Üldine andmekaitsemäärus ei ole juristidele valikuline. Iga õigusbüroo, majasisese juristkonsultatsiooni osakond ja õigustehnoloogia teenusepakkuja, kes käitleb EL-i või EMP elanike isikuandmeid, peab vastama nõuetele. Ja juriidilised dokumendid on oma loomult küllastunud isikuandmetest: nimed, aadressid, identifitseerimisnumbrid, finantsdetailid, töötaja minevik ja mõnikord ka tundlikud kategooriad nagu terviseteave või kriminaalkaristusandmed.
See juhend käsitleb seda, mida juristid peavad GDPR-i nõuete täitmise kohta teadma juriidiliste dokumentidega töötamisel, alates regulatiivsest raamistikust kuni praktilise rakendamiseni.
Sinu rolli mõistmine: vastutav töötleja vs. volitatud töötleja
GDPR-i nõuetele vastavuse esimene samm on oma rolli mõistmine andmetöötlusahelas. Kliendi nimel tegutsev õigusbüroo on tavaliselt asjas isikuandmete vastutav töötleja. Büroo otsustab, miks ja kuidas andmeid töödeldakse. Kui büroo kasutab nende dokumentide analüüsimiseks või säilitamiseks õigustehnoloogia platvormi, tegutseb see platvorm volitatud töötlejana.
Sellel eristusel on konkreetsed tagajärjed. Vastutavad töötlejad kannavad esmast vastutust seadusliku töötlemise eest, peavad iga töötlemistegevuse jaoks kindlaks määrama õigusliku aluse ning vastama andmesubjektide juurdepääsutaotlustele. Volitatud töötlejad peavad tegutsema ainult vastutava töötleja juhiste alusel, rakendama asjakohaseid turvameetmeid ja teavitama vastutavat töötlejat andmete rikkumise korral põhjendamatu viivituseta.
Kui õigusbüroo ja selle tehnoloogiline teenusepakkuja mängivad mõlemad rolli töötlemise eesmärkide ja vahendite kindlaksmääramisel, võivad nad olla artikli 26 alusel ühised vastutavad töötlejad, mis nõuab konkreetset kokkulepet, mis määratleb nende vastavad kohustused.
Andmetöötluslepingud
Iga vastutava töötleja ja volitatud töötleja vaheline suhe nõuab andmetöötluslepingut (DPA), mis vastab GDPR artikli 28 nõuetele. Õigustehnoloogia platvorme kasutavate õigusbüroode jaoks peab see leping täpsustama töötlemise objekti ja kestust, töötlemise olemust ja eesmärki, kaasatud isikuandmete liike, andmesubjektide kategooriaid ning vastutava töötleja kohustusi ja õigusi.
Tugev DPA käsitleb ka all-töötlemist (volitatud töötleja enda teenusepakkujate kasutamine), auditiõigusi, andmete rikkumise teavitamise protseduure ja seda, mis juhtub andmetega suhte lõppemisel. Üldised DPA mallid on lähtepunkt, kuid neid peaks üle vaatama keegi, kes mõistab nii tehnoloogiat kui ka konkreetset õiguslikku konteksti.
Õiguslik alus juriidiliste dokumentide töötlemiseks
Õigusbürood tuginevad tavaliselt mitmele õiguslikule alusele GDPR artikli 6 alusel. Õigustatud huvi (artikli 6 lõike 1 punkt f) kasutatakse tavaliselt kliendi juhtumi tööks, kuigi see nõuab dokumenteeritud tasakaalukatset. Lepinguline vajadus (artikli 6 lõike 1 punkt b) kehtib, kui töötlemine on vajalik klient büroo poolt osutatavate juriidiliste teenuste osutamiseks. Juriidiline kohustus (artikli 6 lõike 1 punkt c) hõlmab seadusega nõutavat töötlemist, näiteks rahapesuvastaseid kontrolle.
Artikli 9 alusel olevate eriliste andmekategooriate jaoks, näiteks terviseandmed isikuvigastuse juhtumites või kriminaalkuriteo andmed kaitsejuhtumites, peavad bürood tuvastama täiendava töötlemise tingimuse. See langeb sageli artikli 9 lõike 2 punkti f alla: töötlemine, mis on vajalik õigusnõuete kindlakstegemiseks, esitamiseks või kaitsmiseks.
Piiriülesed andmete edastamised
Õigustöö ületab sageli piire ja GDPR kehtestab ranged nõuded isikuandmete edastamisele EMP-st välja. Pärast Schrems II otsust on rahvusvahelise edastamise õiguslik maastik muutunud keerukaks.
Edastamiseks riikidesse, millel on piisavusotsus (näiteks Ühendkuningriik pärast Brexitit või USA EL-i ja USA andmekaitseraamistiku alusel), on protsess suhteliselt lihtne. Teiste jurisdiktsioonide puhul peavad bürood rakendama asjakohaseid kaitsemeetmeid, tüüpiliselt standardseid lepinguklausleid (SCC), mida täiendab edastamise mõjuhinnang, mis hindab, kas vastuvõtva riigi õiguslik raamistik pakub praktikas piisavat kaitset.
Põhjamaade asju käsitlevad õigusbürood peaksid olema eriti tähelepanelikud oma riiklike andmekaitseasutuste nõuete suhtes. Norra Datatilsynet, Rootsi IMY ja Taani Datatilsynet on kõik andnud välja juhiseid rahvusvaheliste edastamiste kohta, mis täiendavad EDPB üldisi soovitusi.
Krüpteerimine ja juurdepääsukontrollid
GDPR-i artikkel 32 nõuab vastutavatelt töötlejatelt ja volitatud töötlejatelt riskile vastava asjakohase tehnilise ja organisatsioonilise turvalisuse taseme tagamiseks asjakohaste meetmete rakendamist. Juriidiliste dokumentide jaoks tähendab see mitmeid asju.
Krüpteerimine puhkeolekus tagab, et kui andmekandja kompromiteerub, jääb andmed loetamatuks ilma krüpteerimisvõtmeta. Krüpteerimine edastamisel (TLS 1.3/SSL) kaitseb andmeid, kui need liiguvad kasutaja seadme ja platvormi vahel. Otspunktide krüpteerimine läheb veelgi kaugemale, tagades, et isegi teenusepakkuja ei pääse plaintext-sisule juurde.
Juurdepääsukontrollid peaksid järgima vähima privileegi põhimõtet: igal kasutajal peaks olema juurdepääs ainult dokumentidele ja funktsioonidele, mida ta vajab oma konkreetse rolli jaoks. Rollipõhine juurdepääsukontroll, mitmeastmeline autentimine ja põhjalik auditilogi loovad kaitsekihte, mis vähendavad nii volitamata juurdepääsu riski kui ka mõju.
BYOK krüpteerimine on tundlikule õigustööle tekkiv parim tava. Lubades õigusbürool kontrollida krüpteerimisvõtmeid, tagab BYOK, et tehnoloogiline teenusepakkuja ei pääse büroo dokumentidele juurde, isegi sundkorras.
Andmesubjektide õigused ja juriidiliste dokumentide säilitamine
GDPR annab andmesubjektidele rea õigusi, sealhulgas juurdepääs (artikkel 15), parandamine (artikkel 16), kustutamine (artikkel 17) ja teisaldatavus (artikkel 20). Õigusbüroode jaoks ristuvad need õigused ametialaste kohustustega dokumentide säilitamise, õigusliku konfidentsiaalsuse ja tõendite säilitamise kohustuse osas.
Õigus kustutamisele ei ole absoluutne. Artikli 17 lõige 3 sätestab erandid töötlemiseks, mis on vajalik õigusnõuete kindlakstegemiseks, esitamiseks või kaitsmiseks, ning juriidilise kohustuse täitmiseks. Õigusbüroo võib seaduslikult säilitada isikuandmeid sisaldavaid dokumente, kui need dokumendid on vajalikud käimasolevateks või eeldatavateks õigusprotseduurideks või kui säilitamine on nõutav ametialaste määruste või rahapesuvastaste õigusaktide alusel.
Kuid bürood peavad omama selget säilitamise eeskirja, mis täpsustab, kui kaua dokumente säilitatakse ja miks, ning peavad andmed kustutama, kui säilitamise periood lõpeb. Tähtajatu säilitamine ilma dokumenteeritud põhjenduseta ei ole nõuetele vastav.
Praktiline GDPR kontrollnimekiri õigusbüroodele
Järgmised sammud pakuvad praktilist raamistikku GDPR-i nõuete täitmiseks juriidiliste dokumentide käitlemisel. Vii läbi andmete kaardistamise ülesanne, et tuvastada kõik isikuandmete vood läbi büroo süsteemide. Dokumenteeri iga töötlemistegevuse jaoks õiguslik alus. Tagada, et andmetöötluslepingud on kõigi tehnoloogiliste teenusepakkujatega olemas. Rakenda krüpteerimine puhkeolekus ja edastamisel kõigi dokumentide säilitamise ja edastamise jaoks. Konfigureeri rollipõhised juurdepääsukontrollid ja luba mitmeastmeline autentimine. Kehtestage andmete säilitamise eeskiri, millel on määratletud säilitamisperioodid ja automaatne jõustamine. Loo protseduurid andmesubjektide juurdepääsutaotlustele vastamiseks 30-päevase tähtaja jooksul. Tee kõrge riskiga töötlemistegevuste jaoks andmekaitsealased mõjuhinnangud. Koolita kogu personali andmekaitsekohustuste kohta ja dokumenteeri see koolitus. Hoia rikkumise reageerimisplaani selgete teavitusprotseduuridega.
GDPR-i nõuetele vastavus ei ole ühekordne ülesanne, vaid pidev kohustus. Regulaarsed ülevaatused, ajakohastatud koolitus ja pidev jälgimine on vajalikud nõuetele vastavuse säilitamiseks, kui nii regulatiivne maastik kui ka teie büroo töötlemistegevused arenevad.
Korduma kippuvad küsimused
- Kes peab GDPR-ile vastama?
- Iga organisatsioon, kes töötleb EL-i või EMP elanike isikuandmeid, sõltumata asukohast. USA büroo EL-i kliendi teenindamisel peab järgima. Jaapani SaaS-pakkuja EL-i kasutajatega peab järgima.
- Milline on vahe vastutava töötleja ja volitatud töötleja vahel?
- Vastutav töötleja otsustab miks ja kuidas isikuandmeid töödeldakse — tavaliselt büroo. Volitatud töötleja tegutseb vastutava töötleja juhiste järgi — tavaliselt tehnoloogiaplatvorm. Vastutavad kannavad peamist vastutust; volitatud rakendavad turvalisust ja järgivad juhiseid.
- Kas kustutamisõigus kaalub üles juriidiliste dokumentide säilitamiskohustused?
- Mitte absoluutselt. GDPR artikli 17 lõige 3 vabastab töötlemise, mis on vajalik õigusnõuete tuvastamiseks, esitamiseks või kaitsmiseks, ning seadusest tuleneva töötlemise. Bürood peavad dokumenteerima säilitamisperioodid ja tegelikult kustutama nende lõppemisel.
Lisalugemist
Andmetöötlusleping (DPA) on leping vastutava töötleja ja volitatud töötleja vahel, mis määratleb, kuidas isikuandmeid võib töödelda vastutava töötleja nimel. GDPR artikli 28 kohaselt on DPA kohustuslik alati, kui vastutav töötleja kasutab volitatud töötlejat, ja peab hõlmama eset, kestust, ulatust ja volitatud töötleja kohustusi.
→Konfidentsiaalsusleping (NDA) on leping, mille järgi üks või mõlemad pooled kohustuvad mitte jagama teatud teavet kellegagi väljaspool lepingut. See määratleb, mis loetakse konfidentsiaalseks, kui kaua kohustus kestab, kellega teavet võib jagada ja mis juhtub, kui see lekib.
→Hüvitamine on lepinguline lubadus, millega üks pool (hüvitaja) kohustub katma teise poole (hüvitissaaja) kantud kaotused, mis tulenevad konkreetsetest sündmustest — tavaliselt kolmandate isikute nõuded, kinnituste rikkumine või määratletud kahjud. Klausel määratleb, millised kaotused on kaetud, käivitajad, ülemmäärad ja võimalikud erandid.
→