Ръководство за съответствие с GDPR при правни документи

Общият регламент за защита на данните не е по избор за юристите. Всяка адвокатска кантора, вътрешен правен отдел и доставчик на правни технологии, който обработва лични данни на жители на ЕС или ЕИП, трябва да спазва изискванията. А правните документи по своя характер са наситени с лични данни: имена, адреси, идентификационни номера, финансови подробности, трудова история и понякога чувствителни категории като здравна информация или съдимост.

Това ръководство покрива какво юристите трябва да знаят за съответствието с GDPR при работа с правни документи — от регулаторната рамка до практическото внедряване.

Разбиране на вашата роля: администратор срещу обработващ

Първата стъпка към съответствие с GDPR е разбиране на вашата роля във веригата за обработка на данни. Адвокатска кантора, действаща от името на клиент, обикновено е администратор на лични данни за личните данни по това дело. Кантората определя защо и как се обработват данните. Ако кантората използва платформа за правни технологии за анализиране или съхраняване на тези документи, тази платформа действа като обработващ данни.

Това разграничение има конкретни последици. Администраторите носят основната отговорност за законната обработка, трябва да установят правно основание за всяка дейност по обработка и трябва да отговарят на искания за достъп от субектите на данните. Обработващите трябва да действат само по инструкции на администратора, да прилагат подходящи мерки за сигурност и да уведомят администратора без неоснователно забавяне в случай на нарушение на сигурността на данните.

Когато адвокатска кантора и нейният технологичен доставчик играят роля при определянето на целите и средствата за обработка, те могат да бъдат съвместни администратори по член 26, което изисква специално споразумение, определящо съответните им отговорности.

Споразумения за обработка на данни

Всяка връзка между администратор и обработващ изисква DPA, което отговаря на изискванията на член 28 от GDPR. За адвокатски кантори, използващи платформи за правни технологии, това споразумение трябва да определя предмета и срока на обработката, естеството и целта на обработката, видовете лични данни, категориите субекти на данните и задълженията и правата на администратора.

Здравото DPA също така урежда подобработката (използването на собствените доставчици на услуги от обработващия), правата за одит, процедурите за уведомяване при нарушения на данните и какво се случва с данните, когато връзката приключи. Общите шаблони за DPA са отправна точка, но трябва да бъдат прегледани от някого, който разбира както технологията, така и конкретния правен контекст.

Законно основание за обработка на правни документи

Адвокатските кантори обикновено разчитат на няколко правни основания по член 6 от GDPR. Легитимният интерес (член 6, параграф 1, буква е) обикновено се използва за работа по дела на клиенти, въпреки че изисква документиран тест за балансиране. Договорната необходимост (член 6, параграф 1, буква б) се прилага, когато обработката се изисква за изпълнение на правните услуги, които клиентът е възложил на кантората. Правното задължение (член 6, параграф 1, буква в) обхваща обработката, изисквана от закона, като например проверки за противодействие на изпирането на пари.

За специални категории данни по член 9, като например здравни данни в случаи на телесни повреди или данни за наказателни нарушения по защитни въпроси, канторите трябва да идентифицират допълнително условие за обработка. Това често попада в обхвата на член 9, параграф 2, буква е: обработка, необходима за установяване, упражняване или защита на правни искове.

Трансгранични трансфери на данни

Правната работа често преминава граници и GDPR налага строги изисквания за прехвърляне на лични данни извън ЕИП. След решението по делото Schrems II правният пейзаж за международните трансфери стана сложен.

За трансфери към държави с решение за адекватност (като Обединеното кралство след Brexit или САЩ съгласно рамката за поверителност на данните между ЕС и САЩ) процесът е сравнително прост. За други юрисдикции канторите трябва да прилагат подходящи предпазни мерки, обикновено стандартни договорни клаузи (SCC), допълнени с оценка на въздействието върху трансфера, която оценява дали правната рамка на държавата получател осигурява адекватна защита на практика.

Адвокатските кантори, работещи по нордически дела, трябва да обърнат особено внимание на изискванията на своите национални органи за защита на данните. Норвежкият Datatilsynet, шведският IMY и датският Datatilsynet са издали указания за международни трансфери, които допълват общите препоръки на ЕКЗД.

Криптиране и контрол на достъпа

Член 32 от GDPR изисква от администраторите и обработващите да прилагат подходящи технически и организационни мерки за осигуряване на ниво на сигурност, подходящо за риска. За правни документи това означава няколко неща.

Криптирането в покой гарантира, че ако носителят за съхранение е компрометиран, данните остават нечитаеми без ключа за криптиране. Криптирането при пренос (TLS 1.3) защитава данните, докато се движат между устройството на потребителя и платформата. Криптирането от край до край отива по-нататък, като гарантира, че дори доставчикът на услуги не може да достъпи открития текст.

Контролът на достъпа трябва да следва принципа на най-малка привилегия: всеки потребител трябва да има достъп само до документите и функциите, от които се нуждае за конкретната си роля. Базиран на роли контрол на достъпа, многофакторно удостоверяване и подробен одитен журнал създават слоеве на защита, които намаляват както риска, така и въздействието на неупълномощен достъп.

Криптирането BYOK е появяваща се най-добра практика за чувствителна правна работа. Като позволява на адвокатската кантора да контролира ключовете за криптиране, BYOK гарантира, че технологичният доставчик не може да достъпи документите на кантората, дори при принуда.

Права на субектите на данните и съхранение на правни документи

GDPR предоставя на субектите на данните набор от права, включително достъп (член 15), коригиране (член 16), изтриване (член 17) и преносимост (член 20). За адвокатските кантори тези права се пресичат с професионалните задължения относно съхранението на документи, адвокатската тайна и задължението за запазване на доказателства.

Правото на изтриване не е абсолютно. Член 17, параграф 3 предвижда изключения за обработка, необходима за установяване, упражняване или защита на правни искове, и за спазване на правно задължение. Адвокатска кантора може законно да съхранява документи, съдържащи лични данни, ако тези документи са необходими за текущи или предстоящи правни производства, или ако съхранението се изисква от професионални разпоредби или законодателство за противодействие на изпирането на пари.

Канторите обаче трябва да имат ясна политика за съхранение, която определя колко дълго се съхраняват документите и защо, и трябва действително да изтриват данните, когато срокът на съхранение изтече. Безсрочно съхранение без документирано основание не е в съответствие.

Практически контролен списък за GDPR за адвокатски кантори

Следващите стъпки осигуряват практическа рамка за съответствие с GDPR при обработка на правни документи. Извършете упражнение по картографиране на данните, за да идентифицирате всички потоци от лични данни през системите на вашата кантора. Документирайте правното основание за всяка дейност по обработка. Уверете се, че споразумения за обработка на данни са в сила с всички технологични доставчици. Прилагайте криптиране в покой и при пренос за всички съхранения и предавания на документи. Конфигурирайте контрол на достъпа, базиран на роли, и активирайте многофакторно удостоверяване. Установете политика за съхранение на данни с дефинирани срокове за съхранение и автоматично прилагане. Създайте процедури за реагиране на искания за достъп от субектите на данните в рамките на 30-дневния срок. Извършете оценки на въздействието върху защитата на данните за дейности по обработка с висок риск. Обучете целия персонал по задълженията за защита на данните и документирайте това обучение. Поддържайте план за реагиране на нарушения с ясни процедури за уведомяване.

Съответствието с GDPR не е еднократно упражнение, а продължаващо задължение. Редовни прегледи, актуализирано обучение и непрекъснат мониторинг са необходими за поддържане на съответствие, тъй като както регулаторната среда, така и дейностите по обработка на вашата кантора се развиват.