GDPR atbilstības ceļvedis juridiskajiem dokumentiem

Vispārīgā datu aizsardzības regula nav izvēles iespēja juristiem. Katram advokātu birojam, iekšējai juridiskajai nodaļai un juridisko tehnoloģiju pakalpojumu sniedzējam, kas apstrādā ES vai EEZ iedzīvotāju personas datus, ir jāatbilst tās prasībām. Un juridiskie dokumenti pēc savas būtības ir piesātināti ar personas datiem: vārdiem, adresēm, identifikācijas numuriem, finanšu informāciju, nodarbinātības vēsturi un dažkārt īpašu kategoriju datiem, piemēram, veselības informāciju vai sodāmības ierakstiem.

Šis ceļvedis aptver to, kas juristiem jāzina par GDPR atbilstību, strādājot ar juridiskajiem dokumentiem, sākot no normatīvā ietvara un beidzot ar praktisko ieviešanu.

Izpratne par savu lomu: pārzinis vs. apstrādātājs

Pirmais solis GDPR atbilstībā ir izpratne par savu lomu datu apstrādes ķēdē. Advokātu birojs, kas darbojas klienta vārdā, parasti ir personas datu pārzinis attiecīgajā lietā. Birojs nosaka, kāpēc un kā dati tiek apstrādāti. Ja birojs izmanto juridisko tehnoloģiju platformu, lai analizētu vai glabātu šos dokumentus, šī platforma darbojas kā datu apstrādātājs.

Šai atšķirībai ir konkrētas sekas. Pārzinis nes galveno atbildību par likumīgu apstrādi, tam jānosaka likumīgs pamats katrai apstrādes darbībai un jāatbild uz datu subjektu piekļuves pieprasījumiem. Apstrādātājam jārīkojas tikai pēc pārziņa norādījumiem, jāievieš atbilstoši drošības pasākumi un bez nepamatotas kavēšanās jāpaziņo pārzinim datu pārkāpuma gadījumā.

Kad advokātu birojs un tā tehnoloģiju pakalpojumu sniedzējs abi piedalās apstrādes mērķu un līdzekļu noteikšanā, viņi var būt kopīgi pārziņi saskaņā ar 26. pantu, kas pieprasa īpašu vienošanos, kurā definēti to attiecīgie pienākumi.

Datu apstrādes līgumi (DPA)

Katrās attiecībās starp pārzini un apstrādātāju nepieciešams Datu apstrādes līgums (DPA), kas atbilst GDPR 28. panta prasībām. Advokātu birojiem, kas izmanto juridisko tehnoloģiju platformas, šajā līgumā ir jānorāda apstrādes priekšmets un ilgums, apstrādes raksturs un mērķis, iesaistīto personas datu veidi, datu subjektu kategorijas, kā arī pārziņa pienākumi un tiesības.

Noturīgs DPA arī risina apakšapstrādes (apstrādātāja paša pakalpojumu sniedzēju izmantošanas), audita tiesību, datu pārkāpuma paziņošanas procedūru jautājumus un to, kas notiek ar datiem, kad attiecības beidzas. Vispārējās DPA veidnes ir sākumpunkts, taču tās jāpārskata kādam, kurš saprot gan tehnoloģiju, gan konkrēto juridisko kontekstu.

Likumīgs apstrādes pamats juridiskajiem dokumentiem

Advokātu biroji parasti paļaujas uz vairākiem likumīgiem pamatiem saskaņā ar GDPR 6. pantu. Likumīgās intereses (6. panta 1. punkta f) apakšpunkts) parasti tiek izmantotas klienta lietu darbam, lai gan tas prasa dokumentētu līdzsvarošanas pārbaudi. Līguma izpildes nepieciešamība (6. panta 1. punkta b) apakšpunkts) attiecas uz gadījumiem, kad apstrāde nepieciešama, lai sniegtu juridiskos pakalpojumus, kuriem klients ir piesaistījis biroju. Juridisks pienākums (6. panta 1. punkta c) apakšpunkts) attiecas uz tiesību aktu noteiktu apstrādi, piemēram, pretnoziedzības naudas līdzekļu legalizācijas pārbaudēm.

Īpašu kategoriju datiem saskaņā ar 9. pantu, piemēram, veselības datiem personīgu traumu lietās vai noziedzīgu nodarījumu datiem aizstāvības lietās, birojiem nepieciešams identificēt papildu apstrādes nosacījumu. Tas bieži atbilst 9. panta 2. punkta f) apakšpunktam: apstrāde nepieciešama tiesisku prasījumu celšanai, īstenošanai vai aizstāvēšanai.

Pārrobežu datu nodošana

Juridiskais darbs bieži šķērso robežas, un GDPR uzliek stingras prasības personas datu nodošanai ārpus EEZ. Pēc Schrems II nolēmuma tiesiskā ainava starptautiskajai datu nodošanai ir kļuvusi sarežģīta.

Nodošanai uz valstīm ar atbilstības lēmumu (piemēram, Apvienoto Karalisti pēc Brexit vai ASV saskaņā ar ES un ASV Datu privātuma ietvaru) process ir samērā vienkāršs. Citās jurisdikcijās birojiem jāievieš atbilstoši aizsardzības pasākumi, parasti standarta līguma klauzulas (SCC), papildināti ar pārvedumu ietekmes novērtējumu, kurā izvērtēts, vai saņēmējvalsts tiesiskais ietvars praksē nodrošina pietiekamu aizsardzību.

Advokātu birojiem, kas strādā ar Ziemeļvalstu lietām, īpaši jāpievērš uzmanība savu valstu datu aizsardzības iestāžu prasībām. Norvēģijas Datatilsynet, Zviedrijas IMY un Dānijas Datatilsynet katra ir izdevusi norādes par starptautisko datu nodošanu, kas papildina EDPB vispārējās rekomendācijas.

Šifrēšana un piekļuves kontrole

GDPR 32. pants pieprasa pārziņiem un apstrādātājiem ieviest atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni. Juridiskajiem dokumentiem tas nozīmē vairākas lietas.

Šifrēšana glabāšanas laikā nodrošina, ka, ja glabāšanas datu nesēji tiek apdraudēti, dati paliek nelasāmi bez šifrēšanas atslēgas. Šifrēšana pārraides laikā (TLS/SSL) aizsargā datus, kad tie pārvietojas starp lietotāja ierīci un platformu. End-to-end šifrēšana iet vēl tālāk, nodrošinot, ka pat pakalpojumu sniedzējs nevar piekļūt atvērtā teksta saturam.

Piekļuves kontrolei jāseko vismazāko privilēģiju principam: katram lietotājam jābūt piekļuvei tikai tiem dokumentiem un funkcijām, kas viņam nepieciešamas konkrētajai lomai. Uz lomām balstīta piekļuves kontrole, daudzfaktoru autentifikācija un visaptveroša audita žurnālu uzturēšana rada aizsardzības līmeņus, kas samazina gan neatļautas piekļuves risku, gan ietekmi.

BYOK (Bring Your Own Key) šifrēšana ir jauna paraugprakse sensitīvam juridiskajam darbam. Ļaujot advokātu birojam pārvaldīt šifrēšanas atslēgas, BYOK nodrošina, ka tehnoloģiju pakalpojumu sniedzējs nevar piekļūt biroja dokumentiem, pat piespiešanas gadījumā.

Datu subjektu tiesības un juridisko dokumentu glabāšana

GDPR datu subjektiem piešķir virkni tiesību, ieskaitot piekļuvi (15. pants), labošanu (16. pants), dzēšanu (17. pants) un pārnesamību (20. pants). Advokātu birojiem šīs tiesības krustojas ar profesionālajiem pienākumiem dokumentu glabāšanas, juridiskās aizsargājamības un pierādījumu saglabāšanas pienākuma jomā.

Tiesības uz dzēšanu nav absolūtas. 17. panta 3. punkts paredz izņēmumus apstrādei, kas nepieciešama tiesisku prasījumu celšanai, īstenošanai vai aizstāvēšanai, kā arī juridiska pienākuma izpildei. Advokātu birojs var likumīgi saglabāt dokumentus, kas satur personas datus, ja šie dokumenti ir nepieciešami pašreizējām vai paredzamām tiesvedībām, vai ja glabāšana ir prasīta profesionālajos noteikumos vai naudas līdzekļu legalizācijas novēršanas tiesību aktos.

Tomēr birojiem jābūt skaidrai glabāšanas politikai, kas nosaka, cik ilgi dokumenti tiek saglabāti un kāpēc, un patiešām jādzēš dati, kad glabāšanas termiņš ir beidzies. Beztermiņa glabāšana bez dokumentēta pamatojuma nav atbilstoša.

Praktisks GDPR kontrolsaraksts advokātu birojiem

Šie soļi sniedz praktisku ietvaru GDPR atbilstībai juridisko dokumentu apstrādē. Veiciet datu kartēšanu, lai identificētu visas personas datu plūsmas caur biroja sistēmām. Dokumentējiet likumīgo pamatu katrai apstrādes darbībai. Pārliecinieties, ka ar visiem tehnoloģiju pakalpojumu sniedzējiem ir noslēgti datu apstrādes līgumi. Ieviešiet šifrēšanu glabāšanas laikā un pārraides laikā visai dokumentu glabāšanai un pārraidei. Konfigurējiet uz lomām balstītu piekļuves kontroli un iespējojiet daudzfaktoru autentifikāciju. Izveidojiet datu glabāšanas politiku ar definētiem glabāšanas termiņiem un automatizētu izpildi. Izveidojiet procedūras datu subjektu piekļuves pieprasījumu izskatīšanai 30 dienu termiņā. Veiciet datu aizsardzības ietekmes novērtējumus augsta riska apstrādes darbībām. Apmāciet visus darbiniekus par datu aizsardzības pienākumiem un dokumentējiet šo apmācību. Uzturiet pārkāpumu reakcijas plānu ar skaidrām paziņošanas procedūrām.

GDPR atbilstība nav vienreizējs uzdevums, bet pastāvīgs pienākums. Regulāra pārskatīšana, atjaunināta apmācība un nepārtraukta uzraudzība ir nepieciešama, lai uzturētu atbilstību, kad gan normatīvā ainava, gan biroja apstrādes darbības attīstās.