Ο Γενικός Κανονισμός για την Προστασία Δεδομένων δεν είναι προαιρετικός για τους νομικούς επαγγελματίες. Κάθε δικηγορικό γραφείο, εσωτερικό νομικό τμήμα και πάροχος νομικής τεχνολογίας που χειρίζεται προσωπικά δεδομένα κατοίκων ΕΕ ή ΕΟΧ πρέπει να συμμορφώνεται. Και τα νομικά έγγραφα, από τη φύση τους, είναι κορεσμένα με προσωπικά δεδομένα: ονόματα, διευθύνσεις, αριθμούς ταυτότητας, οικονομικές λεπτομέρειες, ιστορικά απασχόλησης και μερικές φορές ευαίσθητες κατηγορίες όπως πληροφορίες υγείας ή ποινικά μητρώα.
Αυτός ο οδηγός καλύπτει τι πρέπει να γνωρίζουν οι νομικοί επαγγελματίες σχετικά με τη συμμόρφωση με τον GDPR κατά την εργασία με νομικά έγγραφα, από το ρυθμιστικό πλαίσιο έως την πρακτική εφαρμογή.
Κατανόηση του ρόλου σας: Υπεύθυνος επεξεργασίας έναντι εκτελούντος την επεξεργασία
Το πρώτο βήμα στη συμμόρφωση με τον GDPR είναι η κατανόηση του ρόλου σας στην αλυσίδα επεξεργασίας δεδομένων. Ένα δικηγορικό γραφείο που ενεργεί για λογαριασμό πελάτη είναι τυπικά ο υπεύθυνος επεξεργασίας δεδομένων για τα προσωπικά δεδομένα σε αυτή την υπόθεση. Το γραφείο καθορίζει γιατί και πώς υφίστανται επεξεργασία τα δεδομένα. Εάν το γραφείο χρησιμοποιεί μια πλατφόρμα νομικής τεχνολογίας για την ανάλυση ή αποθήκευση αυτών των εγγράφων, αυτή η πλατφόρμα ενεργεί ως εκτελών την επεξεργασία.
Αυτή η διάκριση έχει συγκεκριμένες συνέπειες. Οι υπεύθυνοι επεξεργασίας έχουν την κύρια ευθύνη για τη νόμιμη επεξεργασία, πρέπει να καθιερώσουν νομική βάση για κάθε δραστηριότητα επεξεργασίας και πρέπει να ανταποκρίνονται σε αιτήματα πρόσβασης υποκειμένων δεδομένων. Οι εκτελούντες την επεξεργασία πρέπει να ενεργούν μόνο σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας, να εφαρμόζουν κατάλληλα μέτρα ασφαλείας και να ειδοποιούν τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση σε περίπτωση παραβίασης δεδομένων.
Όταν ένα δικηγορικό γραφείο και ο πάροχος τεχνολογίας του παίζουν αμφότεροι ρόλο στον καθορισμό των σκοπών και των μέσων επεξεργασίας, μπορεί να είναι από κοινού υπεύθυνοι επεξεργασίας σύμφωνα με το άρθρο 26, που απαιτεί συγκεκριμένη ρύθμιση που καθορίζει τις αντίστοιχες ευθύνες τους.
Συμφωνίες επεξεργασίας δεδομένων
Κάθε σχέση μεταξύ ενός υπεύθυνου επεξεργασίας και ενός εκτελούντος την επεξεργασία απαιτεί μια Συμφωνία Επεξεργασίας Δεδομένων (DPA) που πληροί τις απαιτήσεις του άρθρου 28 GDPR. Για τα δικηγορικά γραφεία που χρησιμοποιούν πλατφόρμες νομικής τεχνολογίας, αυτή η συμφωνία πρέπει να καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, τους τύπους των προσωπικών δεδομένων που εμπλέκονται, τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας.
Μια ισχυρή DPA αντιμετωπίζει επίσης την υπο-επεξεργασία (η χρήση από τον εκτελούντα την επεξεργασία των δικών του παρόχων υπηρεσιών), τα δικαιώματα ελέγχου, τις διαδικασίες ειδοποίησης παραβίασης δεδομένων και το τι συμβαίνει με τα δεδομένα όταν η σχέση τελειώνει. Τα γενικά πρότυπα DPA είναι ένα σημείο εκκίνησης, αλλά θα πρέπει να αναθεωρούνται από κάποιον που κατανοεί τόσο την τεχνολογία όσο και το συγκεκριμένο νομικό πλαίσιο.
Νομική βάση για την επεξεργασία νομικών εγγράφων
Τα δικηγορικά γραφεία τυπικά βασίζονται σε διάφορες νομικές βάσεις σύμφωνα με το άρθρο 6 GDPR. Το έννομο συμφέρον (άρθρο 6(1)(στ)) χρησιμοποιείται συνήθως για εργασία σε υποθέσεις πελατών, αν και απαιτεί τεκμηριωμένη δοκιμή στάθμισης. Η συμβατική αναγκαιότητα (άρθρο 6(1)(β)) εφαρμόζεται όταν η επεξεργασία απαιτείται για την παροχή των νομικών υπηρεσιών για τις οποίες ο πελάτης έχει αναθέσει στο γραφείο. Η νομική υποχρέωση (άρθρο 6(1)(γ)) καλύπτει την επεξεργασία που απαιτείται από τον νόμο, όπως οι έλεγχοι κατά της νομιμοποίησης εσόδων από παράνομες δραστηριότητες.
Για ειδικές κατηγορίες δεδομένων σύμφωνα με το άρθρο 9, όπως δεδομένα υγείας σε υποθέσεις σωματικών βλαβών ή δεδομένα ποινικών αδικημάτων σε υποθέσεις υπεράσπισης, τα γραφεία πρέπει να εντοπίσουν μια πρόσθετη προϋπόθεση για την επεξεργασία. Αυτό συχνά εμπίπτει στο άρθρο 9(2)(στ): επεξεργασία αναγκαία για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.
Διασυνοριακές μεταφορές δεδομένων
Η νομική εργασία συχνά διασχίζει σύνορα και ο GDPR επιβάλλει αυστηρές απαιτήσεις στη μεταφορά προσωπικών δεδομένων εκτός ΕΟΧ. Μετά την απόφαση Schrems II, το νομικό τοπίο για διεθνείς μεταφορές έχει γίνει πολύπλοκο.
Για μεταφορές σε χώρες με απόφαση επάρκειας (όπως το ΗΒ μετά το Brexit ή οι ΗΠΑ σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ), η διαδικασία είναι σχετικά απλή. Για άλλες δικαιοδοσίες, τα γραφεία πρέπει να εφαρμόσουν κατάλληλες διασφαλίσεις, τυπικά Τυποποιημένες Συμβατικές Ρήτρες (SCCs) που συμπληρώνονται από Εκτίμηση Επιπτώσεων Μεταφοράς, η οποία αξιολογεί εάν το νομικό πλαίσιο της χώρας παραλήπτη παρέχει επαρκή προστασία στην πράξη.
Τα δικηγορικά γραφεία που χειρίζονται Σκανδιναβικές υποθέσεις θα πρέπει να είναι ιδιαίτερα προσεκτικά στις απαιτήσεις των εθνικών αρχών προστασίας δεδομένων τους. Η νορβηγική Datatilsynet, η σουηδική IMY και η δανική Datatilsynet έχουν εκδώσει η καθεμιά καθοδήγηση σχετικά με διεθνείς μεταφορές που συμπληρώνει τις γενικές συστάσεις του EDPB.
Κρυπτογράφηση και έλεγχοι πρόσβασης
Το άρθρο 32 GDPR απαιτεί από τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίζουν επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο. Για τα νομικά έγγραφα, αυτό σημαίνει διάφορα πράγματα.
Η κρυπτογράφηση σε κατάσταση ηρεμίας διασφαλίζει ότι εάν παραβιαστούν τα μέσα αποθήκευσης, τα δεδομένα παραμένουν μη αναγνώσιμα χωρίς το κλειδί κρυπτογράφησης. Η κρυπτογράφηση κατά τη μεταφορά (TLS/SSL) προστατεύει τα δεδομένα καθώς μετακινούνται μεταξύ της συσκευής του χρήστη και της πλατφόρμας. Η κρυπτογράφηση από άκρο σε άκρο πηγαίνει παραπέρα διασφαλίζοντας ότι ακόμη και ο πάροχος υπηρεσιών δεν μπορεί να αποκτήσει πρόσβαση στο περιεχόμενο σε καθαρό κείμενο.
Οι έλεγχοι πρόσβασης θα πρέπει να ακολουθούν την αρχή του ελάχιστου προνομίου: κάθε χρήστης θα πρέπει να έχει πρόσβαση μόνο στα έγγραφα και τις λειτουργίες που χρειάζεται για τον συγκεκριμένο ρόλο του. Ο έλεγχος πρόσβασης βάσει ρόλων, ο έλεγχος ταυτότητας πολλαπλών παραγόντων και η ολοκληρωμένη καταγραφή ελέγχου δημιουργούν επίπεδα προστασίας που μειώνουν τόσο τον κίνδυνο όσο και τον αντίκτυπο της μη εξουσιοδοτημένης πρόσβασης.
Η κρυπτογράφηση BYOK αποτελεί αναδυόμενη βέλτιστη πρακτική για ευαίσθητη νομική εργασία. Επιτρέποντας στο δικηγορικό γραφείο να ελέγχει τα κλειδιά κρυπτογράφησης, η BYOK διασφαλίζει ότι ο πάροχος τεχνολογίας δεν μπορεί να αποκτήσει πρόσβαση στα έγγραφα του γραφείου, ακόμη και υπό εξαναγκασμό.
Δικαιώματα υποκειμένων δεδομένων και διατήρηση νομικών εγγράφων
Ο GDPR παρέχει στα υποκείμενα δεδομένων μια σειρά δικαιωμάτων, συμπεριλαμβανομένης της πρόσβασης (άρθρο 15), της διόρθωσης (άρθρο 16), της διαγραφής (άρθρο 17) και της φορητότητας (άρθρο 20). Για τα δικηγορικά γραφεία, αυτά τα δικαιώματα τέμνονται με τις επαγγελματικές υποχρεώσεις γύρω από τη διατήρηση εγγράφων, το νομικό απόρρητο και το καθήκον διατήρησης αποδεικτικών στοιχείων.
Το δικαίωμα διαγραφής δεν είναι απόλυτο. Το άρθρο 17(3) προβλέπει εξαιρέσεις για επεξεργασία αναγκαία για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων και για συμμόρφωση με νομική υποχρέωση. Ένα δικηγορικό γραφείο μπορεί να διατηρεί νόμιμα έγγραφα που περιέχουν προσωπικά δεδομένα εάν αυτά τα έγγραφα είναι απαραίτητα για συνεχιζόμενες ή προβλεπόμενες νομικές διαδικασίες ή εάν η διατήρηση απαιτείται από επαγγελματικούς κανονισμούς ή νομοθεσία κατά της νομιμοποίησης εσόδων από παράνομες δραστηριότητες.
Ωστόσο, τα γραφεία πρέπει να έχουν σαφή πολιτική διατήρησης που καθορίζει πόσο καιρό διατηρούνται τα έγγραφα και γιατί, και πρέπει στην πραγματικότητα να διαγράφουν τα δεδομένα όταν λήγει η περίοδος διατήρησης. Η αόριστη διατήρηση χωρίς τεκμηριωμένη αιτιολόγηση δεν είναι συμμορφούμενη.
Πρακτική λίστα ελέγχου GDPR για δικηγορικά γραφεία
Τα ακόλουθα βήματα παρέχουν ένα πρακτικό πλαίσιο για συμμόρφωση με τον GDPR στον χειρισμό νομικών εγγράφων. Διενεργήστε άσκηση χαρτογράφησης δεδομένων για να εντοπίσετε όλες τις ροές προσωπικών δεδομένων μέσω των συστημάτων του γραφείου σας. Τεκμηριώστε τη νομική βάση για κάθε δραστηριότητα επεξεργασίας. Διασφαλίστε ότι υπάρχουν Συμφωνίες Επεξεργασίας Δεδομένων με όλους τους παρόχους τεχνολογίας. Εφαρμόστε κρυπτογράφηση σε κατάσταση ηρεμίας και κατά τη μεταφορά για όλη την αποθήκευση και μετάδοση εγγράφων. Διαμορφώστε ελέγχους πρόσβασης βάσει ρόλων και ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων. Καθιερώστε πολιτική διατήρησης δεδομένων με καθορισμένες περιόδους διατήρησης και αυτοματοποιημένη επιβολή. Δημιουργήστε διαδικασίες για ανταπόκριση σε αιτήματα πρόσβασης υποκειμένων δεδομένων εντός της προθεσμίας 30 ημερών. Διενεργήστε Εκτιμήσεις Επιπτώσεων Προστασίας Δεδομένων για δραστηριότητες επεξεργασίας υψηλού κινδύνου. Εκπαιδεύστε όλο το προσωπικό σχετικά με τις υποχρεώσεις προστασίας δεδομένων και τεκμηριώστε αυτή την εκπαίδευση. Διατηρήστε σχέδιο αντιμετώπισης παραβιάσεων με σαφείς διαδικασίες ειδοποίησης.
Η συμμόρφωση με τον GDPR δεν είναι μια εφάπαξ άσκηση αλλά μια συνεχιζόμενη υποχρέωση. Οι τακτικές αναθεωρήσεις, η ενημερωμένη εκπαίδευση και η συνεχής παρακολούθηση είναι απαραίτητες για τη διατήρηση της συμμόρφωσης καθώς εξελίσσονται τόσο το ρυθμιστικό τοπίο όσο και οι δραστηριότητες επεξεργασίας του γραφείου σας.
Συχνές ερωτήσεις
- Ποιοι πρέπει να συμμορφώνονται με τον GDPR;
- Κάθε οργανισμός που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα κατοίκων ΕΕ ή ΕΟΧ, ανεξαρτήτως έδρας. Ένα δικηγορικό γραφείο στις ΗΠΑ που εξυπηρετεί πελάτη από την ΕΕ πρέπει να συμμορφώνεται. Ένας Ιάπωνας πάροχος SaaS με χρήστες στην ΕΕ πρέπει να συμμορφώνεται.
- Ποια είναι η διαφορά μεταξύ υπεύθυνου επεξεργασίας και εκτελούντος την επεξεργασία;
- Ο υπεύθυνος αποφασίζει γιατί και πώς επεξεργάζονται τα δεδομένα — συνήθως το δικηγορικό γραφείο. Ο εκτελών ενεργεί σύμφωνα με τις οδηγίες του υπεύθυνου — συνήθως η τεχνολογική πλατφόρμα. Οι υπεύθυνοι φέρουν την κύρια ευθύνη· οι εκτελούντες υλοποιούν την ασφάλεια και ακολουθούν οδηγίες.
- Υπερισχύει το δικαίωμα διαγραφής των υποχρεώσεων διατήρησης νομικών εγγράφων;
- Όχι απόλυτα. Το άρθρο 17(3) του GDPR εξαιρεί την επεξεργασία που είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων και την επεξεργασία που απαιτείται από νομική υποχρέωση. Τα γραφεία πρέπει να τεκμηριώνουν περιόδους διατήρησης και να διαγράφουν πραγματικά κατά τη λήξη.
Περαιτέρω ανάγνωση
Η Σύμβαση Επεξεργασίας Δεδομένων (DPA) είναι σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία που ορίζει πώς δύνανται να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου. Σύμφωνα με το άρθρο 28 GDPR, μια DPA είναι υποχρεωτική κάθε φορά που υπεύθυνος χρησιμοποιεί εκτελούντα και πρέπει να καλύπτει αντικείμενο, διάρκεια, εύρος και υποχρεώσεις του εκτελούντος.
→Η Συμφωνία Εμπιστευτικότητας (NDA) είναι σύμβαση με την οποία ένα ή και τα δύο μέρη αναλαμβάνουν να μην κοινοποιήσουν συγκεκριμένες πληροφορίες σε τρίτους. Ορίζει τι θεωρείται εμπιστευτικό, πόσο διαρκεί η υποχρέωση, με ποιους μπορεί να μοιραστεί η πληροφορία και τι συμβαίνει σε περίπτωση διαρροής.
→Η αποζημίωση είναι συμβατική υπόσχεση ενός μέρους (αποζημιωτής) να καλύψει τις ζημίες που υφίσταται άλλο μέρος (αποζημιούμενος) λόγω συγκεκριμένων γεγονότων — συνήθως αξιώσεων τρίτων, παραβίασης δηλώσεων ή ορισμένων ζημιών. Η ρήτρα ορίζει ποιες ζημίες καλύπτονται, τους ενεργοποιητές, ανώτατα όρια και πιθανές εξαιρέσεις.
→