mora svojo stranko obvestiti »čim prej«, kar v praksi pomeni od 24 do 48 ur, da se omogoči obveščanje v zakonsko določenem 72-urnem roku. CNILNaša stran, posvečena izjava o kršitvi podatkov Podrobno opisuje korake.
Kaj morate upoštevati
- Vsak ponudnik storitev, ki se ukvarja z osebni podatki za vaš račun je Podizvajalec GDPRin prevzema tako vašo kot njegovo odgovornost.
- Predhodna ocena podizvajalca je izrecna obveznost v skladu s členom 28(1) GDPR in ne dobra praksa.
- TA Pogodba o podizvajanju v skladu z GDPR (DPA) mora vključevati vse obvezne določbe iz 28. člena; standardni splošni pogoji skoraj nikoli niso zadostni.
- Sankcije CNIL Nedavni primeri (Mobius 1 milijon EUR, Dedalus 1,5 milijona EUR, Canal+ 600 tisoč EUR, Discord 800 tisoč EUR) kažejo, da organ sankcionira tako ponudnike storitev, ki ne izpolnjujejo obveznosti, kot tudi malomarne stranke.
- Skladnost se dokazuje z dokumentacijo: registri, revizijami, poročili, akcijskimi načrti.
- Podizvajalsko razmerje se upravlja skozi čas, ne le ob podpisu.
Pogosta vprašanja – Podizvajalec GDPR
Kakšne so obveznosti podizvajalca v skladu z GDPR?
Podizvajalec mora delovati le na podlagi dokumentiranih navodil upravljavec podatkov, zagotavlja zaupnost, izvaja ustrezne varnostne ukrepe, vodi evidenco svojih dejavnosti, pomaga strankam pri upravljanju pravic in kršitev, uporablja nadaljnje podizvajalce le s pisnim dovoljenjem ter ob koncu pogodbe vrne ali izbriše podatke.
Ali lahko podizvajalec uporabi drugega podizvajalca (kaskadno oddajanje del podizvajalcem)?
Da, s predhodnim pisnim dovoljenjem upravljavec podatkovPosebno ali splošno pooblastilo. V primeru splošnega pooblastila mora podizvajalec obvestiti svojega naročnika o vseh spremembah, da lahko naročnik ugovarja. Prvotni podizvajalec ostane v celoti odgovoren za izpolnjevanje obveznosti naslednjega podizvajalca in mu mora naložiti enake pogodbene obveznosti.
Kakšne kazni so za podizvajalca predvidene zaradi neskladnosti z GDPR?
Podizvajalca lahko sankcionira CNIL do 10 milijonov EUR ali 2.140.000 letnega svetovnega prometa, kar je višje. Nedavna primera sta Mobius Solutions Ltd (1 milijon EUR decembra 2025) in Dedalus Biologie (1,5 milijona EUR aprila 2022). Podizvajalec je lahko odgovoren tudi zadevnim posameznikom v skladu s členom 82.
Katere klavzule je treba vključiti v pogodbo o podizvajanju v skladu z GDPR?
TA DPA Opisovati mora predmet, trajanje, naravo in namen obdelave, kategorije podatkov in posameznike ter vključevati osem zavez iz člena 28(3): dokumentirana navodila, zaupnost, varnost, nadzor nad nadaljnjimi podobdelovalci, pomoč pri pravicah posameznikov, pomoč pri obveščanju, vračilo ali uničenje podatkov ob koncu pogodbe in zagotavljanje informacij za revizije. Priložiti je treba seznam nadaljnjih podobdelovalcev.
Kako izbrati podizvajalca, ki je skladen z GDPR, za malo ali srednje veliko podjetje?
Ocena temelji na nekaj ključnih merilih: obstoj DPA skladnost, prisotnost Pooblaščena oseba za varstvo podatkovLokacija podatkov (po možnosti EU), varnostni certifikati (ISO 27001, HDS za zdravstvo), posodobljen seznam nadaljnjih podizvajalcev, reference in zgodovina incidentov. Izpolnjen in shranjen formalni vprašalnik o skladnosti služi kot dokazilo o vaši skrbnosti v primeru revizije.
Kakšne so odgovornosti ponudnika gostovanja v oblaku kot podizvajalca za GDPR?
Ponudnik gostovanja v oblaku, ki gosti osebni podatki Za stranko je to podizvajalec. Podizvajalec mora zagotoviti varnost (šifriranje, nadzor dostopa, varnostne kopije), obvestiti stranko v primeru kršitve, nadzorovati nadaljnje podizvajalce, omogočiti prenosljivost podatkov in učinkovito brisanje ter zagotoviti preglednost glede lokacije in prenosa podatkov. Za zdravstvene podatke so potrebni posebni certifikati, kot je HDS.
Ocenjevanje, nadzor in upravljanje podizvajalcev ni nekaj, kar bi se dalo improvizirati.
Če želite izvedeti več: vse naše vire o skladnosti z GDPR najdete na Platforma Viqtor.