Prečo advokátske tajomstvo nestačí na ochranu pred pokutami z úradu
Právna prax je odjakživa postavená na diskrétnosti a dôvere. Mnohí advokáti žijú v presvedčení, že zákonom stanovená povinnosť mlčanlivosti je dostatočným štítom, ktorý ich automaticky chráni pred nárokmi vyplývajúcimi z nariadenia GDPR. Realita je však zložitejšia. Zatiaľ čo advokátske tajomstvo chráni obsah komunikácie medzi právnikom a klientom, GDPR sa zameriava na procesnú a technickú stránku manipulácie s údajmi. Advokátska kancelária nie je len poskytovateľom právnych služieb, ale z pohľadu legislatívy predovšetkým prevádzkovateľom, ktorý spracúva obrovské množstvo vysoko citlivých informácií o fyzických osobách. Tieto údaje zahŕňajú nielen mená a adresy, ale často aj informácie o trestnej činnosti, zdravotnom stave či majetkových pomeroch. Nedostatočné zabezpečenie týchto dát, chýbajúca dokumentácia alebo nejasne nastavené retenčné lehoty môžu viesť k likvidačným pokutám a nenapraviteľnému poškodeniu reputácie, ktorú si kancelária budovala roky.
1. Podcenenie spracúvania osobitných kategórií údajov
Jednou z najväčších pascí v právnom prostredí je spracúvanie tzv. citlivých údajov podľa článku 9 GDPR. Advokáti pri zastupovaní v rodinnoprávnych sporoch, pracovnoprávnych sporoch alebo trestných konaniach nevyhnutne prichádzajú do styku s údajmi o zdraví, o členstve v odborových organizáciách či údajmi o rozsudkoch v trestných veciach.
Častou chybou je, že kancelárie nemajú dostatočne špecifikovaný právny základ pre tieto operácie. Spoliehať sa len na „súhlas dotknutej osoby“ je v advokácii riskantné, pretože súhlas musí byť kedykoľvek odvolateľný. Pre advokáta je kľúčové správne identifikovať výnimku podľa článku 9 ods. 2 písm. f) GDPR, ktorá umožňuje spracúvanie, ak je to nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Ak však spracúvate údaje zamestnancov alebo uchádzačov o zamestnanie vo svojej kancelárii, tento právny základ už neplatí a musíte mať procesy nastavené úplne inak. Absencia posúdenia vplyvu na ochranu údajov (DPIA) pri rozsiahlejšom spracúvaní týchto kategórií je ďalším častým pochybením, ktoré kontrolné orgány tvrdo sankcionujú.
2. Nejasné retenčné lehoty a „večné“ archívy
Princíp minimalizácie uchovávania patrí medzi základné piliere GDPR, no v advokátskych kanceláriách býva najčastejšie porušovaný. Mnohí právnici majú tendenciu uchovávať klientske spisy „pre istotu“ navždy, alebo aspoň po dobu desiatok rokov bez jasného zdôvodnenia.
- Zákonné lehoty vs. GDPR: Zákon o advokácii ukladá povinnosť uchovávať dokumentáciu počas 10 rokov od skončenia zastupovania. Problém nastáva pri pomocných materiáloch, kópiách osobných dokladov alebo e-mailovej komunikácii, ktoré už pre výkon advokácie nie sú potrebné.
- Chýbajúci skartačný poriadok: Ak kancelária nemá jasne stanovené, kedy sa digitálne a fyzické dáta definitívne mažú, porušuje nariadenie.
- Digitálny neporiadok: Zabúda sa na skenované verzie dokumentov uložené na lokálnych diskoch počítačov alebo v histórii skenerov.
Efektívnym riešením je zavedenie automatizovaného systému na správu spisov, ktorý upozorní na uplynutie retenčnej lehoty a navrhne dokumentáciu na bezpečnú likvidáciu. Uchovávanie údajov po lehote bez legitímneho dôvodu je považované za nezákonné spracúvanie.
3. Využívanie cloudových služieb bez preverenia dodávateľov
Moderná advokátska kancelária sa dnes nezaobíde bez cloudu. Či už ide o Microsoft 365, Google Workspace alebo špecializované právne softvéry, dáta klientov opúšťajú fyzické priestory kancelárie. Tu leží ďalšia pasca: absencia sprostredkovateľských zmlúv.
Podľa článku 28 GDPR musí mať prevádzkovateľ (advokát) s každým dodávateľom, ktorý má prístup k osobným údajom, uzatvorenú písomnú zmluvu o spracúvaní. Mnohí advokáti sa spoliehajú na všeobecné podmienky veľkých korporácií, no nepreverujú, kde sa servery fyzicky nachádzajú. Ak dochádza k prenosu údajov do tretích krajín (napr. USA), je nevyhnutné skontrolovať, či dodávateľ garantuje primeranú úroveň ochrany (napr. cez rámec Data Privacy Framework). Používanie bezplatných e-mailových služieb alebo nezabezpečených cloudových úložísk pre klientske dáta je z pohľadu GDPR hrubým porušením bezpečnostných opatrení.
Bezpečnosť komunikácie a riziká nezašifrovaných e-mailov
E-mail je primárnym nástrojom komunikácie, no zároveň najväčšou bezpečnostnou dierou. Posielanie citlivých zmlúv, žalôb či lekárskych správ v podobe bežnej prílohy bez akéhokoľvek šifrovania je v roku 2024 neakceptovateľné. Stačí jeden preklep v adrese príjemcu a dôjde k bezpečnostnému incidentu, ktorý musí kancelária do 72 hodín nahlásiť Úradu na ochranu osobných údajov.
Základné pravidlá bezpečnej digitálnej komunikácie:
- Šifrovanie príloh: Dokumenty obsahujúce osobné údaje by mali byť posielané minimálne v zaheslovanom archíve, pričom heslo sa odovzdáva iným komunikačným kanálom (napr. SMS).
- Dvojfaktorová autentifikácia (2FA): Prístup k e-mailovým schránkam a do klientskeho systému musí byť chránený nielen heslom, ale aj druhým faktorom.
- Zákaz používania súkromných zariadení: Ak koncipienti alebo asistenti pristupujú k spisom zo svojich súkromných mobilov či notebookov bez kontrolovaného VPN prístupu, kancelária stráca dohľad nad bezpečnosťou dát.
Práva dotknutých osôb v právnej praxi
Klienti, ale aj protistrany, majú podľa GDPR právo na prístup k svojim údajom, ich opravu či vymazanie. Tu vzniká unikátny konflikt. Má protistrana právo vidieť, aké údaje o nej advokát spracúva v rámci prípravy stratégie pre klienta?
V tomto bode GDPR priznáva advokátom určité úľavy. Povinnosť poskytnúť informácie dotknutej osobe je obmedzená, ak by tým došlo k porušeniu zákonnej povinnosti mlčanlivosti. To však neznamená, že žiadosti o výkon práv môžete ignorovať. Každá kancelária musí mať nastavený interný proces, ako tieto žiadosti posudzovať, kedy je možné informácie odmietnuť a kedy je naopak nevyhnutné vyhovieť (napríklad pri oprave nesprávnych identifikačných údajov). Absencia transparentnej informácie o spracúvaní (tzv. Privacy Policy) na webovej stránke kancelárie je pritom najjednoduchším cieľom pre kontrolórov.
Zabezpečenie súladu s GDPR v advokátskej kancelárii nie je jednorazovou záležitosťou ani otázkou vyplnenia niekoľkých vzorových dokumentov. Je to kontinuálny proces, ktorý si vyžaduje pochopenie hlbokej synergie medzi ochranou osobných údajov a výkonom právnej profesie. Advokáti musia akceptovať, že v digitálnej ére je technické zabezpečenie dát rovnako dôležité ako ich právna argumentácia v súdnej sieni. Základom úspechu je dôsledná revízia všetkých tokov údajov – od prvého kontaktu s klientom cez ukladanie spisov v cloude až po ich bezpečnú likvidáciu po rokoch. Ignorovanie týchto povinností alebo spoliehanie sa na tradičné vnímanie mlčanlivosti vystavuje kanceláriu zbytočným rizikám.
Správne nastavené GDPR procesy by ste nemali vnímať ako administratívnu záťaž, ale ako konkurenčnú výhodu. Klienti, najmä tí korporátni, si čoraz viac uvedomujú hodnotu svojich dát a pri výbere právneho zastúpenia sa pýtajú na úroveň ich zabezpečenia. Investícia do šifrovaných úložísk, školenia personálu a precíznej dokumentácie sa vám vráti v podobe vyššej dôvery a pokoja pri prípadnej kontrole. Pamätajte, že v očiach regulátora nie je chybou len samotný únik údajov, ale aj neschopnosť preukázať, že ste urobili všetko pre to, aby ste mu zabránili. Moderný advokát musí byť nielen odborníkom na paragrafy, ale aj zodpovedným správcom digitálneho dedičstva svojich klientov.
