Vodič za GDPR usklađenost pravnih dokumenata

Opća uredba o zaštiti podataka nije izborna za pravne stručnjake. Svaki odvjetnički ured, interni pravni odjel i pružatelj pravne tehnologije koji obrađuje osobne podatke građana EU-a ili EGP-a mora biti usklađen. A pravni dokumenti su, po svojoj prirodi, ispunjeni osobnim podacima: imenima, adresama, identifikacijskim brojevima, financijskim podacima, povijesti zaposlenja i ponekad osjetljivim kategorijama poput zdravstvenih ili kaznenih podataka.

Ovaj vodič obuhvaća ono što pravni stručnjaci trebaju znati o GDPR usklađenosti pri radu s pravnim dokumentima, od regulatornog okvira do praktične primjene.

Razumijevanje vaše uloge: voditelj obrade ili izvršitelj obrade

Prvi korak prema GDPR usklađenosti jest razumjeti svoju ulogu u lancu obrade podataka. Odvjetnički ured koji djeluje u ime klijenta tipično je voditelj obrade osobnih podataka u tom predmetu. Ured određuje zašto i kako se podaci obrađuju. Ako ured koristi platformu pravne tehnologije za analizu ili pohranu tih dokumenata, ta platforma djeluje kao izvršitelj obrade.

To razlikovanje ima konkretne posljedice. Voditelji obrade snose primarnu odgovornost za zakonitu obradu, moraju utvrditi pravnu osnovu za svaku radnju obrade i moraju odgovarati na zahtjeve ispitanika za pristup. Izvršitelji obrade smiju djelovati samo prema uputama voditelja, primijeniti odgovarajuće sigurnosne mjere i bez nepotrebne odgode obavijestiti voditelja o povredi podataka.

Kada odvjetnički ured i njegov pružatelj tehnologije zajedno utvrđuju svrhe i sredstva obrade, mogu biti zajednički voditelji obrade prema članku 26., što zahtijeva poseban dogovor koji utvrđuje njihove odgovornosti.

Ugovori o obradi podataka

Svaki odnos između voditelja i izvršitelja obrade zahtijeva ugovor o obradi podataka (DPA) koji ispunjava zahtjeve članka 28. GDPR-a. Za odvjetničke urede koji koriste platforme pravne tehnologije, taj ugovor mora navesti predmet i trajanje obrade, prirodu i svrhu obrade, vrste osobnih podataka, kategorije ispitanika te obveze i prava voditelja.

Robustan DPA uređuje i podizvršenje (korištenje vlastitih pružatelja usluga od strane izvršitelja), prava na reviziju, postupke obavještavanja o povredi podataka i što se događa s podacima nakon prestanka odnosa. Generički DPA predlošci dobra su polazna točka, ali ih treba pregledati netko tko razumije i tehnologiju i specifičan pravni kontekst.

Pravna osnova za obradu pravnih dokumenata

Odvjetnički uredi tipično se oslanjaju na nekoliko pravnih osnova iz članka 6. GDPR-a. Legitimni interes (članak 6. stavak 1. točka (f)) često se koristi za rad na klijentskim predmetima, iako zahtijeva dokumentirani test ravnoteže. Ugovorna nužnost (članak 6. stavak 1. točka (b)) primjenjuje se kada je obrada potrebna za pružanje pravnih usluga koje je klijent angažirao. Pravna obveza (članak 6. stavak 1. točka (c)) pokriva obradu propisanu zakonom, primjerice provjere protiv pranja novca.

Za posebne kategorije podataka iz članka 9., kao što su zdravstveni podaci u predmetima osobnih ozljeda ili podaci o kaznenim djelima u obrani, uredi moraju utvrditi dodatni uvjet obrade. To često spada u članak 9. stavak 2. točku (f): obrada nužna za uspostavljanje, ostvarivanje ili obranu pravnih zahtjeva.

Prekogranični prijenosi podataka

Pravni rad često prelazi granice, a GDPR postavlja stroge zahtjeve za prijenos osobnih podataka izvan EGP-a. Nakon presude Schrems II pravni je krajolik za međunarodne prijenose postao složen.

Za prijenose u zemlje s odlukom o primjerenosti (kao što su Ujedinjeno Kraljevstvo nakon Brexita ili SAD prema EU-US Data Privacy Frameworku), proces je relativno jednostavan. Za druge jurisdikcije uredi moraju primijeniti odgovarajuće zaštitne mjere, tipično standardne ugovorne klauzule (SCC) dopunjene procjenom učinka prijenosa koja ocjenjuje pruža li pravni okvir zemlje primatelja primjerenu zaštitu u praksi.

Odvjetnički uredi koji obrađuju nordijske predmete trebaju posebno paziti na zahtjeve nacionalnih nadzornih tijela za zaštitu podataka. Norveški Datatilsynet, švedski IMY i danski Datatilsynet izdali su smjernice o međunarodnim prijenosima koje nadopunjuju opće preporuke EDPB-a.

Enkripcija i kontrole pristupa

Članak 32. GDPR-a zahtijeva od voditelja i izvršitelja obrade primjenu odgovarajućih tehničkih i organizacijskih mjera kako bi se osigurala razina sigurnosti primjerena riziku. Za pravne dokumente to znači više stvari.

Enkripcija u mirovanju osigurava da, ako je medij za pohranu kompromitiran, podaci ostanu nečitljivi bez ključa za enkripciju. Enkripcija tijekom prijenosa (TLS/SSL) štiti podatke dok putuju između korisničkog uređaja i platforme. End-to-end enkripcija ide dalje, osiguravajući da niti pružatelj usluge ne može pristupiti otvorenom tekstu sadržaja.

Kontrole pristupa trebaju slijediti načelo najmanje povlastice: svaki korisnik treba imati pristup samo dokumentima i funkcijama potrebnima za njegovu konkretnu ulogu. Kontrola pristupa temeljena na ulogama, višefaktorska autentifikacija i sveobuhvatni revizijski zapis stvaraju slojeve zaštite koji smanjuju i rizik i utjecaj neovlaštenog pristupa.

BYOK enkripcija (bring-your-own-key) je sve uvrjeniji najbolji standard za osjetljiv pravni rad. Time što odvjetničkom uredu omogućuje kontrolu nad ključevima enkripcije, BYOK osigurava da pružatelj tehnologije ne može pristupiti dokumentima ureda, čak ni pod prinudom.

Prava ispitanika i čuvanje pravnih dokumenata

GDPR ispitanicima daje niz prava, uključujući pristup (članak 15.), ispravak (članak 16.), brisanje (članak 17.) i prenosivost (članak 20.). Za odvjetničke urede ta se prava prepliću s profesionalnim obvezama u pogledu čuvanja dokumenata, odvjetničke tajne i obveze očuvanja dokaza.

Pravo na brisanje nije apsolutno. Članak 17. stavak 3. predviđa iznimke za obradu nužnu za uspostavljanje, ostvarivanje ili obranu pravnih zahtjeva, kao i za usklađenost s pravnom obvezom. Odvjetnički ured zakonito može zadržati dokumente s osobnim podacima ako su ti dokumenti potrebni za tekuće ili predviđene pravne postupke ili ako je čuvanje propisano profesionalnim pravilima ili zakonodavstvom o sprječavanju pranja novca.

Međutim, uredi moraju imati jasnu politiku čuvanja koja propisuje koliko se dokumenti čuvaju i zašto, te zaista brisati podatke kad istekne razdoblje čuvanja. Neograničeno čuvanje bez dokumentiranog razloga nije usklađeno.

Praktični GDPR popis za provjeru za odvjetničke urede

Sljedeći koraci nude praktičan okvir za GDPR usklađenost u rukovanju pravnim dokumentima. Provedite mapiranje podataka kako biste utvrdili sve tokove osobnih podataka kroz sustave ureda. Dokumentirajte pravnu osnovu za svaku radnju obrade. Osigurajte da su ugovori o obradi podataka sklopljeni sa svim pružateljima tehnologije. Primijenite enkripciju u mirovanju i tijekom prijenosa za sve pohrane i prijenose dokumenata. Konfigurirajte kontrole pristupa temeljene na ulogama i omogućite višefaktorsku autentifikaciju. Uspostavite politiku čuvanja s definiranim razdobljima i automatiziranom provedbom. Izradite postupke za odgovaranje na zahtjeve ispitanika za pristup u roku od 30 dana. Provedite procjene učinka na zaštitu podataka za visokorizične radnje obrade. Educirajte sve zaposlenike o obvezama u području zaštite podataka i dokumentirajte tu edukaciju. Održavajte plan reakcije na povredu s jasnim postupcima obavještavanja.

GDPR usklađenost nije jednokratna vježba, već trajna obveza. Redoviti pregledi, ažurirana edukacija i kontinuirano praćenje nužni su za održavanje usklađenosti kako se razvijaju i regulatorni krajolik i radnje obrade vašeg ureda.