Obecné nařízení o ochraně osobních údajů (GDPR) představuje jedinečné výzvy pro platformy právních technologií. Právní dokumenty běžně obsahují citlivé osobní údaje — jména, adresy, finanční údaje a někdy i zdravotní informace nebo záznamy z rejstříku trestů — což činí dodržování GDPR nejen právní povinností, ale základním předpokladem důvěry.
Pro poskytovatele právních technologií je rozlišení mezi správcem údajů a zpracovatelem údajů klíčové. Když advokátní kancelář používá vaši platformu k analýze klientských smluv, vystupujete zpravidla jako zpracovatel údajů. To znamená, že musíte zavést odpovídající technická a organizační opatření, vést záznamy o zpracování a zajistit, aby se údaje používaly pouze k účelům stanoveným správcem. Smlouvy o zpracování údajů (DPA) musí být uzavřeny s každým zákazníkem a jasně definovat rozsah a povahu zpracování.
Právo na výmaz přináší zvláštní výzvy v kontextu právních technologií. Zatímco jednotlivci mohou požádat o smazání svých osobních údajů, právní dokumenty často slouží jako důkazní materiál nebo záznamy, které musí být uchovávány na základě jiných regulatorních povinností. Překonání tohoto napětí vyžaduje pečlivou právní analýzu a jasné zásady uchovávání dat, které vyvažují požadavky GDPR s profesními povinnostmi a pravidly pro uchovávání dokumentů.
Praktická implementace začíná mapováním dat: porozuměním, jaké přesně osobní údaje procházejí vaším systémem, kde jsou uloženy, kdo k nim má přístup a jak dlouho jsou uchovávány. Následně implementujte ochranu soukromí již od návrhu — šifrování v klidu i při přenosu, řízení přístupu na principu nejmenších oprávnění, automatizované vynucování pravidel uchovávání dat a komplexní auditní protokolování. Pravidelná posouzení vlivu na ochranu osobních údajů (DPIA) by měla být prováděna pokaždé, když zavádíte nové funkce zpracovávající osobní údaje novými způsoby.
Často kladené otázky
- Kdo musí dodržovat GDPR?
- Každá organizace zpracovávající osobní údaje rezidentů EU nebo EHP, bez ohledu na sídlo organizace. Americká kancelář obsluhující klienta z EU musí dodržovat. Japonský poskytovatel SaaS s uživateli v EU musí dodržovat.
- Jaký je rozdíl mezi správcem a zpracovatelem?
- Správce rozhoduje proč a jak se osobní údaje zpracovávají — obvykle advokátní kancelář. Zpracovatel jedná podle pokynů správce — obvykle technologická platforma. Správci nesou hlavní odpovědnost; zpracovatelé zavádějí bezpečnost a řídí se pokyny.
- Převažuje právo na výmaz nad povinnostmi uchovávání právních dokumentů?
- Ne absolutně. Článek 17(3) GDPR vylučuje zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků a zpracování vyžadované zákonem. Kanceláře musí dokumentovat doby uchovávání a skutečně mazat po jejich uplynutí.
Další čtení
Smlouva o zpracování osobních údajů (DPA) je smlouva mezi správcem a zpracovatelem, která definuje, jak lze osobní údaje zpracovávat jménem správce. Podle článku 28 GDPR je DPA povinná vždy, když správce využívá zpracovatele, a musí pokrývat předmět, dobu trvání, rozsah a povinnosti zpracovatele.
→Dohoda o mlčenlivosti (NDA) je smlouva, kterou jedna nebo obě strany souhlasí, že nebudou sdílet určité informace s nikým mimo dohodu. Definuje, co se považuje za důvěrné, jak dlouho povinnost trvá, s kým lze informaci sdílet a co se stane, pokud unikne.
→Odškodnění je smluvní závazek, kterým se jedna strana (odškodňující) zavazuje pokrýt ztráty utrpěné druhou stranou (odškodňovanou) v důsledku konkrétních událostí — typicky nároků třetích stran, porušení prohlášení nebo definovaných škod. Doložka definuje kryté ztráty, spouštěče, limity a případné výjimky.
→