Bendrasis duomenų apsaugos reglamentas teisės profesionalams nėra pasirinkimas. Kiekviena advokatų kontora, vidaus teisės departamentas ir teisės technologijų tiekėjas, tvarkantis ES ar EEE gyventojų asmens duomenis, turi laikytis reikalavimų. O teisiniai dokumentai dėl savo prigimties yra prisotinti asmens duomenų: vardų, adresų, identifikavimo numerių, finansinės informacijos, darbo istorijų, o kartais ir specialių kategorijų, tokių kaip sveikatos informacija ar duomenys apie teistumą.
Šiame vadove aprašoma, ką teisės profesionalai turi žinoti apie GDPR atitiktį dirbant su teisiniais dokumentais, nuo reguliavimo sistemos iki praktinio įgyvendinimo.
Kaip suprasti savo vaidmenį: valdytojas ir tvarkytojas
Pirmas žingsnis siekiant GDPR atitikties – suprasti savo vaidmenį duomenų tvarkymo grandinėje. Advokatų kontora, veikianti kliento vardu, paprastai yra duomenų valdytojas to klausimo asmens duomenims. Kontora nustato, kodėl ir kaip duomenys yra tvarkomi. Jei kontora naudoja teisės technologijų platformą tiems dokumentams analizuoti ar saugoti, ta platforma veikia kaip duomenų tvarkytojas.
Šis skirtumas turi konkrečių pasekmių. Valdytojai turi pagrindinę atsakomybę už teisėtą tvarkymą, turi nustatyti teisėtą pagrindą kiekvienai tvarkymo veiklai ir turi atsakyti į duomenų subjektų prieigos prašymus. Tvarkytojai turi veikti tik pagal valdytojo nurodymus, įgyvendinti tinkamas saugumo priemones ir be nepagrįsto delsimo pranešti valdytojui apie duomenų pažeidimą.
Kai advokatų kontora ir jos technologijų tiekėjas abu vaidina vaidmenį nustatant tvarkymo tikslus ir priemones, jie gali būti bendri valdytojai pagal 26 straipsnį, kuris reikalauja konkretaus susitarimo, apibrėžiančio jų atitinkamas pareigas.
Duomenų tvarkymo sutartys
Kiekvienas santykis tarp valdytojo ir tvarkytojo reikalauja Duomenų tvarkymo sutarties (DPA), kuri atitinka GDPR 28 straipsnio reikalavimus. Advokatų kontoroms, naudojančioms teisės technologijų platformas, ši sutartis turi nurodyti tvarkymo dalyką ir trukmę, tvarkymo pobūdį ir tikslą, susijusių asmens duomenų tipus, duomenų subjektų kategorijas, taip pat valdytojo įsipareigojimus ir teises.
Tvirta DPA taip pat aptaria pagalbinį tvarkymą (tvarkytojo savo paslaugų teikėjų naudojimą), audito teises, duomenų pažeidimo pranešimo procedūras ir tai, kas atsitinka su duomenimis, kai santykis baigiasi. Bendri DPA šablonai yra atspirties taškas, tačiau juos turi peržiūrėti asmuo, kuris supranta tiek technologiją, tiek konkretų teisinį kontekstą.
Teisėtas pagrindas teisinių dokumentų tvarkymui
Advokatų kontoros paprastai remiasi keliais teisėtais pagrindais pagal GDPR 6 straipsnį. Teisėtas interesas (6 straipsnio 1 dalies f punktas) dažnai naudojamas kliento bylos darbui, nors jis reikalauja dokumentuoto pusiausvyros testo. Sutartinis būtinumas (6 straipsnio 1 dalies b punktas) taikomas, kai tvarkymas yra būtinas teikiant teisines paslaugas, kurias klientas pavedė kontorai teikti. Teisinis įsipareigojimas (6 straipsnio 1 dalies c punktas) apima tvarkymą, kurio reikalauja įstatymas, pavyzdžiui, kovos su pinigų plovimu patikras.
Specialių kategorijų duomenims pagal 9 straipsnį, pavyzdžiui, sveikatos duomenims asmens žalos bylose ar nusikalstamų veikų duomenims gynybos bylose, kontoros turi nustatyti papildomą tvarkymo sąlygą. Tai dažnai patenka į 9 straipsnio 2 dalies f punkto taikymo sritį: tvarkymas, būtinas teisiniams reikalavimams nustatyti, vykdyti ar ginti.
Tarpvalstybinis duomenų perdavimas
Teisinis darbas dažnai peržengia sienas, o GDPR nustato griežtus reikalavimus asmens duomenų perdavimui už EEE ribų. Po Schrems II sprendimo tarptautinio duomenų perdavimo teisinė aplinka tapo sudėtinga.
Perdavimams į šalis, turinčias adekvatumo sprendimą (tokias kaip JK po Brexit ar JAV pagal ES ir JAV duomenų privatumo sistemą), procesas yra palyginti paprastas. Kitoms jurisdikcijoms kontoros turi įgyvendinti tinkamas apsaugos priemones, paprastai standartines sutarties sąlygas (SCC), papildytas Perdavimo poveikio vertinimu, kuris įvertina, ar gavėjo šalies teisinė sistema praktikoje teikia tinkamą apsaugą.
Advokatų kontoros, dirbančios su Šiaurės šalių klausimais, turėtų būti ypač dėmesingos savo nacionalinių duomenų apsaugos institucijų reikalavimams. Norvegijos Datatilsynet, Švedijos IMY ir Danijos Datatilsynet kiekviena išleido tarptautinio perdavimo gaires, kurios papildo bendras EDPB rekomendacijas.
Šifravimas ir prieigos kontrolė
GDPR 32 straipsnis reikalauja, kad valdytojai ir tvarkytojai įgyvendintų tinkamas technines ir organizacines priemones, kad būtų užtikrintas tinkamas saugumo lygis pagal riziką. Teisiniams dokumentams tai reiškia keletą dalykų.
Šifravimas ramybės būsenoje užtikrina, kad pažeidus saugojimo laikmenas, duomenys lieka nesuprantami be šifravimo rakto. Šifravimas perdavimo metu (TLS/SSL) apsaugo duomenis, judančius tarp naudotojo įrenginio ir platformos. Visiškas šifravimas (end-to-end) eina dar toliau, užtikrindamas, kad net paslaugų teikėjas negali pasiekti atviro teksto turinio.
Prieigos kontrolė turėtų vadovautis mažiausių privilegijų principu: kiekvienas naudotojas turėtų turėti prieigą tik prie tų dokumentų ir funkcijų, kurių jam reikia jo konkrečiam vaidmeniui. Vaidmenimis paremta prieigos kontrolė, daugiaveiksnis autentifikavimas ir išsamus audito žurnalas sukuria apsaugos sluoksnius, kurie sumažina ir neteisėtos prieigos riziką, ir poveikį.
BYOK šifravimas yra besiformuojanti geriausia praktika jautriam teisiniam darbui. Leisdamas advokatų kontorai valdyti šifravimo raktus, BYOK užtikrina, kad technologijų tiekėjas negali pasiekti kontoros dokumentų net ir prievartos atveju.
Duomenų subjektų teisės ir teisinių dokumentų saugojimas
GDPR suteikia duomenų subjektams įvairias teises, įskaitant prieigą (15 straipsnis), ištaisymą (16 straipsnis), ištrynimą (17 straipsnis) ir perkeliamumą (20 straipsnis). Advokatų kontoroms šios teisės susikerta su profesiniais įsipareigojimais dėl dokumentų saugojimo, teisinės advokato paslapties ir pareigos saugoti įrodymus.
Teisė į ištrynimą nėra absoliuti. 17 straipsnio 3 dalis numato išimtis, kai tvarkymas būtinas teisiniams reikalavimams nustatyti, vykdyti ar ginti, taip pat siekiant laikytis teisinio įsipareigojimo. Advokatų kontora gali teisėtai saugoti dokumentus, kuriuose yra asmens duomenų, jei tų dokumentų reikia vykstantiems ar numatomiems teisiniams procesams, arba jei saugojimo reikalauja profesinis reglamentavimas ar kovos su pinigų plovimu teisės aktai.
Tačiau kontoros turi turėti aiškią saugojimo politiką, kuri nurodo, kiek laiko saugomi dokumentai ir kodėl, ir turi iš tikrųjų ištrinti duomenis, kai pasibaigia saugojimo laikotarpis. Neribotas saugojimas be dokumentuoto pagrindimo neatitinka reikalavimų.
Praktinis GDPR kontrolinis sąrašas advokatų kontoroms
Šie žingsniai pateikia praktinę GDPR atitikties tvarkant teisinius dokumentus sistemą. Atlikite duomenų atvaizdavimą, kad nustatytumėte visus asmens duomenų srautus per Jūsų kontoros sistemas. Dokumentuokite teisėtą pagrindą kiekvienai tvarkymo veiklai. Užtikrinkite, kad būtų sudarytos Duomenų tvarkymo sutartys su visais technologijų tiekėjais. Įgyvendinkite šifravimą ramybės būsenoje ir perdavimo metu visam dokumentų saugojimui ir perdavimui. Konfigūruokite vaidmenimis paremtą prieigos kontrolę ir įjunkite daugiaveiksnį autentifikavimą. Nustatykite duomenų saugojimo politiką su apibrėžtais saugojimo laikotarpiais ir automatiniu vykdymu. Sukurkite procedūras, kaip atsakyti į duomenų subjektų prieigos prašymus per 30 dienų terminą. Atlikite Poveikio duomenų apsaugai vertinimus didelės rizikos tvarkymo veikloms. Apmokykite visus darbuotojus duomenų apsaugos pareigų ir dokumentuokite tą mokymą. Palaikykite reagavimo į pažeidimus planą su aiškiomis pranešimo procedūromis.
GDPR atitiktis nėra vienkartinė užduotis, o nuolatinis įsipareigojimas. Reguliarios peržiūros, atnaujintas mokymas ir nuolatinė stebėsena yra būtini, kad būtų išlaikoma atitiktis, kai keičiasi tiek reguliavimo aplinka, tiek Jūsų kontoros tvarkymo veikla.
Dažnai užduodami klausimai
- Kas privalo laikytis BDAR?
- Kiekviena organizacija, tvarkanti ES arba EEE gyventojų asmens duomenis, nepriklausomai nuo buveinės. JAV biuras, aptarnaujantis ES klientą, privalo laikytis. Japonijos SaaS tiekėjas su ES naudotojais privalo laikytis.
- Koks skirtumas tarp valdytojo ir tvarkytojo?
- Valdytojas sprendžia kodėl ir kaip tvarkomi asmens duomenys — paprastai tai biuras. Tvarkytojas veikia pagal valdytojo nurodymus — paprastai tai technologijų platforma. Valdytojai prisiima pagrindinę atsakomybę; tvarkytojai įgyvendina saugumą ir vykdo nurodymus.
- Ar teisė ištrinti nurungia teisinių dokumentų saugojimo pareigas?
- Ne absoliučiai. BDAR 17 straipsnio 3 dalis neapima tvarkymo, būtino teisiniams reikalavimams nustatyti, vykdyti ar ginti, ir įstatymu reikalaujamo tvarkymo. Biurai privalo dokumentuoti saugojimo laikotarpius ir faktiškai ištrinti, kai jie baigiasi.
Papildomas skaitymas
Duomenų tvarkymo sutartis (DPA) yra sutartis tarp duomenų valdytojo ir tvarkytojo, kuri nustato, kaip asmens duomenys gali būti tvarkomi valdytojo vardu. Pagal BDAR 28 straipsnį, DPA yra privaloma visada, kai valdytojas naudoja tvarkytoją, ir turi apimti dalyką, trukmę, apimtį bei tvarkytojo pareigas.
→Konfidencialumo sutartis (NDA) yra sutartis, kuria viena arba abi šalys įsipareigoja nesidalyti tam tikra informacija su niekuo už sutarties ribų. Ji nustato, kas laikoma konfidencialu, kiek laiko pareiga galioja, su kuo galima dalintis informacija ir kas nutinka, jei ji nutekėtų.
→Atlyginimas yra sutartinis įsipareigojimas, kuriuo viena šalis (atlyginantis) įsipareigoja padengti kitos šalies (atlyginimo gavėjas) patirtus nuostolius dėl konkrečių įvykių — paprastai trečiųjų šalių reikalavimų, pareiškimų pažeidimo ar apibrėžtų žalų. Sąlyga apibrėžia, kokie nuostoliai dengiami, paleidėjus, viršutines ribas ir galimas išimtis.
→