Wyzwania związane z wdrażaniem narzędzi LegalTech w kancelariach prawnych z perspektywy analizy ryzyka i bezpieczeństwa danych
Dotychczasowy model pracy prawnika ulega znaczącym modyfikacjom. W kancelariach coraz powszechniej wykorzystywane są narzędzia LegalTech ułatwiające przeszukiwanie baz danych, automatyzujące analizę dokumentów, wspierające weryfikację umów czy zarządzanie ryzykiem, jak również dokonujące analizy predykcyjnej. Transformacja cyfrowa w kancelariach prawnych dodatkowo jeszcze przyspieszyła stymulowana pandemią COVID-19, co pokazują wyniki najnowszego badania Future Ready Lawyer 2021 przeprowadzonego przez Wolters Kluwer.
Zmienia się model operacyjny, w szczególności w zakresie łańcucha wartości, z modelu zintegrowanego, skupionego wokół wykonania własnymi zasobami ludzkimi, na niezintegrowany, dystrybucyjny, uwzględniający outsourcowanie części zasobów oraz automatyzację. Modyfikacji ulega struktura kosztowa, dotychczas silnie powiązana z kosztami osobowymi, a ewoluująca w stronę coraz większego udziału kosztów zastosowanej technologii. Zmieniają się też potrzeby klienta, do których musi się dostosować oferta kancelarii. Nie wystarcza już bowiem w zakresie wartości dla klienta wyłącznie świadczenie pomocy prawnej, a coraz częściej niezbędne jest zarządzanie projektem prawnym, ocena i realizacja wskaźników efektywności. Znaczenia nabiera, obok doczasowego efektu końcowego usługi prawnej, także sposób jej świadczenia, wykorzystywane narzędzia i świadczenie usług komplementarnych (Raport The Boston Consultung Group i Bucerius Law School, Hochschule für Rechtwssenschaft, How Legal Technology Will Change the Business of Law ).
LegalTech – wykorzystanie podejścia opartego na ryzyku w procesie wdrażania
Bardzo wyraźnym tendencjom cyfryzacyjnym i wdrażania innowacyjnych rozwiązań w branży prawnej, na które zwraca się uwagę w powołanym już raporcie Future Ready Lawyer 2021, powinna towarzyszyć refleksja dotycząca ich zgodności z regulacjami dotyczącymi nie tylko samej branży, ale także tymi bardziej horyzontalnymi, w tym m.in. przepisów o ochronie danych osobowych. Wymaga to w konsekwencji w procedurze aplikacji nowych rozwiązań dokonywania m.in. analizy ryzyka związanego z ich wykorzystaniem dla praw i wolności osób, których dane będą z użyciem takich narzędzi przetwarzane.
Warto przy tym podkreślić, że konieczność wdrożenia systemu ochrony danych osobowych w kancelariach prawnych, który nakłada takie obowiązki analityczne, generalnie nie jest zagadnieniem nowym. Zobowiązania dotyczące tego obszaru wynikały pierwotnie z regulacji ustawy o ochronie danych osobowych z 1997 roku, a obecnie z obowiązującego od 25.05.2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Niestety realizacja tego zobowiązania napotyka jednak nadal istotne problemy, zwłaszcza właśnie w obszarze analizy ryzyka, przede wszystkim co do poprawności jej przeprowadzenia. Kancelarie prawne nie wykazują w tym zakresie znaczących odmienności niż pozostali uczestnicy obrotu należący do kategorii małych i średnich przedsiębiorców. Równocześnie ulegający istotnej modyfikacji rynek usług prawnych, zarówno w obszarze organizacji procesów, jak i narzędzi, dodatkowo przyspieszonej czynnikami wywołanymi m.in. pandemią COVID-19, ujawnia nowe zagrożenia i zwiększa potencjalne ryzyko wymagające weryfikacji analitycznej i adekwatnego wdrożenia środków technicznych i organizacyjnych łagodzących to ryzyko.
Podejście oparte na ryzyku (risk-based approach), leżące u źródła wspomnianej analizy ryzyka, realizowane jest przez szacowanie ryzyka. Celem analizy jest umożliwienie administratorowi podjęcia decyzji co do doboru adekwatnych środków technicznych i organizacyjnych mających zapewnić zgodność z ogólnym rozporządzeniem o ochronie danych. Procedura ma uwzględniać naturę, zakres, kontekst i cel konkretnego przetwarzania danych, które oddziałują na ewentualne powstanie ryzyka dla praw i wolności podmiotów danych. Co w istocie sprowadza się do odpowiedzi na pytania o to w jakich procesach, do jakiego celu i w jaki sposób wdrożyć narzędzia LegalTech w pracy prawnika.
W związku z tym, że prawodawca unijny nie narzuca w przepisach RODO metod analizy ryzyka, ich wybór należy do administratora i zależny jest m.in. od jego możliwości organizacyjnych i finansowych, kontekstu przetwarzania danych, ekspozycji organizacji na ryzyko oraz związku głównego przedmiotu działalności z przetwarzaniem danych osobowych, a wreszcie osobistych preferencji.
Warto w związku z tym sięgnąć do przewidzianych w rozporządzeniu rozwiązań uszczegóławiających podejście oparte na ryzyku, w szczególności instrumentów prawnych zawartych w art. 25, 32 i 35 RODO. Istotne jest jednak przede wszystkim kontekstowe ujęcie analizy, począwszy od określenia i zbadania celu wdrażania, założeń i stosowanych rozwiązań, a skończywszy na oddziaływaniu tych elementów w sferze praw i wolności na podmioty danych, by na tej podstawie móc podjąć decyzje wdrożeniowe. Planowanie można oprzeć na cyklu Deminga ujmującym działania implementacyjne w logiczny porządek następujących po sobie czynności P-D-S-A (Plan-Do-Study-Act). Koncepcja ta zakłada pogłębioną refleksję nad kluczowymi elementami projektu, w tym fazy testowe i weryfikacyjne przed wdrożeniem, a następnie ciągłe ulepszanie implementowanego rozwiązania. To podejście będzie też wyrazem realizacji wymogu z art. 25 RODO tj. uwzględniania ochrony danych osobowych w fazie projektowania (data protection by design).
Podsumowanie
Niewątpliwe korzyści płynące z wdrażania w kancelariach rozwiązać LegalTech, w szczególności w celu zwiększenia efektywności świadczenia pomocy prawej, automatyzacji czynności czy predykcji, nie mogą przesłaniać ryzyka, zwłaszcza w obszarze praw jednostki, a z perspektywy kancelarii przede wszystkim praw klienta. Prawidłowa ocena tego ryzyka i na jego podstawie podejmowanie decyzji wdrożeniowych jest wymogiem regulacyjnym, ale i gwarantem bezpieczeństwa.
Więcej informacji w książce: “Analiza ryzyka i bezpieczeństwo danych w kancelariach prawnych”
Dr Dominik Lubasz jest radcą prawnym, wspólnikiem zarządzającym w Lubasz i Wspólnicy – Kancelaria Radców Prawnych. Członek Rady Naukowej Centrum Ochrony Danych Osobowych Uniwersytetu Łódzkiego, SABI – Stowarzyszenia IOD, Compliance Institute oraz członek komisji rewizyjnej Stowarzyszenia Prawa Nowoczesnych Technologii, a także ekspert Izby Gospodarki Elektronicznej i Ministerstwa Cyfryzacji ds. wdrożenia RODO w Polsce, ekspert w Grupie Roboczej ds. Sztucznej Inteligencji przy Ministrze Cyfryzacji (KPRM) oraz członek grupy roboczej do spraw sztucznej inteligencji European Association of Data Protection Professionals. Współtwórca narzędzia do analizy ryzyka na podstawie RODO – GDPR Risk Tracker; ORCID: 0000-0001-9716-5802.