Splošna uredba o varstvu podatkov ni neobvezna za pravne strokovnjake. Vsaka odvetniška pisarna, interni pravni oddelek in ponudnik pravne tehnologije, ki obravnava osebne podatke prebivalcev EU ali EGP, mora biti skladen. Pravni dokumenti pa so po svoji naravi prežeti z osebnimi podatki: imeni, naslovi, identifikacijskimi številkami, finančnimi podatki, zaposlitveno zgodovino in včasih občutljivimi kategorijami, kot so zdravstveni podatki ali kazenski zapisi.
Ta vodnik zajema, kaj morajo pravni strokovnjaki vedeti o skladnosti z GDPR pri delu s pravnimi dokumenti — od regulativnega okvira do praktične izvedbe.
Razumevanje vaše vloge: upravljavec proti obdelovalcu
Prvi korak k skladnosti z GDPR je razumevanje vaše vloge v verigi obdelave podatkov. Odvetniška pisarna, ki deluje v imenu stranke, je običajno upravljavec osebnih podatkov v zadevi. Pisarna določa, zakaj in kako se podatki obdelujejo. Če pisarna za analizo ali shranjevanje teh dokumentov uporablja platformo za pravno tehnologijo, ta platforma deluje kot obdelovalec.
Ta razlika ima konkretne posledice. Upravljavci nosijo glavno odgovornost za zakonito obdelavo, morajo vzpostaviti pravno podlago za vsako dejavnost obdelave in se odzvati na zahteve za dostop posameznikov, na katere se podatki nanašajo. Obdelovalci morajo delovati zgolj po navodilih upravljavca, izvajati ustrezne varnostne ukrepe in upravljavca brez nepotrebnega odlašanja obvestiti o kršitvi varnosti podatkov.
Kadar imata odvetniška pisarna in njen tehnološki ponudnik oba vlogo pri določanju namena in sredstev obdelave, sta lahko skupna upravljavca po členu 26, kar zahteva poseben dogovor, ki opredeljuje njune odgovornosti.
Pogodbe o obdelavi podatkov
Vsak odnos med upravljavcem in obdelovalcem zahteva pogodbo o obdelavi podatkov (DPA), ki izpolnjuje zahteve člena 28 GDPR. Za odvetniške pisarne, ki uporabljajo platforme za pravno tehnologijo, mora ta pogodba opredeliti predmet in trajanje obdelave, naravo in namen obdelave, vrste vključenih osebnih podatkov, kategorije posameznikov, na katere se podatki nanašajo, in obveznosti ter pravice upravljavca.
Robustni DPA naslavlja tudi podobdelavo (ko obdelovalec uporablja svoje ponudnike storitev), pravice do revizije, postopke obveščanja o kršitvah in usodo podatkov ob koncu odnosa. Splošne predloge DPA so izhodišče, vendar jih mora pregledati nekdo, ki razume tako tehnologijo kot specifični pravni kontekst.
Pravna podlaga za obdelavo pravnih dokumentov
Odvetniške pisarne se običajno opirajo na več pravnih podlag iz člena 6 GDPR. Zakonit interes (člen 6(1)(f)) se pogosto uporablja za delo na zadevi stranke, čeprav zahteva dokumentiran tehtalni preizkus. Pogodbena nujnost (člen 6(1)(b)) velja, kadar je obdelava potrebna za izvedbo pravnih storitev, za katere je stranka pisarno pooblastila. Pravna obveznost (člen 6(1)(c)) zajema obdelavo, zahtevano z zakonom, na primer preverjanja proti pranju denarja.
Za posebne kategorije podatkov po členu 9, kot so zdravstveni podatki v primerih osebne škode ali podatki o kazenskih dejanjih v zadevah obrambe, morajo pisarne najti dodaten pogoj za obdelavo. Pogosto velja člen 9(2)(f): obdelava, potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Čezmejni prenosi podatkov
Pravno delo pogosto prečka meje, GDPR pa za prenos osebnih podatkov izven EGP nalaga stroge zahteve. Po sodbi Schrems II je pravno okolje za mednarodne prenose postalo zapleteno.
Za prenose v države z odločitvijo o ustreznosti (kot sta Združeno kraljestvo po brexitu ali Združene države v okviru okvira EU–ZDA o varstvu podatkov) je postopek razmeroma preprost. Za druge jurisdikcije morajo pisarne uvesti ustrezne zaščitne ukrepe — običajno standardne pogodbene klavzule (SCC), dopolnjene z oceno učinka prenosa, ki ovrednoti, ali pravni okvir prejemne države v praksi zagotavlja ustrezno zaščito.
Odvetniške pisarne, ki obravnavajo skandinavske zadeve, morajo biti še posebej pozorne na zahteve nacionalnih organov za varstvo podatkov. Norveški Datatilsynet, švedski IMY in danski Datatilsynet so vsak izdali smernice o mednarodnih prenosih, ki dopolnjujejo splošna priporočila EDPB.
Šifriranje in nadzor dostopa
Člen 32 GDPR od upravljavcev in obdelovalcev zahteva izvajanje ustreznih tehničnih in organizacijskih ukrepov, ki zagotavljajo raven varnosti, ustrezno tveganju. Za pravne dokumente to pomeni več stvari.
Šifriranje v mirovanju zagotavlja, da podatki ostanejo neberljivi brez ključa, tudi če bi prišlo do kompromisa nosilcev podatkov. Šifriranje pri prenosu (TLS/SSL) varuje podatke, ko se premikajo med uporabnikovo napravo in platformo. Šifriranje od konca do konca gre dlje in zagotavlja, da do golih podatkov ne more dostopati niti ponudnik storitve.
Nadzor dostopa naj sledi načelu najmanjših pravic: vsak uporabnik naj ima dostop le do dokumentov in funkcij, ki jih potrebuje za svojo posebno vlogo. Nadzor dostopa na podlagi vlog, večfaktorska avtentikacija in obsežno revizijsko beleženje ustvarjajo plasti zaščite, ki zmanjšujejo tveganje in učinek nepooblaščenega dostopa.
Šifriranje BYOK je nastajajoča dobra praksa za občutljivo pravno delo. Z dovoljevanjem nadzora odvetniške pisarne nad šifrirnimi ključi BYOK zagotavlja, da tehnološki ponudnik ne more dostopati do dokumentov pisarne — niti pod prisilo.
Pravice posameznikov, na katere se podatki nanašajo, in hramba pravnih dokumentov
GDPR posameznikom, na katere se podatki nanašajo, podeljuje vrsto pravic, vključno z dostopom (člen 15), popravkom (člen 16), izbrisom (člen 17) in prenosljivostjo (člen 20). Za odvetniške pisarne se te pravice prepletajo s strokovnimi obveznostmi glede hrambe dokumentov, pravnega privilegija in dolžnosti ohranjanja dokazov.
Pravica do izbrisa ni absolutna. Člen 17(3) določa izjeme za obdelavo, potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, in za skladnost s pravno obveznostjo. Odvetniška pisarna lahko zakonito hrani dokumente z osebnimi podatki, če so ti potrebni za tekoče ali predvidene pravne postopke ali če hramba zahteva strokovna pravila ali zakonodaja proti pranju denarja.
Vendar morajo pisarne imeti jasno politiko hrambe, ki določa, kako dolgo so dokumenti hranjeni in zakaj, in morajo podatke dejansko izbrisati ob izteku obdobja hrambe. Nedoločen rok hrambe brez dokumentirane utemeljitve ni skladen.
Praktični kontrolni seznam GDPR za odvetniške pisarne
Naslednji koraki ponujajo praktičen okvir skladnosti z GDPR pri ravnanju s pravnimi dokumenti. Izvedite popis podatkov in prepoznajte vse tokove osebnih podatkov skozi sisteme pisarne. Dokumentirajte pravno podlago za vsako dejavnost obdelave. Zagotovite, da imate sklenjene DPA z vsemi tehnološkimi ponudniki. Uvedite šifriranje v mirovanju in pri prenosu za vse hranjenje in pošiljanje dokumentov. Konfigurirajte nadzor dostopa na podlagi vlog in omogočite večfaktorsko avtentikacijo. Vzpostavite politiko hrambe podatkov z opredeljenimi obdobji in samodejno uveljavitvijo. Ustvarite postopke za odzivanje na zahteve posameznikov, na katere se podatki nanašajo, v 30-dnevnem roku. Izvajajte ocene učinka v zvezi z varstvom podatkov za visokotvegane dejavnosti obdelave. Vse zaposlene usposabljajte o obveznostih varstva podatkov in to usposabljanje dokumentirajte. Vzdržujte načrt odzivanja na kršitve z jasnimi postopki obveščanja.
Skladnost z GDPR ni enkratna naloga, ampak stalna obveznost. Za vzdrževanje skladnosti so ob spreminjanju regulativne pokrajine in dejavnosti obdelave v pisarni potrebni redni pregledi, posodobljena usposabljanja in stalno spremljanje.
Pogosto zastavljena vprašanja
- Kdo mora spoštovati GDPR?
- Vsaka organizacija, ki obdeluje osebne podatke prebivalcev EU ali EGP, ne glede na sedež. Ameriška odvetniška pisarna, ki streže stranki iz EU, mora upoštevati GDPR. Japonski ponudnik SaaS z uporabniki v EU mora upoštevati GDPR.
- V čem se razlikujeta upravljavec in obdelovalec?
- Upravljavec odloča zakaj in kako se osebni podatki obdelujejo — običajno pisarna. Obdelovalec deluje po navodilih upravljavca — običajno tehnološka platforma. Upravljavci nosijo glavno odgovornost; obdelovalci izvajajo varnost in sledijo navodilom.
- Ali pravica do izbrisa premaga obveznosti hrambe pravnih dokumentov?
- Ne absolutno. Člen 17(3) GDPR izvzema obdelavo, potrebno za uveljavljanje, izvrševanje ali obrambo pravnih zahtevkov, in obdelavo, zahtevano z zakonom. Pisarne morajo dokumentirati roke hrambe in dejansko izbrisati ob izteku.
Nadaljnje branje
Pogodba o obdelavi podatkov (DPA) je pogodba med upravljavcem in obdelovalcem, ki določa, kako se lahko osebni podatki obdelujejo v imenu upravljavca. Po 28. členu GDPR je DPA obvezen vedno, ko upravljavec uporabi obdelovalca, in mora zajemati predmet, trajanje, obseg in obveznosti obdelovalca.
→Pogodba o nerazkritju (NDA) je pogodba, s katero se ena ali obe stranki zavezujeta, da določenih informacij ne bosta delila z nikomer izven pogodbe. Določa, kaj šteje za zaupno, kako dolgo obveznost traja, s kom se informacije lahko delijo in kaj se zgodi, če pride do razkritja.
→Odškodnina je pogodbena obljuba, s katero se ena stranka (dajalec odškodnine) zaveže kriti izgube, ki jih utrpi druga stranka (prejemnik odškodnine) kot posledico določenih dogodkov — običajno zahtevkov tretjih oseb, kršitev izjav ali opredeljenih škod. Klavzula določa, katere izgube so pokrite, sprožilce, zgornje meje in morebitne izjeme.
→