Az általános adatvédelmi rendelet nem opcionális a jogi szakemberek számára. Minden ügyvédi irodának, in-house jogi osztálynak és jogi technológiai szolgáltatónak, amely EU- vagy EGT-lakosok személyes adatait kezeli, meg kell felelnie a GDPR-nak. A jogi dokumentumok pedig természetüknél fogva telítettek személyes adatokkal: nevek, címek, azonosító számok, pénzügyi adatok, foglalkoztatási előzmények, néha pedig olyan különleges kategóriák, mint az egészségügyi információk vagy a büntetett előélet.
Ez az útmutató bemutatja, mit kell tudniuk a jogi szakembereknek a GDPR-megfelelésről, amikor jogi dokumentumokkal dolgoznak, a szabályozási keretrendszertől a gyakorlati megvalósításig.
Ismerje meg a szerepét: adatkezelő vs. adatfeldolgozó
A GDPR-megfelelés első lépése a szerepének megértése az adatkezelési láncban. Egy ügyfél nevében eljáró ügyvédi iroda jellemzően az adott ügyben lévő személyes adatok adatkezelője. Az iroda határozza meg, miért és hogyan dolgozzák fel az adatokat. Ha az iroda jogi technológiai platformot használ ezen dokumentumok elemzésére vagy tárolására, az a platform adatfeldolgozóként jár el.
Ennek a megkülönböztetésnek konkrét következményei vannak. Az adatkezelők elsődleges felelősséget viselnek a jogszerű adatkezelésért, jogalapot kell megállapítaniuk minden adatkezelési tevékenységhez, és válaszolniuk kell az érintettek hozzáférési kéréseire. Az adatfeldolgozók csak az adatkezelő utasításai alapján járhatnak el, megfelelő biztonsági intézkedéseket kell alkalmazniuk, és indokolatlan késedelem nélkül értesíteniük kell az adatkezelőt adatvédelmi incidens esetén.
Amikor egy ügyvédi iroda és technológiai szolgáltatója is szerepet játszik az adatkezelés céljainak és eszközeinek meghatározásában, közös adatkezelőkké válhatnak a 26. cikk értelmében, amely olyan konkrét megállapodást ír elő, amely meghatározza a felelősségüket.
Adatfeldolgozási megállapodások
Az adatkezelő és az adatfeldolgozó közötti minden kapcsolat olyan adatfeldolgozási megállapodást (DPA-t) igényel, amely megfelel a GDPR 28. cikkének követelményeinek. A jogi technológiai platformokat használó ügyvédi irodák esetében ennek a megállapodásnak meg kell határoznia az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és célját, az érintett személyes adatok típusait, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait.
Egy robusztus DPA foglalkozik a továbbfeldolgozással is (az adatfeldolgozó saját szolgáltatóinak igénybevétele), az auditjogokkal, az adatvédelmi incidens értesítési eljárásaival, és azzal, hogy mi történik az adatokkal a kapcsolat megszűnésekor. Az általános DPA-sablonok kiindulópontot jelentenek, de olyan személynek kell felülvizsgálnia őket, aki érti a technológiát és a konkrét jogi kontextust egyaránt.
Jogalap a jogi dokumentumok feldolgozásához
Az ügyvédi irodák jellemzően több jogalapra támaszkodnak a GDPR 6. cikke alapján. A jogos érdek (6. cikk (1) bekezdés f) pontja) általánosan használatos az ügyfélügyi munkára, bár dokumentált mérlegelési tesztet igényel. A szerződéses szükségszerűség (6. cikk (1) bekezdés b) pontja) akkor alkalmazandó, amikor az adatkezelés szükséges az iroda által nyújtandó jogi szolgáltatások teljesítéséhez. A jogi kötelezettség (6. cikk (1) bekezdés c) pontja) lefedi a törvény által előírt adatkezelést, például a pénzmosás elleni ellenőrzéseket.
A 9. cikk szerinti különleges adatkategóriák, például a személyi sérüléses ügyekben szereplő egészségügyi adatok vagy a védelmi ügyekben szereplő bűncselekményi adatok esetében az irodáknak további feldolgozási feltételt kell azonosítaniuk. Ez gyakran a 9. cikk (2) bekezdés f) pontja alá esik: jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges adatkezelés.
Határokon átnyúló adattovábbítás
A jogi munka gyakran lépi át a határokat, és a GDPR szigorú követelményeket támaszt a személyes adatok EGT-n kívüli továbbítására vonatkozóan. A Schrems II döntést követően a nemzetközi adattovábbítások jogi környezete bonyolulttá vált.
A megfelelőségi határozattal rendelkező országokba (mint a Brexit utáni Egyesült Királyság vagy az EU–USA adatvédelmi keretrendszer alapján az Egyesült Államok) történő továbbítások esetében a folyamat viszonylag egyszerű. Más joghatóságok esetében az irodáknak megfelelő biztosítékokat kell alkalmazniuk, jellemzően általános szerződési feltételeket (SCC-ket), amelyeket egy adattovábbítási hatásvizsgálat egészít ki, amely értékeli, hogy a fogadó ország jogi kerete a gyakorlatban megfelelő védelmet nyújt-e.
Az északi ügyeket kezelő ügyvédi irodáknak különösen oda kell figyelniük nemzeti adatvédelmi hatóságuk követelményeire. A norvég Datatilsynet, a svéd IMY és a dán Datatilsynet egyaránt kiadtak iránymutatásokat a nemzetközi adattovábbításokról, amelyek kiegészítik az EDPB általános ajánlásait.
Titkosítás és hozzáférés-ellenőrzés
A GDPR 32. cikke előírja, hogy az adatkezelők és adatfeldolgozók megfelelő technikai és szervezési intézkedéseket alkalmazzanak a kockázattal arányos biztonsági szint biztosítása érdekében. A jogi dokumentumok esetében ez több dolgot jelent.
A nyugalmi titkosítás biztosítja, hogy ha a tárolóeszköz veszélybe kerül, az adatok titkosítási kulcs nélkül olvashatatlanok maradnak. Az átviteli titkosítás (TLS/SSL) védi az adatokat, miközben azok a felhasználó eszköze és a platform között mozognak. A végpontok közötti titkosítás tovább megy azzal, hogy biztosítja, még a szolgáltató sem férhet hozzá a sima szöveges tartalomhoz.
A hozzáférés-ellenőrzéseknek a legkisebb kiváltság elvét kell követniük: minden felhasználónak csak azokhoz a dokumentumokhoz és funkciókhoz kell hozzáférnie, amelyekre a konkrét szerepköréhez szüksége van. A szerepkör-alapú hozzáférés-ellenőrzés, a többfaktoros hitelesítés és az átfogó auditnapló védelmi rétegeket hoz létre, amelyek csökkentik a jogosulatlan hozzáférés kockázatát és hatását egyaránt.
A bring-your-own-key (BYOK) titkosítás új bevált gyakorlat az érzékeny jogi munkához. Azzal, hogy lehetővé teszi az ügyvédi iroda számára a titkosítási kulcsok ellenőrzését, a BYOK biztosítja, hogy a technológiai szolgáltató még kényszer hatására sem férhet hozzá az iroda dokumentumaihoz.
Érintetti jogok és a jogi dokumentumok megőrzése
A GDPR számos jogot biztosít az érintetteknek, beleértve a hozzáférést (15. cikk), a helyesbítést (16. cikk), a törlést (17. cikk) és az adathordozhatóságot (20. cikk). Az ügyvédi irodák számára ezek a jogok keresztezik a dokumentummegőrzéssel, ügyvédi titoktartással és a bizonyíték megőrzésének kötelezettségével kapcsolatos szakmai kötelezettségeket.
A törléshez való jog nem abszolút. A 17. cikk (3) bekezdése kivételeket biztosít a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges adatkezelésre, valamint a jogi kötelezettség teljesítésére. Az ügyvédi iroda jogszerűen megőrizheti a személyes adatokat tartalmazó dokumentumokat, ha ezekre a dokumentumokra szükség van folyamatban lévő vagy várható jogi eljárásokhoz, vagy ha a megőrzést szakmai szabályok vagy pénzmosás elleni jogszabályok írják elő.
Azonban az irodáknak világos megőrzési politikával kell rendelkezniük, amely meghatározza, mennyi ideig őrzik meg a dokumentumokat és miért, és valóban törölniük kell az adatokat, amikor a megőrzési időszak lejár. A dokumentált indoklás nélküli, határozatlan idejű megőrzés nem felel meg az előírásoknak.
Gyakorlati GDPR-ellenőrzőlista ügyvédi irodák számára
A következő lépések gyakorlati keretet kínálnak a GDPR-megfeleléshez a jogi dokumentumok kezelésében. Végezzen adatleképezési feladatot, hogy azonosítsa az iroda rendszerein keresztül áramló összes személyes adatot. Dokumentálja a jogalapot minden adatkezelési tevékenységhez. Gondoskodjon arról, hogy az adatfeldolgozási megállapodások minden technológiai szolgáltatóval érvényben legyenek. Vezessen be nyugalmi és átviteli titkosítást minden dokumentumtárolásra és -átvitelre. Konfiguráljon szerepkör-alapú hozzáférés-ellenőrzéseket, és engedélyezze a többfaktoros hitelesítést. Hozzon létre adatmegőrzési politikát meghatározott megőrzési időszakokkal és automatizált érvényesítéssel. Hozzon létre eljárásokat az érintettek hozzáférési kéréseinek 30 napon belüli megválaszolására. Végezzen adatvédelmi hatásvizsgálatokat magas kockázatú adatkezelési tevékenységekhez. Képezze ki az összes munkatársat az adatvédelmi kötelezettségekről, és dokumentálja ezt a képzést. Tartson fenn incidensreagálási tervet egyértelmű értesítési eljárásokkal.
A GDPR-megfelelés nem egyszeri feladat, hanem folyamatos kötelezettség. Rendszeres felülvizsgálatokra, frissített képzésre és folyamatos figyelésre van szükség a megfelelőség fenntartásához, ahogyan a szabályozási környezet és az iroda adatkezelési tevékenységei fejlődnek.
Gyakran ismételt kérdések
- Kinek kell megfelelnie a GDPR-nak?
- Minden szervezetnek, amely EU- vagy EGT-lakosok személyes adatait kezeli, függetlenül a székhelytől. Egy amerikai ügyvédi iroda EU-s ügyféllel meg kell feleljen. Egy japán SaaS-szolgáltató EU-s felhasználókkal meg kell feleljen.
- Mi a különbség az adatkezelő és az adatfeldolgozó között?
- Az adatkezelő dönti el miért és hogyan kezelik a személyes adatokat — jellemzően az iroda. Az adatfeldolgozó az adatkezelő utasításai szerint jár el — jellemzően a technológiai platform. Az adatkezelők viselik az elsődleges felelősséget; a feldolgozók a biztonságot valósítják meg és követik az utasításokat.
- Felülírja-e a törléshez való jog a jogi dokumentumok megőrzési kötelezettségét?
- Nem abszolút módon. A GDPR 17. cikk (3) bekezdése kivételt enged a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges kezelésre, valamint a jogszabályi kötelezettségből eredő kezelésre. Az irodáknak dokumentálniuk kell a megőrzési időket, és azok lejártakor ténylegesen törölniük kell.
További olvasmányok
Az Adatfeldolgozási Megállapodás (DPA) az adatkezelő és adatfeldolgozó közötti szerződés, amely meghatározza, hogyan kezelhetők a személyes adatok az adatkezelő nevében. A GDPR 28. cikke szerint a DPA kötelező, amikor az adatkezelő adatfeldolgozót vesz igénybe, és ki kell terjednie a tárgyra, időtartamra, hatókörre és az adatfeldolgozó kötelezettségeire.
→A titoktartási szerződés (NDA) olyan szerződés, amelyben az egyik vagy mindkét fél vállalja, hogy meghatározott információkat nem oszt meg a szerződésen kívül. Meghatározza, mi számít bizalmasnak, meddig tart a kötelezettség, kivel osztható meg az információ, és mi történik, ha kiszivárog.
→A kártalanítás egy szerződéses ígéret, amelyben az egyik fél (kártalanító) vállalja, hogy fedezi a másik fél (kártalanított) által bizonyos eseményekből — jellemzően harmadik fél követeléseiből, nyilatkozat megsértéséből vagy meghatározott károkból — eredő veszteségeket. A záradék meghatározza a fedezett veszteségeket, kiváltó tényezőket, maximális összegeket és kivételeket.
→