Almenna persónuverndarreglugerðin er ekki valkvæð fyrir lögfræðinga. Hver lögmannsstofa, lagadeild og lagatækniþjónusta sem meðhöndlar persónuupplýsingar íbúa innan ESB eða EES verður að uppfylla hana. Og lagaskjöl eru, eðli sínu samkvæmt, full af persónuupplýsingum: nöfnum, heimilisföngum, kennitölum, fjárhagsupplýsingum, atvinnusögu og stundum viðkvæmum flokkum eins og heilsufarsupplýsingum eða sakaskrám.
Þessi leiðsögn fjallar um það sem lögfræðingar þurfa að vita um GDPR-samræmi þegar unnið er með lagaskjöl, frá regluverkinu til hagnýtrar innleiðingar.
Skilja hlutverk þitt: ábyrgðaraðili eða vinnsluaðili
Fyrsta skrefið í GDPR-samræmi er að skilja hlutverk þitt í gagnavinnslukeðjunni. Lögmannsstofa sem starfar fyrir hönd viðskiptavinar er yfirleitt ábyrgðaraðili gagna fyrir persónuupplýsingar í því máli. Stofan ákveður hvers vegna og hvernig gögnin eru unnin. Ef stofan notar lagatæknivettvang til að greina eða geyma þau skjöl er sá vettvangur að virka sem vinnsluaðili gagna.
Þessi greinarmunur hefur áþreifanlegar afleiðingar. Ábyrgðaraðilar bera meginábyrgð á lögmætri vinnslu, verða að ákvarða lagagrundvöll fyrir hverja vinnsluaðgerð og verða að svara aðgangsbeiðnum hinna skráðu. Vinnsluaðilar mega aðeins starfa samkvæmt fyrirmælum ábyrgðaraðila, innleiða viðeigandi öryggisráðstafanir og tilkynna ábyrgðaraðila án óþarfa tafar ef gagnabrot verður.
Þegar lögmannsstofa og tæknibirgir hennar gegna bæði hlutverki í að ákvarða tilgang og leiðir vinnslu geta þeir verið sameiginlegir ábyrgðaraðilar samkvæmt 26. gr., sem krefst sérstaks samkomulags um ábyrgðir og réttindi hvors um sig.
Gagnavinnslusamningar
Hvert samband ábyrgðaraðila og vinnsluaðila krefst gagnavinnslusamnings (DPA) sem uppfyllir kröfur 28. gr. GDPR. Fyrir lögmannsstofur sem nota lagatæknivettvanga verður þessi samningur að tilgreina viðfangsefni og lengd vinnslu, eðli og tilgang vinnslu, tegundir persónuupplýsinga sem um ræðir, flokka hinna skráðu, og skyldur og réttindi ábyrgðaraðila.
Öflugur DPA tekur einnig á undirvinnslu (notkun vinnsluaðila á eigin þjónustuaðilum), úttektarrétti, tilkynningaferlum við gagnabrot og hvað verður um gögnin þegar sambandinu lýkur. Almenn DPA-sniðmát eru útgangspunktur, en þau ætti einhver sem skilur bæði tæknina og tiltekið lagasamhengi að yfirfara.
Lögmæt grundvöllur fyrir vinnslu lagaskjala
Lögmannsstofur reiða sig yfirleitt á nokkra lagagrundvelli samkvæmt 6. gr. GDPR. Lögmætir hagsmunir (6. gr. 1. mgr. f-liður) eru oft notaðir fyrir vinnu á málum viðskiptavina, þó þeir krefjist skjalfesta jafnvægisprófs. Samningsnauðsyn (6. gr. 1. mgr. b-liður) gildir þegar vinnsla er nauðsynleg til að veita lögfræðiþjónustuna sem viðskiptavinurinn hefur ráðið stofuna til. Lagaskylda (6. gr. 1. mgr. c-liður) tekur til vinnslu sem lög krefjast, eins og athugana gegn peningaþvætti.
Fyrir sérstaka flokka gagna samkvæmt 9. gr., eins og heilsufarsgögn í líkamstjónamálum eða sakaskrárgögn í varnarmálum, þurfa stofur að bera kennsl á viðbótarskilyrði fyrir vinnslu. Þetta fellur oft undir 9. gr. 2. mgr. f-lið: vinnsla nauðsynleg til að setja fram, hafa eða verja lagalegar kröfur.
Gagnaflutningur yfir landamæri
Lögfræðistörf fara oft yfir landamæri, og GDPR setur strangar kröfur við flutning persónuupplýsinga út fyrir EES. Eftir Schrems II-dóminn hefur lagaumhverfið fyrir alþjóðlega flutninga orðið flókið.
Fyrir flutninga til landa með ákvörðun um nægjanlegt verndarstig (eins og Bretland eftir Brexit, eða Bandaríkin samkvæmt persónuverndarramma ESB-Bandaríkjanna) er ferlið tiltölulega einfalt. Fyrir aðrar lögsögur verða stofur að innleiða viðeigandi varnir, yfirleitt staðlað samningsákvæði (SCC) til viðbótar við áhrifamat á flutningi sem metur hvort lagaramminn í viðtökulandinu veitir nægilega vernd í reynd.
Lögmannsstofur sem meðhöndla norræn mál ættu að vera sérstaklega vakandi fyrir kröfum innlendra persónuverndaryfirvalda. Norska Datatilsynet, sænska IMY og danska Datatilsynet hafa hver gefið út leiðbeiningar um alþjóðlega flutninga sem bætast við almennar tilmæli EDPB.
Dulkóðun og aðgangsstýringar
32. gr. GDPR krefst þess að ábyrgðaraðilar og vinnsluaðilar innleiði viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggisstig sem hentar áhættunni. Fyrir lagaskjöl þýðir þetta nokkra hluti.
Dulkóðun í geymslu tryggir að ef geymslumiðlar eru í hættu eru gögnin ólæsileg án dulkóðunarlykils. Dulkóðun á flutningi (TLS/SSL) ver gögn þegar þau ferðast milli tækis notanda og vettvangsins. Endir-til-enda dulkóðun gengur lengra með því að tryggja að jafnvel þjónustuaðilinn geti ekki nálgast skýran texta.
Aðgangsstýringar ættu að fylgja meginreglunni um lágmarksréttindi: hver notandi ætti aðeins að hafa aðgang að skjölum og aðgerðum sem hann þarf fyrir tiltekið hlutverk sitt. Hlutverkaháð aðgangsstýring, fjölþátta auðkenning og ítarleg úttektarskráning skapa varnarlag sem dregur bæði úr áhættu og áhrifum óheimils aðgangs.
BYOK-dulkóðun (Bring-your-own-key) er nýtt besta venja fyrir viðkvæm lögfræðistörf. Með því að leyfa lögmannsstofunni að stjórna dulkóðunarlyklum tryggir BYOK að tæknibirgirinn geti ekki nálgast skjöl stofunnar, jafnvel undir þvingunum.
Réttindi hinna skráðu og varðveisla lagaskjala
GDPR veitir hinum skráðu mörg réttindi, þar á meðal aðgang (15. gr.), leiðréttingu (16. gr.), eyðingu (17. gr.) og flytjanleika (20. gr.). Fyrir lögmannsstofur skerast þessi réttindi við faglegar skyldur um varðveislu skjala, lögfræðilega leynd og skylduna til að varðveita sönnunargögn.
Rétturinn til eyðingar er ekki ótakmarkaður. 17. gr. 3. mgr. veitir undantekningar fyrir vinnslu sem nauðsynleg er til að setja fram, hafa eða verja lagalegar kröfur, og fyrir samræmi við lagaskyldu. Lögmannsstofa getur löglega varðveitt skjöl sem innihalda persónuupplýsingar ef þau skjöl eru nauðsynleg fyrir yfirstandandi eða væntanleg réttarhöld, eða ef varðveislu er krafist af faglegum reglum eða lögum gegn peningaþvætti.
Hins vegar verða stofur að hafa skýra varðveislustefnu sem tilgreinir hve lengi skjöl eru geymd og hvers vegna, og verða raunverulega að eyða gögnum þegar varðveisluskeið rennur út. Ótakmörkuð varðveisla án skjalfestrar réttlætingar er ekki samræmd.
Hagnýtur GDPR-gátlisti fyrir lögmannsstofur
Eftirfarandi skref veita hagnýtan ramma fyrir GDPR-samræmi við meðferð lagaskjala. Framkvæmdu gagnauppgreiningu til að bera kennsl á öll persónuupplýsingaflæði í gegnum kerfi stofunnar. Skjalfestu lagagrundvöll fyrir hverja vinnsluaðgerð. Tryggðu að gagnavinnslusamningar séu til staðar við alla tæknibirgi. Innleiddu dulkóðun í geymslu og á flutningi fyrir alla skjalageymslu og -sendingu. Stilltu hlutverkaháða aðgangsstýringu og virkjaðu fjölþátta auðkenningu. Stofnaðu varðveislustefnu með skilgreindum varðveisluskeiðum og sjálfvirkri framfylgd. Útbúðu ferli til að svara aðgangsbeiðnum hinna skráðu innan 30 daga frests. Framkvæmdu áhrifamat á persónuvernd fyrir vinnsluaðgerðir með mikla áhættu. Þjálfaðu allt starfsfólk í persónuverndarskyldum og skjalfestu þá þjálfun. Hafðu áætlun um viðbrögð við gagnabrotum með skýrum tilkynningaferlum.
GDPR-samræmi er ekki einskiptisverkefni heldur áframhaldandi skylda. Reglulegar yfirferðir, uppfærð þjálfun og stöðug vöktun eru nauðsynleg til að halda samræmi þegar bæði reglurammi og vinnsluaðgerðir stofu þróast.
Algengar spurningar
- Hver þarf að fylgja GDPR?
- Sérhver stofnun sem vinnur persónuupplýsingar íbúa ESB eða EES, óháð staðsetningu stofnunarinnar. Bandarísk lögmannsstofa með ESB-viðskiptavin þarf að fylgja henni. Japanskur SaaS-söluaðili með ESB-notendur þarf að fylgja henni.
- Hver er munurinn á ábyrgðaraðila og vinnsluaðila?
- Ábyrgðaraðili ákveður hvers vegna og hvernig persónuupplýsingar eru unnar — oftast lögmannsstofan. Vinnsluaðili vinnur samkvæmt fyrirmælum ábyrgðaraðila — oftast tæknipallurinn. Ábyrgðaraðilar bera aðalábyrgð; vinnsluaðilar framkvæma öryggisráðstafanir og fylgja fyrirmælum.
- Fellir rétturinn til eyðingar úr gildi geymsluskyldur á lögfræðilegum skjölum?
- Ekki algerlega. 17(3). grein GDPR undanþiggur vinnslu sem er nauðsynleg til að staðfesta, framfylgja eða verja réttarkröfur og vinnslu sem lög krefjast. Stofur verða að skrá geymslutímabil og eyða raunverulega þegar þau renna út.
Frekari lesning
Gagnavinnslusamningur (DPA) er samningur milli ábyrgðaraðila og vinnsluaðila sem skilgreinir hvernig persónuupplýsingar mega vinnast fyrir hönd ábyrgðaraðilans. Samkvæmt 28. grein GDPR er DPA skylt þegar ábyrgðaraðili notar vinnsluaðila og verður að ná yfir efni, tíma, umfang og skyldur vinnsluaðilans.
→Trúnaðarsamningur (NDA) er samningur þar sem annar eða báðir aðilar skuldbinda sig til að deila ekki tilteknum upplýsingum með neinum utan samningsins. Hann skilgreinir hvað telst trúnaðarmál, hversu lengi skyldan gildir, með hverjum upplýsingunum má deila og hvað gerist ef þær leka.
→Skaðleysi er samningsbundið loforð eins aðila (skaðleysishafa) um að standa straum af tjóni sem annar aðili (skaðleysisþegi) verður fyrir vegna tiltekinna atburða — venjulega krafna þriðja aðila, brots á yfirlýsingum eða skilgreinda tjóna. Ákvæðið skilgreinir hvaða tjón eru falin, hvað kveikir, þök og hugsanlegar undantekningar.
→