Sprievodca súladom s GDPR pre právne dokumenty

Všeobecné nariadenie o ochrane údajov nie je pre právnych profesionálov voliteľné. Každá advokátska kancelária, interné právne oddelenie a poskytovateľ legal-tech, ktorý spracúva osobné údaje obyvateľov EÚ alebo EHP, musí byť v súlade. A právne dokumenty sú zo svojej podstaty presýtené osobnými údajmi: mená, adresy, identifikačné čísla, finančné detaily, pracovné histórie a niekedy aj osobitné kategórie ako zdravotné alebo trestné záznamy.

Tento sprievodca pokrýva, čo právni profesionáli potrebujú vedieť o súlade s GDPR pri práci s právnymi dokumentmi, od regulačného rámca po praktickú implementáciu.

Pochopenie vašej úlohy: prevádzkovateľ vs. spracovateľ

Prvým krokom v súlade s GDPR je pochopenie vašej úlohy v reťazci spracovania údajov. Advokátska kancelária konajúca v mene klienta je obvykle prevádzkovateľom osobných údajov v danej kauze. Kancelária určuje, prečo a ako sa údaje spracúvajú. Ak kancelária používa legal-tech platformu na analýzu alebo uchovávanie týchto dokumentov, platforma koná ako spracovateľ údajov.

Toto rozlíšenie má konkrétne dôsledky. Prevádzkovatelia nesú primárnu zodpovednosť za zákonné spracovanie, musia stanoviť právny základ pre každú spracovateľskú činnosť a musia odpovedať na žiadosti dotknutých osôb o prístup. Spracovatelia musia konať iba podľa pokynov prevádzkovateľa, implementovať primerané bezpečnostné opatrenia a bez zbytočného odkladu informovať prevádzkovateľa v prípade porušenia zabezpečenia údajov.

Keď advokátska kancelária a jej technologický poskytovateľ obaja zohrávajú úlohu pri určovaní účelu a prostriedkov spracovania, môžu byť spoločnými prevádzkovateľmi podľa článku 26, ktorý vyžaduje osobitné dojednanie definujúce ich príslušné zodpovednosti.

Zmluvy o spracovaní údajov

Každý vzťah medzi prevádzkovateľom a spracovateľom vyžaduje zmluvu o spracovaní údajov (DPA), ktorá spĺňa požiadavky článku 28 GDPR. Pre advokátske kancelárie používajúce legal-tech platformy musí táto zmluva špecifikovať predmet a dĺžku spracovania, povahu a účel spracovania, typy zahrnutých osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.

Robustná DPA tiež rieši subprocessing (využitie vlastných poskytovateľov služieb spracovateľa), audítorské práva, postupy oznamovania porušenia údajov a čo sa stane s údajmi po ukončení vzťahu. Generické šablóny DPA sú východiskom, ale mali by byť skontrolované niekým, kto rozumie ako technológii, tak špecifickému právnemu kontextu.

Právny základ pre spracovanie právnych dokumentov

Advokátske kancelárie sa typicky spoliehajú na niekoľko právnych základov podľa článku 6 GDPR. Oprávnený záujem (článok 6(1)(f)) sa bežne používa pre prácu na klientskych kauzách, hoci vyžaduje zdokumentovaný test vyváženosti. Zmluvná nevyhnutnosť (článok 6(1)(b)) sa uplatňuje, keď je spracovanie potrebné na vykonanie právnych služieb, na ktoré klient kanceláriu poveril. Právna povinnosť (článok 6(1)(c)) pokrýva spracovanie vyžadované zákonom, ako napríklad kontroly proti praniu špinavých peňazí.

Pre osobitné kategórie údajov podľa článku 9, ako sú zdravotné údaje v prípadoch ujmy na zdraví alebo údaje o trestnej činnosti pri obhajobe, kancelárie musia identifikovať dodatočnú podmienku spracovania. Tá často spadá pod článok 9(2)(f): spracovanie nevyhnutné na uplatnenie, výkon alebo obranu právnych nárokov.

Cezhraničné prenosy údajov

Právna práca často prekračuje hranice a GDPR ukladá prísne požiadavky na prenos osobných údajov mimo EHP. Po rozhodnutí Schrems II sa právne prostredie pre medzinárodné prenosy stalo zložitým.

Pri prenosoch do krajín s rozhodnutím o primeranosti (ako je UK po Brexite alebo USA podľa Rámca pre ochranu osobných údajov medzi EÚ a USA) je proces relatívne priamočiary. Pre iné jurisdikcie musia kancelárie implementovať primerané záruky, typicky štandardné zmluvné doložky (SCC) doplnené o posúdenie vplyvu prenosu, ktoré hodnotí, či právny rámec prijímajúcej krajiny v praxi poskytuje primeranú ochranu.

Advokátske kancelárie zaoberajúce sa severskými kauzami by mali venovať osobitnú pozornosť požiadavkám svojich národných úradov na ochranu údajov. Nórsky Datatilsynet, švédsky IMY a dánsky Datatilsynet vydali usmernenia o medzinárodných prenosoch, ktoré dopĺňajú všeobecné odporúčania EDPB.

Šifrovanie a kontroly prístupu

Článok 32 GDPR vyžaduje, aby prevádzkovatelia a spracovatelia implementovali primerané technické a organizačné opatrenia na zabezpečenie úrovne ochrany primeranej riziku. Pre právne dokumenty to znamená niekoľko vecí.

Šifrovanie v pokoji zaisťuje, že ak sú úložné médiá kompromitované, údaje zostávajú nečitateľné bez šifrovacieho kľúča. Šifrovanie pri prenose (TLS/SSL) chráni údaje pri presune medzi zariadením používateľa a platformou. End-to-end šifrovanie ide ešte ďalej tým, že zabezpečuje, aby ani poskytovateľ služby nemohol pristupovať k otvorenému obsahu.

Kontroly prístupu by mali nasledovať princíp najmenšieho privilégia: každý používateľ by mal mať prístup iba k dokumentom a funkciám, ktoré potrebuje pre svoju konkrétnu rolu. Riadenie prístupu na základe rolí, viacfaktorová autentifikácia a komplexné audítne záznamy vytvárajú vrstvy ochrany, ktoré znižujú riziko aj dopad neoprávneného prístupu.

Šifrovanie BYOK (bring-your-own-key) je vznikajúca osvedčená prax pre citlivú právnu prácu. Tým, že advokátskej kancelárii umožní kontrolovať šifrovacie kľúče, BYOK zaisťuje, že technologický poskytovateľ nemôže pristupovať k dokumentom kancelárie, dokonca ani pod prinútením.

Práva dotknutých osôb a uchovávanie právnych dokumentov

GDPR udeľuje dotknutým osobám škálu práv vrátane prístupu (článok 15), opravy (článok 16), výmazu (článok 17) a prenosnosti (článok 20). Pre advokátske kancelárie sa tieto práva pretínajú s profesijnými povinnosťami týkajúcimi sa uchovávania dokumentov, právnej výsady a povinnosti zachovať dôkazy.

Právo na výmaz nie je absolútne. Článok 17(3) poskytuje výnimky pre spracovanie nevyhnutné na uplatnenie, výkon alebo obranu právnych nárokov a pre súlad s právnou povinnosťou. Advokátska kancelária môže zákonne uchovávať dokumenty obsahujúce osobné údaje, ak sú tieto dokumenty potrebné pre prebiehajúce alebo predpokladané právne konania, alebo ak je uchovávanie vyžadované profesijnými predpismi alebo legislatívou proti praniu špinavých peňazí.

Kancelárie však musia mať jasnú politiku uchovávania, ktorá špecifikuje, ako dlho sa dokumenty uchovávajú a prečo, a musia údaje skutočne vymazať po uplynutí obdobia uchovávania. Neobmedzené uchovávanie bez zdokumentovaného zdôvodnenia nie je v súlade.

Praktický kontrolný zoznam GDPR pre advokátske kancelárie

Nasledujúce kroky poskytujú praktický rámec pre súlad s GDPR pri zaobchádzaní s právnymi dokumentmi. Vykonajte mapovanie údajov na identifikáciu všetkých tokov osobných údajov cez systémy vašej kancelárie. Zdokumentujte právny základ pre každú spracovateľskú činnosť. Zabezpečte, aby boli zmluvy o spracovaní údajov uzavreté so všetkými technologickými poskytovateľmi. Implementujte šifrovanie v pokoji aj pri prenose pre všetko uchovávanie a prenos dokumentov. Konfigurujte riadenie prístupu na základe rolí a povoľte viacfaktorovú autentifikáciu. Stanovte politiku uchovávania údajov s definovanými obdobiami uchovávania a automatizovaným vykonávaním. Vytvorte postupy reagovania na žiadosti dotknutých osôb o prístup v rámci 30-dňovej lehoty. Vykonávajte posúdenia vplyvu na ochranu údajov pre vysokorizikové spracovateľské činnosti. Vyškoľte všetkých zamestnancov v povinnostiach ochrany údajov a zdokumentujte toto školenie. Udržiavajte plán reakcie na porušenia s jasnými oznamovacími postupmi.

Súlad s GDPR nie je jednorazové cvičenie, ale priebežná povinnosť. Pravidelné revízie, aktualizované školenia a nepretržité monitorovanie sú nevyhnutné na udržanie súladu, keď sa regulačné prostredie a spracovateľské činnosti vašej kancelárie vyvíjajú.