Οι δικηγορικές εταιρίες επεξεργάζονται τεράστιες ποσότητες ευαίσθητων δεδομένων για λογαριασμό ιδιωτών και επιχειρήσεων και γι’ αυτό το λόγο η συμμόρφωσή τους με το νέο πλαίσιο είναι ιδιαίτερα επιτακτική. Παρ’ όλο το γεγονός ότι τόσο ο Κώδικας περί Δικηγόρων, όσο και η επαγγελματική μας ηθική, μας επιβάλλει την εχεμύθεια των πληροφοριών που διαχειριζόμαστε, εν τούτοις λίγες δικηγορικές εταιρείες έχουν υιοθετήσει οργανωτικά μέτρα τα οποία να διασφαλίζουν την εχεμύθεια σε όλο το λειτουργικό πλαίσιο της εταιρείας (privacy by default). Επιπλέον, λόγω της απέχθειας των περισσοτέρων δικηγόρων προς την χρήση τεχνολογίας (με τις συνεχόμενες αλλαγές που αυτή επιβάλλει λόγω της εξέλιξης), τα περισσότερα συστήματα των περισσοτέρων δικηγορικών εταιρειών (τουλάχιστον στην χώρα μας) είναι απαρχαιωμένα ή παντελώς “ανοικτά” σε κυβερνοεπιθέσεις. Οι δικηγορικές εταιρείες φαίνεται να στηρίζονται περισσότερο στην τύχη λόγω του μικρού μεγέθους τους (“ποιος να ασχοληθεί μαζί μας τώρα;”) παρά στο να λάβουν τεχνικά μέτρα προφύλαξης των (όποιων) πληροφοριακών τους συστημάτων.
Η κατάσταση αυτή δυστυχώς απηχεί άσχημα στο ίδιο μας το λειτούργημα. Την ίδια στιγμή που δικηγόροι συμβουλεύουν περί προσωπικών δεδομένων πελάτες, οι ίδιοι αδιαφορούν για την αξιόπιστη προστασία τους. Πόσες φορές, για παράδειγμα, δεν έχουν αποσταλεί αρχεία με ευαίσθητα προσωπικά δεδομένα από δικηγόρους μέσω «δωρεάν» εφαρμογών ηλεκτρονικού ταχυδρομείου (Gmail, yahoo, Hotmail) οι οποίες, από την φύση τους, δεν παρέχουν το απαιτούμενο επίπεδο ασφαλείας; Ακόμα και συνεργάτες εταιρειών που διαθέτουν (τυπικά) μέτρα προστασίας έχουν την δυνατότητα να ανασύρουν αρχεία με ευαίσθητα προσωπικά δεδομένα και να τα αποστείλουν σε μη εξουσιοδοτημένα πρόσωπα, παρακάμπτοντας τα συστήματα ηλεκτρονικού ταχυδρομείου της εταιρείας. Πόσοι δικηγόροι δεν έχουν αποστείλει «υποδείγματα» σε συναδέλφους με το πλήρες ιστορικό των πελατών τους (ακόμα και τα ονόματα πολλές φορές); Όσο και εάν δεν το αντιλαμβάνονται, όλες αυτές οι περιπτώσεις αποτελούν παραβιάσεις της νομοθεσίας περί προσωπικών δεδομένων.
Οι δικηγορικές εταιρίες οφείλουν όχι μόνο να σιγουρευτούν ότι συμμορφώνονται συστηματικά με τον Κανονισμό (ΕΕ) 2016/679 περί προστασίας προσωπικών δεδομένων για την αποφυγή οποιασδήποτε κύρωσης, αλλά επιπλέον, όπως αναφέρεται παρακάτω, έχουν καθήκον να λαμβάνουν αυξημένα οργανωτικά και τεχνικά μέτρα με στόχο την πρόληψη κάθε παραβίασης, η οποία θα μπορούσε να είναι καταστροφική για την φήμη μιας δικηγορικής εταιρίας.
Χαρακτηριστικά συνήθως είναι τα αποτελέσματα ενός test αυτοαξιολόγησης.
Προτείνουμε συνεπώς 5 άξονες πάνω στους οποίους θα πρέπει να δομήσετε το σύστημα της προστασίας των προσωπικών δεδομένων που επεξεργάζεστε.
Κατανόηση του νομικού πλαισίου με βάση το οποίο θα χρησιμοποιείτε τα προσωπικά δεδομένα
Πότε και πώς η δικηγορική σας εταιρία μπορεί να επεξεργάζεται τα προσωπικά δεδομένα των πελατών της;
Το άρθρο 6 του Κανονισμού (GDPR) προβλέπει ότι η εν λόγω επεξεργασία θα πρέπει να είναι νόμιμη – εφόσον τουλάχιστον μία από τις ακόλουθες προυποθέσεις πληρούται:
- Το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συναίνεσή του για την επεξεργασία των δεδομένων
- Όταν (η επεξεργασία) είναι απαραίτητη προκειμένου να εκτελεστεί μια σύμβαση με το υποκείμενο των δεδομένων ή προκειμένου μια σύμβαση να τεθεί σε ισχύ
- Όταν (η επεξεργασία) είναι απαραίτητη για τη συμμόρφωση με μια νομική υποχρέωση του υπευθύνου επεξεργασίας
- Όταν (η επεξεργασία) είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου ή άλλου φυσικού προσώπου
- Όταν (η επεξεργασία) είναι απαραίτητη για την εκπλήρωση ενός καθήκοντος προς το κοινό συμφέρον ή για την άσκηση δημόσιας εξουσίας με την οποία είναι επιφορτισμένος ο υπεύθυνος επεξεργασίας
- Όταν (η επεξεργασία) είναι απαραίτητη για την πραγμάτωση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτο πρόσωπο, εκτός αν αυτό το συμφέρον δεν υπερισχύει έναντι των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.
Σε περίπτωση που υποχρεούστε να ζητήσετε τη συναίνεση του υποκειμένου, θα πρέπει να βεβαιωθείτε ότι αυτή ζητήθηκε, λήφθηκε, καταγράφηκε και τροποποιήθηκε όπως ακριβώς προβλέπει ο Ευρωπαϊκός Κανονισμός προσωπικών δεδομένων. Η συναίνεση πρέπει να είναι ελεύθερη και ρητή. Τα υποκείμενα έχουν το δικαίωμα να ενημερωθούν σχετικά με τις προϋποθέσεις χρησιμοποίησης των προσωπικών τους δεδομένων, τον αποδέκτη που θα χρησιμοποιήσει τα δεδομένα του, τους σκοπούς και τη χρονική διάρκεια τήρησης και χρήσης τους. Για ορισμένες κατηγορίες προσωπικών δεδομένων (όπως πχ. δεδομένα που αποκαλύπτουν τις πολιτικές, θρησκευτικές και φιλοσοφικές πεποιθήσεις), η συναίνεση πρέπει να αναφέρεται ειδικά σε αυτά τα δεδομένα. Απαιτείται μία ελεύθερη, συγκεκριμένη, ρητή και με πλήρη επίγνωση του υποκειμένου πράξη συναίνεσης.
Η σιωπή δεν θα πρέπει να θεωρείται ως συναίνεση, παρά μόνο εάν προκύπτει από τη σχέση του υποκειμένου των δεδομένων με την επιχείρηση. Λόγου χάρη, όταν μια δικηγορική εταιρία προτείνει τις υπηρεσίες της στον πελάτη, μπορεί να συναχθεί ότι τα δεδομένα του θα χρησιμοποιηθούν στο πλαίσιο αυτών των υπηρεσιών. Αντίθετα, για την αποστολή προωθητικών των υπηρεσιών της ηλεκτρονικών μηνυμάτων (e-mails) σ’ έναν πελάτη της, η δικηγορική εταιρία οφείλει να έχει προηγουμένως λάβει την ειδική και ρητή συναίνεσή του.
Επιπρόσθετα, η συναίνεση θα πρέπει να μπορεί να εξακριβωθεί – επαληθευτεί, γεγονός που σημαίνει ότι ο υπεύθυνος επεξεργασίας οφείλει να μπορεί ν’ αποδείξει τη συναίνεση. Οι δικηγορικές εταιρίες οφείλουν να εξακριβώσουν ότι τα έντυπα συναίνεσης είναι κατάλληλα προσαρμοσμένα. Οι ρήτρες συναίνεσης θα πρέπει να είναι ρητές και να διαχωρίζονται από τους υπόλοιπους γενικούς όρους. Επιπλέον, τα υποκείμενα των δεδομένων έχουν τη δυνατότητα να ανακαλέσουν οποιαδήποτε στιγμή τη συναίνεσή τους. Το σύστημα καταγραφής της συναίνεσης θα πρέπει να είναι αρκετά ευέλικτο έτσι ώστε να μπορούν να διαγραφούν οι λεπτομέρειες, εφόσον αυτό ζητηθεί.
Τέλος, το γεγονός ότι λάβατε τη συναίνεση των πελατών σας, δε σημαίνει ότι μπορείτε να χρησιμοποιήσετε τα δεδομένα για περαιτέρω σκοπούς χωρίς τη λήψη νέας συναίνεσης.
Συνεπώς:
- Χρησιμοποιείστε όλα τα δεδομένα κατά τρόπο νόμιμο και σταματήστε κάθε επεξεργασία μη νόμιμη, κυρίως οποιαδήποτε μεταβίβαση δεδομένων σε τρίτους
- Συλλέγετε μόνο τα δεδομένα που είναι αναγκαία. Κάθε φορά που το εύρος μιας υπόθεσης παραμένει άγνωστο, οι δικηγορικές εταιρίες οφείλουν να παίρνουν προφυλάξεις και οι συνεργάτες της να ελέγχουν τα δεδομένα που έχουν συλλέξει, προκειμένου να βεβαιωθούν ότι αυτά είναι αναγκαία και ακριβή.
Κατανόηση των δικαιωμάτων των πελατών σας
Πέρα από το δικαίωμα τους να ανακαλούν τη συναίνεσή τους οποιαδήποτε στιγμή, τα υποκείμενα των δεδομένων διαθέτουν πληθώρα άλλων δικαιωμάτων, τα οποία καταγράφονται στο Κεφάλαιο 3 του Κανονισμού (άρθρα 12-23). Ο GDPR προβλέπει τα ακόλουθα δικαιώματα για τα φυσικά πρόσωπα:
- Δικαίωμα πληροφόρησης: Τα υποκείμενα έχουν το δικαίωμα να ενημερώνονται για το πότε, γιατί και πού χρησιμοποιούνται τα δεδομένα τους
- Δικαίωμα πρόσβασης: Τα φυσικά πρόσωπα δικαιούνται να λαμβάνουν επιβεβαίωση ότι τα δεδομένα τους πράγματι υφίσταται επεξεργασία, καθώς και να έχουν πρόσβαση στα προσωπικά τους δεδομένα και σε άλλες επιπρόσθετες πληροφορίες.
- Δικαίωμα διόρθωσης: Τα φυσικά πρόσωπα δικαιούνται να ζητήσουν τη διόρθωση των προσωπικών τους δεδομένων, εφόσον αυτά είναι λανθασμένα. Αν έχετε κοινοποιήσει τα προσωπικά δεδομένα τους σε τρίτους, οφείλετε να τους ενημερώσετε για τη διόρθωση. Οφείλετε επίσης να ενημερώσετε τα υποκείμενα για την ταυτότητα των τρίτων προσώπων στα οποία κοινοποιήθηκαν τα προσωπικά τους δεδομένα.
- Δικαίωμα διαγραφής ή δικαίωμα στη λήθη: Προβλέπεται ότι τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητήσουν τη διαγραφή ή την κατάργηση των προσωπικών τους δεδομένων και την απαγόρευση της περεταίρω επεξεργασίας τους.
- Δικαίωμα περιορισμού της επεξεργασίας: Τα φυσικά πρόσωπα μπορούν να ζητήσουν να παύσει η επεξεργασία των δεδομένων τους.
- Δικαίωμα φορητότητας των δεδομένων: Τα φυσικά πρόσωπα δικαιούνται να επαναχρησιμοποιούν τα προσωπικά τους δεδομένα σε διαφορετικές υπηρεσίες. Προϋπόθεση για αυτό είναι η δυνατότητά τους να μεταφέρουν εύκολα τα προσωπικά τους δεδομένα από τη μία υπηρεσία στην άλλη.
- Δικαίωμα εναντίωσης: Επικαλούμενο το έννομο συμφέρον του, το υποκείμενο μπορεί να εναντιωθεί στην επεξεργασία δραστηριοτήτων που αφορούν το μάρκετινγκ ή την κατάρτιση προφίλ, αλλά και στην επεξεργασία για ερευνητικούς και στατιστικούς σκοπούς.
- Δικαιώματα σχετικά με τη λήψη αυτόματης απόφασης: Τα υποκείμενα έχουν δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.
Συνεπώς:
- Βεβαιωθείτε ότι οι πολιτικές εμπιστευτικότητας και εχεμύθειας είναι επικαιροποιημένες και αναφέρουν με ξεκάθαρο τρόπο τα δικαιώματα των πελατών, συμπεριλαμβανομένων των δικαιωμάτων περιορισμού της επεξεργασίας και αμφισβήτησης.
- Βεβαιωθείτε ότι τα δεδομένα που κατέχετε είναι ακριβή και επικαιροποιημένα. Για τον λόγο αυτό μπορεί να καταστεί αναγκαίο να επικοινωνήσετε με τον πελάτη έτσι ώστε να διαπιστώσετε την ακρίβεια των δεδομένων ή για να επιτρέψετε την πρόσβαση του πελάτη σ’ ένα προστατευμένο σύστημα προκειμένου ο ίδιος να διορθώσει τα δεδομένα ή να ζητήσει τη διαγραφή τους.
- Βεβαιωθείτε ότι τα τεχνικά μέτρα και οι διοικητικές διαδικασίες είναι σε θέση να ανταποκριθούν στο δικαίωμα πρόσβασης, κατάργησης, περιορισμού της επεξεργασίας και στο δικαίωμα φορητότητας των δεδομένων.
- Προβλέψτε μέτρα κατάργησης των δεδομένων από τη στιγμή που αυτά τα δεδομένα δεν είναι πλέον απαραίτητα για τον σκοπό για τον οποίο συλλέχθηκαν ή επεξεργάστηκαν.
- Σε περίπτωση αντίρρησης, πρέπει να είστε σε θέση να προβάλλετε νόμιμους λόγους για τους οποίους η επεξεργασία των δεδομένων υπερισχύει των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου ή ότι η επεξεργασία δικαιολογείται για την άσκηση και υποστήριξη δικαστικών ενεργειών.
Κατανόηση των ευθυνών της δικηγορικής σας εταιρίας
Τι οφείλει να καταγράψει η δικηγορική μου εταιρία;
Δεν έχει ξεκαθαρίσει ακόμα ποιές δικηγορικές εταιρείες οφείλουν αν τηρούν αρχείο επεξεργασίας προσωπικών δεδομένων. Με τα Ελληνικά δεδομένα λίγες θα είναι αυτές που θα οφείλουν να το τηρούν. Καλό όμως είναι να γίνει μια προσπάθεια καταγραφής των σημαντικών κινδύνων καταγράφοντας π.χ.:
- Την επεξεργασία των προσωπικών δεδομένων που μπορεί να εκθέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου
- Την επεξεργασία ορισμένων κατηγοριών δεδομένων, όπως τα ποινικά αδικήματα και οι ποινικές καταδίκες
Σε περίπτωση που η δικηγορική εταιρεία οφείλει να τηρεί αρχείο καταγραφής πράξεων επεξεργασίας, τότε πρέπει να συμπεριλάβει τις ακόλουθες πληροφορίες που αναφέρονται στο άρθρο 13 του Ευρωπαϊκού Κανονισμού:
- Το όνομα και τα στοιχεία της εταιρίας σας (και κατά περίπτωση, των υπόλοιπων υπευθύνων επεξεργασίας, του νόμιμου εκπροσώπου σας και του υπευθύνου προστασίας των δεδομένων)
- Τους σκοπούς επεξεργασίας και το νομικό πλαίσιο
- Κατά περίπτωση, τα έννομα συμφέροντα του υπευθύνου επεξεργασίας ή τρίτου προσώπου, τα οποία θεμελιώνουν την επεξεργασία των δεδομένων (στις περιπτώσεις του άρθρου 6 εδάφιο 1 β του Ευρωπαϊκού Κανονισμού)
- Την περιγραφή των κατηγοριών των υποκειμένων και των κατηγοριών των προσωπικών δεδομένων
- Τις κατηγορίες των προσώπων στα οποία κοινοποιούνται τα προσωπικά δεδομένα
- Τις λεπτομέρειες που αφορούν τη διαβίβαση δεδομένων σε τρίτες χώρες
- Το χρονοδιάγραμμα διατήρησης των δεδομένων (σε περίπτωση έλλειψης, τα κριτήρια που καθορίζουν τη διάρκεια διατήρησής τους)
- Την περιγραφή των τεχνικών και οργανωτικών μέτρων προστασίας που έχετε λάβει.
Δικαιολογημένα κάποιος μπορεί να μπερδευτεί από την πολυπλοκότητα του GDPR. Καθίσταται, λοιπόν, σημαντικό για τις εταιρείες να καθορίζουν το χώρο στον οποίο θα αποθηκεύονται και θα επεξεργάζονται τα διάφορα είδη δεδομένων, συμπεριλαμβανομένων και των προσωπικών δεδομένων. Θα πρέπει να δημιουργήσετε ένα μητρώο ή απλά να χαρτογραφήσετε τις τοποθεσίες (ηλεκτρονικές και φυσικές), διασαφηνίζοντας την ακριβή τοποθεσία όπου βρίσκεται το κάθε είδος δεδομένων και τις παραμέτρους χρήσης τους, γεγονός που θα σας βοηθήσει να ελαττώσετε τον κίνδυνο παραβίασης των δεδομένων. Ο χρυσός κανόνας είναι ότι τα δεδομένα πρέπει να βρίσκονται μόνο όπου το απαιτεί η εσωτερική πολιτική της επιχείρησης.
Υιοθετώντας διαυγείς και αποτελεσματικές πολιτικές και διαδικασίες, βρίσκεστε σε καλό δρόμο για να σεβαστείτε τους κανονισμούς και να αποδείξετε ότι τηρείτε τις απαραίτητες προϋποθέσεις ασφαλείας. Εντούτοις, οφείλετε να υποβάλετε τις διαδικασίες σε ελέγχους και αναθεωρήσεις.
Συνεπώς:
- Είναι πολύ σημαντικό να διαθέτετε συστηματικά τις ακόλουθες πληροφορίες:
- Πολιτικές ασφαλείας πληροφοριακών συστημάτων, συμμόρφωσης και προστασίας δεδομένων
- Εγχειρίδιο προστασίας δεδομένων
- Δηλώσεις προστασίας δεδομένων όλων των εργαζομένων που επεξεργάζονται προσωπικά δεδομένα
- Περιγραφή της αυτοματοποιημένης διαδικασίας ηλεκτρονικής επεξεργασίας δεδομένων
- Δικαιολογητικά των δηλώσεων συναίνεσης για τη συγκέντρωση προσωπικών δεδομένων
- Ενημερώστε για τις υποχρεώσεις που επιβάλλει ο GDPR όλους τους εργαζόμενους.
- Ορίστε Υπεύθυνο Προστασίας Προσωπικών Δεδομένων στην επιχείρησή σας (προσοχή στην λειτουργική ανεξαρτησία του από την διοίκηση της δικηγορικής εταιρείας).
Κατανόηση των υποχρεώσεών σας σε περίπτωση διακινδύνευσης των δεδομένων
Αν τα δεδομένα ενός πελάτη δημοσιοποιούνται από κάποιον μη εξουσιοδοτούμενο, τι οφείλει να κάνει η δικηγορική μου εταιρία;
Σύμφωνα με το νέο Γενικό Κανονισμό, παραβίαση δεδομένων υπάρχει σε περίπτωση κατάργησης, απώλειας ή τροποποίησης προσωπικών δεδομένων ή ανεπίτρεπτης πρόσβασης ή κοινοποίησης προσωπικών δεδομένων, εξαιτίας μιας παραβίασης ασφάλειας. Οι υποχρεώσεις αναφοράς και γνωστοποίησης σε περίπτωση διαπιστωμένης παραβίασης ασφάλειας των δεδομένων αναφέρονται στα άρθρα 33 και 34 του νέου Ευρωπαικού Κανονισμού.
Όταν διαπιστώνεται μια παραβίαση προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας οφείλει να απευθυνθεί στην αρμόδια εποπτική αρχή το συντομότερο (άλλως, μέσα σε 72 ώρες από τότε που θα διαπιστωθεί η παραβίαση). Εντούτοις, καμιά υποχρέωση αναφοράς δεν υπάρχει εάν η παραβίαση δεν βλάπτει τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Δεν είναι πάντοτε απλό να αναλύσουμε την κάθε ειδική περίπτωση για να διαπιστώσουμε τη νομιμότητα ή μη της υποχρέωσης αναφοράς.
Η γνωστοποίηση στην αρμόδια εποπτική αρχή θα πρέπει να περιλαμβάνει κατ’ ελάχιστο τα παρακάτω:
- Την περιγραφή της φύσης της παραβίασης των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες και τον αριθμό των υποκειμένων, καθώς και τις κατηγορίες και τον αριθμό των καταγραφών των δεδομένων προσωπικού χαρακτήρα
- Το όνομα και τα υπόλοιπα στοιχεία του Υπευθύνου Προστασίας Δεδομένων
- Την περιγραφή των πιθανών συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα
- Την περιγραφή των μέτρων που λαμβάνονται ή προτείνονται από τον υπεύθυνο επεξεργασίας, ώστε να θεραπευτεί η παραβίαση των δεδομένων προσωπικού χαρακτήρα και αν συντρέχει περίπτωση, τα μέτρα για να μειωθούν οι ενδεχόμενες αρνητικές συνέπειες.
Ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να παρέχει τις απαραίτητες νομικά πληροφορίες σταδιακά, εάν δεν μπορεί να τις παρέχει όλες μαζί μέσα σε 72 ώρες.
Επίσης, ο υπεύθυνος επεξεργασίας οφείλει να υποβάλει πλήρη έγγραφα σύμφωνα με το άρθρο 30 (5) του Γενικού Κανονισμού.
Η παραβίαση των προσωπικών δεδομένων μπορεί να γνωστοποιηθεί κατά τον ίδιο τρόπο από τον υπεύθυνο επεξεργασίας στο υποκείμενο των δεδομένων, το συντομότερο δυνατό, σε γλώσσα απλή και κατανοητή, σύμφωνα με το άρθρο 34 του Γενικού Κανονισμού.
Συνεπώς:
- Οι παραβιάσεις δεδομένων οφείλονται συνήθως σε ανθρώπινο λάθος μέσα στην εταιρία. Βεβαιωθείτε ότι οι συνεργάτες σας χρησιμοποιούν όλες τις ασφαλείς πρακτικές κοινής χρήσης αρχείων (προσοχή στις προβληματικές πρακτικές, όπως η απομάκρυνση των αρχείων από το γραφείο, η απώλεια δεδομένων από φορητούς υπολογιστές, οι πρακτικές BYOD, οι φορητές συσκευές) και ότι αυτοί (οι συνεργάτες σας) μπορούν να αντιληφθούν τα ύποπτα emails για να ελαττώσουν τον κίνδυνο παραβίασης που θα μπορούσε να αποφευχθεί.
- Ελέγξτε τα μέτρα ασφαλείας στον κυβερνοχώρο της δικηγορικής σας εταιρίας και την ικανότητά σας να αντιμετωπίζετε τις τεχνικές βλάβες.
- Ελέγξτε την εφαρμογή ενός απλού πρωτοκόλλου το οποίο θα σας επιτρέψει να ενεργήσετε γρήγορα σε περίπτωση παραβίασης και να ενημερώσετε τις αρχές και τα υποκείμενα μέσα σε προθεσμία 72 ωρών.
- Εφαρμόστε ένα σύστημα καταγραφής των προηγούμενων παραβιάσεων στην περίπτωση που η εποπτική αρχή επιθυμεί να πραγματοποιήσει μια δική της εκτίμηση.
- Εάν είναι δυνατόν, εφαρμόστε τεχνικά και οργανωτικά μέτρα ασφαλείας προκειμένου τα προσωπικά δεδομένα να είναι ακατάληπτα σε οποιονδήποτε δεν έχει δικαίωμα πρόσβασης σε αυτά (κυρίως με κρυπτογράφηση). Η κρυπτογράφηση των δεδομένων είναι η τελευταία σας λύση στην περίπτωση που τα δεδομένα σας υποκλαπούν από χάκερς.
Εφαρμόστε τεχνολογικά προηγμένες λύσεις
Η συστηματική προστασία των δεδομένων και η νομική τεχνολογία συμπορεύονται. Σύμφωνα με τον Γενικό Κανονισμό, οι δικηγορικές εταιρίες οφείλουν να ελέγχουν:
- Πού βρίσκονται τα δεδομένα. Αν βρίσκονται σε έναν τοπικό server, ο πάροχός σας είναι ικανός να προλάβει μία παραβίαση δεδομένων σε μεγάλη κλίμακα; Αν είναι αποθηκευμένα σε cloud, ο πάροχός σας μπορεί να εγγυηθεί την ασφάλεια σε φυσικό επίπεδο και την ανάκτησή τους μετά την καταστροφή;
- Ποια μέτρα ασφαλείας εφαρμόζονται για να προστατευθούν τα δεδομένα από τις μη επιτρεπτές προσβάσεις και από τον κίνδυνο απώλειας;
- Για πόσο χρόνο η δικηγορική σας εταιρία διατηρεί τα αρχεία και τα δεδομένα;
- Ποια είναι τα τρίτα πρόσωπα που έχουν πρόσβαση στα δεδομένα και υπό ποιους όρους ασφαλείας καθίστανται κοινά (πχ. δια μέσου μιας ασφαλούς πύλης ή ενός email);
- Εάν οι εργαζόμενοι χρησιμοποιούν τις δικές τους συσκευές και αν έχουν ασφαλή πρόσβαση στα εξωτερικά του γραφείου αρχεία;
- Με ποια συχνότητα αποθηκεύονται τα δεδομένα και μέσα σε ποια προθεσμία μπορούν να αποκατασταθούν σε περίπτωση κυβερνοεπίθεσης;
Συνήθισμένα μέτρα τεχνικά προστασίας είναι:
- Αυστηρή διαχείριση πρόσβασης (RBAC) για να περιοριστεί ο αριθμός των προσώπων που μπορούν να έχουν πρόσβαση στα ευαίσθητα δεδομένα
- Ταξινόμηση των συμβατικών εγγράφων που απαιτούνται σύμφωνα με τον GDPR (π.χ. ΣΕΔ)
- Αυτόματη σύνταξη συμβάσεων, συμπεριλαμβανομένων των παραρτημάτων που αναφέρονται στη νομοθεσία περί προστασίας δεδομένων (πχ. συναίνεση για την επεξεργασία των δεδομένων, συμβάσεις εμπιστευτικότητας με συνεργάτες)
Συνήθως, τα τεχνικά μέτρα “δυσκολεύουν” την ζωή των δικηγόρων που έχουν μάθει να λειτουργούν “ανεξέλεγκτα” λόγω της (θεωρητικά) γνώσης τους για το πλαίσιο προστασίας και της εμπιστοσύνης στις ικανότητές τους. Δημιουργούνται έτσι αντιδράσεις σε μια εταιρεία οι οποίες βασίζονται στην θεωρία ότι η δικηγορική εταιρεία δεν “εμπιστεύεται” τα στελέχη της. Αυτή η προσέγγιση όμως είναι λανθασμένη καθώς πολλές παραβιάσεις γίνονται ακούσια και ασυναίσθητα. Σκοπός του Κανονισμού είναι η δημιουργία ενός συστήματος το οποίο θα περιορίζει τις περιπτώσεις λαθών και δολιοφθοράς, διασφαλίζοντας πραγματικά τα προσωπικά δεδομένα. Οι δικηγόροι οφείλουμε να είμαστε πρωτοπόροι και σε αυτό τον τομέα. Όχι στα λόγια. Στην πράξη!