Votre organisme ne peut choisir que des sous-traitants présentant des garanties suffisantes pour assurer la protection des données à caractère personnel qu’ils traitent.
Assurez-vous de l’existence de clauses contractuelles précisant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
Si vous faites appel à des sous-traitants luxembourgeois ou établis au sein d’autres pays de l’Union européenne, vous pouvez utiliser les clauses contractuelles types (CCT) publiées par la Commission européenne comme « modèles de contrat » à signer avec vos sous-traitants. Vous restez toutefois libres de signer des contrats de sous-traitance ne se basant pas sur ces CCT, à condition de respecter les exigences de l’article 28, paragraphe (3) du RGPD.
Si vous faites appel à des sous-traitants établis dans des pays tiers (en dehors de l’Union européenne), des obligations supplémentaires s’appliquent. Merci de vous référer dans ce cas à la page « transferts internationaux de données personnelles ».