Wyzwania związane z wdrażaniem narzędzi LegalTech w kancelariach prawnych z perspektywy analizy ryzyka i bezpieczeństwa danych

Dotychczasowy model pracy prawnika ulega znaczącym modyfikacjom. W kancelariach coraz powszechniej wykorzystywane są narzędzia LegalTech ułatwiające przeszukiwanie baz danych, automatyzujące analizę dokumentów, wspierające weryfikację umów czy zarządzanie ryzykiem, jak również dokonujące analizy predykcyjnej. Transformacja cyfrowa w kancelariach prawnych dodatkowo jeszcze przyspieszyła stymulowana pandemią COVID-19, co pokazują wyniki najnowszego badania Future Ready Lawyer 2021 przeprowadzonego przez Wolters Kluwer.

Zmienia się model operacyjny, w szczególności w zakresie łańcucha wartości, z modelu zintegrowanego, skupionego wokół wykonania własnymi zasobami ludzkimi, na niezintegrowany, dystrybucyjny, uwzględniający outsourcowanie części zasobów oraz automatyzację. Modyfikacji ulega struktura kosztowa, dotychczas silnie powiązana z kosztami osobowymi, a ewoluująca w stronę coraz większego udziału kosztów zastosowanej technologii. Zmieniają się też potrzeby klienta, do których musi się dostosować oferta kancelarii. Nie wystarcza już bowiem w zakresie wartości dla klienta wyłącznie świadczenie pomocy prawnej, a coraz częściej niezbędne jest zarządzanie projektem prawnym, ocena i realizacja wskaźników efektywności. Znaczenia nabiera, obok doczasowego efektu końcowego usługi prawnej, także sposób jej świadczenia, wykorzystywane narzędzia i świadczenie usług komplementarnych (Raport The Boston Consultung Group i Bucerius Law School, Hochschule für Rechtwssenschaft, How Legal Technology Will Change the Business of Law ).

“Analiza ryzyka i bezpieczeństwo danych w kancelariach prawnych” pod redakcją Dominika Lubasz w sprzedaży w księgarni Profinfo.pl

LegalTech – wykorzystanie podejścia opartego na ryzyku w procesie wdrażania

Bardzo wyraźnym tendencjom cyfryzacyjnym i wdrażania innowacyjnych rozwiązań w branży prawnej, na które zwraca się uwagę w powołanym już raporcie Future Ready Lawyer 2021, powinna towarzyszyć refleksja dotycząca ich zgodności z regulacjami dotyczącymi nie tylko samej branży, ale także tymi bardziej horyzontalnymi, w tym m.in. przepisów o ochronie danych osobowych. Wymaga to w konsekwencji w procedurze aplikacji nowych rozwiązań dokonywania m.in. analizy ryzyka związanego z ich wykorzystaniem dla praw i wolności osób, których dane będą z użyciem takich narzędzi przetwarzane. 

Warto przy tym podkreślić, że konieczność wdrożenia systemu ochrony danych osobowych w kancelariach prawnych, który nakłada takie obowiązki analityczne, generalnie nie jest zagadnieniem nowym. Zobowiązania dotyczące tego obszaru wynikały pierwotnie z regulacji ustawy o ochronie danych osobowych z 1997 roku, a obecnie z obowiązującego od 25.05.2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Niestety realizacja tego zobowiązania napotyka jednak nadal istotne problemy, zwłaszcza właśnie w obszarze analizy ryzyka, przede wszystkim co do poprawności jej przeprowadzenia. Kancelarie prawne nie wykazują w tym zakresie znaczących odmienności niż pozostali uczestnicy obrotu należący do kategorii małych i średnich przedsiębiorców. Równocześnie ulegający istotnej modyfikacji rynek usług prawnych, zarówno w obszarze organizacji procesów, jak i narzędzi, dodatkowo przyspieszonej czynnikami wywołanymi m.in. pandemią COVID-19, ujawnia nowe zagrożenia i zwiększa potencjalne ryzyko wymagające weryfikacji analitycznej i adekwatnego wdrożenia środków technicznych i organizacyjnych łagodzących to ryzyko.

Podejście oparte na ryzyku (risk-based approach), leżące u źródła wspomnianej analizy ryzyka, realizowane jest przez szacowanie ryzyka. Celem analizy jest umożliwienie administratorowi podjęcia decyzji co do doboru adekwatnych środków technicznych i organizacyjnych mających zapewnić zgodność z ogólnym rozporządzeniem o ochronie danych. Procedura ma uwzględniać naturę, zakres, kontekst i cel konkretnego przetwarzania danych, które oddziałują na ewentualne powstanie ryzyka dla praw i wolności podmiotów danych. Co w istocie sprowadza się do odpowiedzi na pytania o to w jakich procesach, do jakiego celu i w jaki sposób wdrożyć narzędzia LegalTech w pracy prawnika.

W związku z tym, że prawodawca unijny nie narzuca w przepisach RODO metod analizy ryzyka, ich wybór należy do administratora i zależny jest m.in. od jego możliwości organizacyjnych i finansowych, kontekstu przetwarzania danych, ekspozycji organizacji na ryzyko oraz związku głównego przedmiotu działalności z przetwarzaniem danych osobowych, a wreszcie osobistych preferencji.

Warto w związku z tym sięgnąć do przewidzianych w rozporządzeniu rozwiązań uszczegóławiających podejście oparte na ryzyku, w szczególności instrumentów prawnych zawartych w art. 25, 32 i 35 RODO. Istotne jest jednak przede wszystkim kontekstowe ujęcie analizy, począwszy od określenia i zbadania celu wdrażania, założeń i stosowanych rozwiązań, a skończywszy na oddziaływaniu tych elementów w sferze praw i wolności na podmioty danych, by na tej podstawie móc podjąć decyzje wdrożeniowe. Planowanie można oprzeć na cyklu Deminga ujmującym działania implementacyjne w logiczny porządek następujących po sobie czynności P-D-S-A (Plan-Do-Study-Act). Koncepcja ta zakłada pogłębioną refleksję nad kluczowymi elementami projektu, w tym fazy testowe i weryfikacyjne przed wdrożeniem, a następnie ciągłe ulepszanie implementowanego rozwiązania. To podejście będzie też wyrazem realizacji wymogu z art. 25 RODO tj. uwzględniania ochrony danych osobowych w fazie projektowania (data protection by design).

Podsumowanie

Niewątpliwe korzyści płynące z wdrażania w kancelariach rozwiązać LegalTech, w szczególności w celu zwiększenia efektywności świadczenia pomocy prawej, automatyzacji czynności czy predykcji, nie mogą przesłaniać ryzyka, zwłaszcza w obszarze praw jednostki, a z perspektywy kancelarii przede wszystkim praw klienta. Prawidłowa ocena tego ryzyka i na jego podstawie podejmowanie decyzji wdrożeniowych jest wymogiem regulacyjnym, ale i gwarantem bezpieczeństwa.

Więcej informacji w książce: “Analiza ryzyka i bezpieczeństwo danych w kancelariach prawnych”

---