Въведение

През последните години се появиха въпроси относно практическите последици от неприкосновеността на личните данни и киберсигурността за реалното провеждане на международни арбитражи - особено когато се вземе предвид постоянният темп на технологичните промени.

Общ регламент за защита на данните (ОРЗД)[i] отпразнува втория си рожден ден през май 2020 г. Рамката на GDPR за защита на личните данни има за цел да гарантира свободното движение на лични данни на "идентифицирано или подлежащо на идентификация физическо лице".[ii] Той се прилага в рамките на Европейския съюз и има екстериториален обхват, който може да се разпростре и извън ЕС;[iii] ОРЗД може да засегне не само всички физически или юридически лица, но също така задължава публични органи, агенции и други структури - евентуално включително международни организации - да защитават личните данни.[iv] Санкциите по ОРЗД могат да възлизат на 4% от световния годишен оборот на нарушителя за предходната финансова година или на 20 милиона евро, в зависимост от това коя от двете суми е по-висока.[v] Необходимостта да се подходи сериозно към прилагането му вече е установена чрез многомилионните глоби, наложени в различни юрисдикции.[vi]

Въпреки че прилагането на законите за защита на личните данни към арбитража е установено, начинът, по който законите следва да се прилагат, не е установен. Поради тази причина Международният съвет за търговски арбитраж (ICCA) и Международната асоциация на юристите (IBA) създадоха през февруари 2019 г. съвместна работна група за защита на данните в международните арбитражни производства с цел изготвяне на ръководство, което да предоставя практически насоки за защита на личните данни в международния арбитраж. През март 2020 г. работната група публикува проект за консултация на това ръководство.[vii] Настоящият коментар се основава на този проект на пътна карта (Пътната карта),[viii] като окончателният, преработен вариант на пътната карта се очаква да бъде публикуван през септември 2021 г. Въпреки че към момента на изготвяне на настоящия документ крайният срок за коментари по проекта за консултация е изтекъл, предварителният вариант на Пътната карта все пак е показателен за въпросите, повдигнати от GDPR в международните арбитражи. Поради това тя ще бъде използвана като основа за обсъждане.

Повечето закони за защита на личните данни са задължителни при арбитражни производства, което означава, че те предписват:

• какви лични данни могат да бъдат обработвани;
• където;
• с какви средства;
• с какви мерки за информационна сигурност; и
• за колко време.[ix]

Те обаче не разглеждат въпроса как тези обвързващи задължения следва да се спазват в арбитражното производство. При липсата на конкретни насоки от страна на регулаторните органи, пътната карта има за цел да помогне на специалистите в областта на арбитража да определят и разберат задълженията за защита на личните данни и неприкосновеността на личния живот, които могат да им бъдат наложени в контекста на международен арбитраж. Освен това обхватът на защитата по GDPR остава от значение в международните арбитражни производства, най-вече дали законите на GDPR се прилагат за арбитражи със седалище извън ЕС. Има различни допълнителни последици, ако се установи, че GDPR се прилага към арбитраж: първо, дали обработването на лични данни е забранено и второ, дали има ограничения за предаването на лични данни извън ЕС. И накрая, поради нарастващата честота на кибератаките, последиците от такава атака срещу арбитраж могат да доведат до значителни щети.

Настоящата статия има за цел да представи коментар на Пътната карта и да разгледа практическите мерки, които следва да се вземат предвид по отношение на задълженията за защита на личните данни в международни арбитражни производства. В нея Пътната карта се определя като обещаващ, макар и непълен, инструмент, който допълва различните опити за хармонизиране на международния арбитраж, направени досега с мекото право, най-вече инструментите на IBA и Комисията на ООН по международно търговско право (UNCITRAL).

Първо, ще бъде представено кратко резюме на пътната карта, което включва позоваване на принципите на ОРЗД. Това няма за цел да бъде изчерпателен преглед, а по-скоро ще представи основните точки на Пътната карта, за да даде на читателя контекст за последващото обсъждане. Второ, ще бъде представен коментар, който засяга шест релевантни въпроса:

• приложимостта на ОРЗД към арбитражи, провеждани извън ЕС;
• ОРЗД в контекста на арбитражите по Северноамериканското споразумение за свободна търговия (NAFTA), както е показано в Tennant Energy, LLC срещу правителството на Канада;[x]
• въпросът за видеоконференциите, чието значение значително нарасна по време на пандемията от Covid-19, включително препратки към "Протокола на ICCA-NYC Bar-CPR за киберсигурност в международния арбитраж" (Протокол за киберсигурност)[xi] Насоките за киберсигурност на IBA[xii] и Ръководната бележка на МНС относно възможните мерки за смекчаване на последиците от пандемията COVID-19;[xiii]
• "финансиращи трети страни" и как те са взети предвид в пътната карта;
• злоупотреба с GDPR, особено като щит за неразкриване на информация; и
• възможността за използване на неспазването на изискванията за защита на личните данни като средство за отмяна или отказ за признаване и изпълнение на арбитражното решение.

В заключението ще бъдат представени заключителни мисли.

Пътната карта

Физическите и юридическите лица са задължени да защитават личните данни на субектите на данни. Самият арбитраж не подлежи на задължения за защита на личните данни. Ако обаче само един от участниците в арбитража подлежи на задължения за защита на личните данни, това може да засегне арбитража като цяло. От това дали обработването на лични данни попада в съответните закони, материален и юрисдикционен обхват зависи дали се прилагат законите за защита на личните данни.[xiv]

Съвременните закони за защита на личните данни се прилагат винаги, когато се обработват лични данни на субект на данни по време на дейности, попадащи в юрисдикционния обхват на съответните закони за защита на личните данни.[xv] Личните данни включват "всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице".[xvi] По време на типичните арбитражни производства се обменят значителни количества информация, свързана, наред с другото, със страните, техните адвокати, съда и трети страни. В този смисъл е вероятно те да се разглеждат като отговарящи на определението за "лични данни". "Субекти на данни" се отнася до гореспоменатите лица, които са идентифицирани или могат да бъдат идентифицирани.[xvii] Обработката включва активни и пасивни операции, като по този начин обхваща използването, разпространението и изтриването на лични данни, както и получаването, организирането и съхраняването на лични данни.[xviii] Обхватът на прилагане включва действия, когато личните данни се обработват в контекста на дейностите на място на стопанска дейност на администратор или обработващ лични данни в ЕС.[xix] и екстратериториално, например когато личните данни се предават извън ЕС на образувания или физически лица, които по други причини вече не са обект на GDPR.[xx]

Арбитрите ще бъдат квалифицирани като администратори на данни, което означава, че те ще отговарят за спазването на законите за защита на личните данни. Въпреки това, въз основа на определението за "администратор на данни";[xxi] повечето арбитражни участници[xxii] могат да бъдат разглеждани като такива, включително адвокатите, страните и институцията. Администраторите на данни могат да делегират обработката на данни на обработващи данни,[xxiii] които ще бъдат под техен контрол и ще изискват споразумения за обработване на данни при условията, предвидени в приложимото законодателство. По този начин секретарките, преписвачите, преводачите и други вероятно ще бъдат считани за обработващи данни. Съществува и допълнителен въпрос за съвместните администратори, които съвместно определят целите и средствата за обработване на данни. Съвместният контрол се тълкува широко, но отговорността на съвместния администратор е ограничена само до обработването, което администраторът е определил, неговите цели и средства, а не до цялостното обработване.[xxiv]

При международни арбитражи ограниченията за предаване на лични данни между юрисдикции са очевиден начин, по който се прилагат законите за защита на личните данни. Предисторията на различните участници в арбитража ще определи прилагането на различни режими за защита на личните данни. Съвременните закони за защита на личните данни ограничават предаването на лични данни към трети държави, за да се гарантира, че правните задължения не се заобикалят чрез предаване на лични данни към юрисдикции с по-ниски стандарти за защита на личните данни.[xxv] ОРЗД разрешава предаването на лични данни от трети държави, ако е налице едно от следните обстоятелства:

• Комисията на ЕС е преценила, че страната осигурява адекватна защита на личните данни;
• е въведена една от изрично изброените предпазни мерки;
• дерогация, която позволява предаването на данни, когато това е необходимо за установяването, упражняването или защитата на правни претенции; или
• непреодолим законен интерес на дадена страна.[xxvi]

Тези правила се прилагат за участниците в арбитража, а не за арбитража като цяло, като по този начин задължават всеки участник в арбитража да прецени какви ограничения за предаване на лични данни се прилагат за него.

Принципите за защита на личните данни, приложими при арбитраж, включват добросъвестно и законосъобразно обработване, пропорционалност, свеждане на данните до минимум, ограничаване на целите, права на субектите на данни, точност, сигурност на данните, прозрачност и отчетност.[xxvii]

Няколко от тези принципи изискват допълнителен коментар. Добросъвестното и законосъобразно обработване означава, че личните данни следва да се обработват само по начин, който субектите на данни разумно биха очаквали, и че трябва да има правно основание за обработването. Прилагайки принципа на добросъвестност, страната и нейният адвокат трябва да се запитат дали в контекста на всички факти физическите лица биха очаквали личните им данни да бъдат обработвани по такъв начин, дали това ще има неблагоприятни последици за тях и дали тези последици са оправдани. Този принцип няма да попречи личните данни, намерени в служебни имейли, да бъдат приети като доказателство.

Понятието "законосъобразно обработване" включва правно основание, което се определя от фактите и е специфично за всеки отделен случай. Вместо да се разчита на съгласието, следва да се използват конкретните правни основания в GDPR.[xxviii]

Пропорционалността изисква да се разгледат естеството, обхватът, контекстът и целите на обработването във връзка с рисковете за субекта на данните.[xxix] Свеждането на данните до минимум изисква от участниците в арбитража да ограничат обработката до лични данни, които са адекватни, релевантни и ограничени до необходимото.[xxx] Прозрачността изисква субектите на данни да бъдат уведомявани за обработката и целта на обработката на личните данни чрез общи известия, специални известия или и двете.[xxxi] Отчетността се отнася до личната отговорност за спазването на защитата на данните, което означава, че участниците в арбитража трябва да документират всички мерки за защита на личните данни и взетите решения, за да докажат спазването им.[xxxii]

Спазването на изискванията за защита на личните данни засяга отделните етапи на международното арбитражно производство, не само по време на самия арбитраж, но и по време на подготовката. От самото начало участниците в арбитража трябва да преценят кои закони за защита на личните данни се прилагат за тях и за другите участници в арбитража и кои участници в арбитража ще обработват лични данни като администратори, обработващи или съвместни администратори. Следва да се разгледат и правилата за предаване на лични данни на трети държави и споразуменията за обработване на лични данни по отношение на трети страни - доставчици на услуги. По време на процеса на събиране и разглеждане на документите страните и техните правни консултанти се нуждаят от законно основание за дейностите по обработване и предаване на лични данни на трети държави.[xxxiii]

Искането за арбитраж, както и последващите подадени документи, ще включват лични данни, които попадат в сферата на обработването. Ако арбитражната институция е обвързана с приложимите закони за защита на личните данни, тя трябва да вземе предвид потенциалните задължения за защита на личните данни, които се прилагат по време на всеки процедурен етап. Ако арбитражната институция подлежи на GDPR, тя обикновено се превръща в администратор на лични данни. За да се съобрази с членове 13 и 14 от ОРЗД, такава институция следва да включи в своето уведомление за поверителност информация относно мерките за сигурност, упражняването на правата на субектите на данни, поддържането на записи и политиките за нарушаване и запазване на данните.[xxxiv] Международните организации, които администрират арбитражи между инвеститори и държава, обаче могат да бъдат изключени от обхвата на законите за защита на личните данни поради привилегии и имунитети в учредителната държава или в споразумение с приемащата държава. Следователно тук трябва да се направят отделни преценки, включително, inter alia, дали организацията е обвързана от законите за защита на личните данни и дали - и до каква степен - участниците в арбитража ще бъдат обхванати от привилегии и имунитети.[xxxv]

По време на назначаването на арбитри в даден арбитражен съд обикновено се обменят значителни количества лични данни на потенциалните арбитри. Участниците в арбитражния процес следва да включат правното основание за обработването на тези лични данни в своите правни известия и изрично да уведомят арбитрите, които се разглеждат за назначаване, за обработването на техните лични данни, особено в случай на предаване на лични данни от трети държави.[xxxvi]

След като арбитражът започне, отговорностите за спазване на изискванията за защита на личните данни трябва да бъдат разпределени на ранен етап, за да се сведат до минимум рисковете. Защитата на личните данни следва да бъде включена в дневния ред на първата процедурна конференция, а участниците в арбитража следва да се опитат да се споразумеят как да се справят със спазването на защитата на личните данни възможно най-рано. Страните, техните адвокати и арбитрите следва да обмислят сключването на протокол за защита на личните данни, за да управляват ефективно въпросите, свързани със съответствието. Когато това не е възможно, алтернативен вариант е арбитражният съд да ги включи в Процедурен ред номер едно.[xxxvii]

В процеса на изготвяне и оповестяване на документи принципът за свеждане до минимум на личните данни е особено важен. Съгласно ОРЗД това вероятно ще изисква:

• ограничаване на разкриваните лични данни до тези, които са уместни и не се дублират;
• идентифициране на личните данни, съдържащи се в материала за отговор; и
• редактиране или псевдонимизиране на ненужни лични данни.

Тези въпроси също трябва да бъдат разгледани в началото на производството, за предпочитане по време на първата процедурна конференция или преди нея.[xxxviii]

Когато става въпрос за произнасяне на решения, арбитрите и институциите следва да обмислят основанието и необходимостта от включване на лични данни в решенията. Ако арбитражът е поверителен, все пак съществува риск решението да стане публично, когато бъде изпълнено. Дори ако личните данни са редактирани, те обикновено остават лични данни, тъй като субектът на данните може да бъде идентифициран от останалата част на решението или свързаните с него материали.[xxxix]

Съхраняването и изтриването на данни се считат за обработване съгласно ОРЗД, който предвижда, че личните данни се "съхраняват във форма, която позволява идентифицирането на субектите на данни, за срок не по-дълъг от необходимия за целите, за които се обработват личните данни".[xl] Администраторите трябва да обмислят, документират и да могат да обосноват продължителността на съхранението. Участниците в арбитража трябва да обмислят какъв период на съхранение на данните е разумен и да възприемат пропорционален подход, за да балансират своите нужди с въздействието на съхранението на данните върху субекта.[xli]

Приложимост на ОРЗД към арбитражи, провеждани извън ЕС

Териториалният обхват на Общия регламент относно защитата на данните е сравнително широк. Практикуващите трябва да са наясно с неговото прилагане, независимо дали се намират или арбитражът е със седалище в ЕС. ОРЗД се прилага за обработването на лични данни от администратори или обработващи лични данни, установени в ЕС, независимо дали самото обработване се извършва в ЕС (член 3, параграф 1). Освен това, когато става въпрос за предлагане на стоки или услуги на граждани на ЕС или за наблюдение на поведение, което се извършва в рамките на ЕС, GDPR се прилага за обработването на лични данни от администратор или обработващ лични данни, който не е установен в ЕС (член 3, параграф 2).

Приложен в арбитражния контекст, GDPR налага задължения на администраторите и обработващите лични данни - арбитри, адвокати, страни и институции - които попадат в неговия материален и териториален обхват, а не директно на арбитражното производство. Дори ако само един от участниците в арбитражния процес има връзка с ЕС, той ще бъде задължен да обработва лични данни в съответствие с GDPR. Възможно е да възникнат последици за производството като цяло.[xlii]

Може би най-забележителни в контекста на международния арбитраж, където предаването на арбитражни материали, съдържащи лични данни, е често срещано явление, са ограниченията, наложени върху предаването на лични данни на "трети държави" извън Европейското икономическо пространство (ЕИП). В такъв случай се изисква едно от четирите законни основания, за да бъде разрешено предаването на лични данни. Първо, предаването на данни на трета държава е разрешено, ако третата държава е предмет на решение за адекватност (член 45, параграф 1).[xliii] Ако случаят не е такъв, следва да се въведе една от подходящите гаранции (член 46, параграф 1), когато това е възможно.[xliv] Ако няма решение за адекватност и не е възможно да се въведе подходяща предпазна мярка, може да се разчита на специална дерогация (член 49, параграф 1).[xlv] И накрая, при липса на гореспоменатото, дадена страна може да се позове на убедителен законен интерес (член 49, параграф 1).[xlvi] като законно основание за предаване на лични данни на трета страна.

Пътната карта доста изчерпателно излага необходимите съображения, които участниците в арбитража трябва да направят. В нея многократно се подчертава, че принципите за защита на личните данни и правилата за предаване на данни се прилагат за участниците в арбитража, а не за самия арбитраж.[xlvii] В съответствие с това презумптивното заключение е, че базираният в ЕС арбитър на арбитраж извън ЕС, който иначе не подлежи на GDPR, все пак ще трябва да спазва изискванията за обработване и предаване на лични данни на GDPR. Това действително е общоприето в търговските арбитражни производства,[xlviii] но ситуацията не е толкова ясна, когато става въпрос за арбитраж между инвеститор и държава.

Делото Tennant Energy, LLC срещу правителството на Канада

През 2019 г. в арбитражното дело по глава 11 от НАФТА Tennant Energy, LLC срещу правителството на Канада (Tennant),[xlix] Ищецът Tennant повдига въпроса за прилагането на ОРЗД към производството с оглед на гражданството и местожителството в Обединеното кралство на един от членовете на съда. Въпреки това трибуналът издаде указания до страните, в които се посочва, че "арбитраж по глава 11 от NAFTA, договор, по който нито Европейският съюз, нито неговите държави членки са страна, по презумпция не попада в материалния обхват на GDPR".[l]

Важно е да се прави разграничение между арбитраж, основан на договор, и търговски арбитраж, като Tennant попада в първата категория. В пътната карта се прави това разграничение, като се отбелязва, че международните организации могат да бъдат изключени от обхвата на законите за защита на личните данни.[li] Членовете на трибунала в арбитража Tennant могат да бъдат обект на определени имунитети, произтичащи от Споразумението за седалището на Постоянния арбитражен съд (PCA) с Нидерландия. Въпреки това трибуналът на NAFTA не е разгледал въпроса дали като международна организация СПС ще бъде обект на правилата за прехвърляне на данни по ОРЗД или дали членовете на трибунала ще получат определени имунитети от споразумението.

Сайтът Tennant насока повдига повече въпроси, отколкото дава отговори относно приложимостта на GDPR към производствата по NAFTA и към арбитражите, основани на договор, като цяло, чието обсъждане е извън обхвата на настоящото изложение. Независимо от това, указанието Tennant, разглеждано в светлината на Пътната карта, показва, че тази тема продължава да бъде много несигурна. В най-добрия случай е съмнително дали пътната карта внася някаква яснота за участниците в арбитражни производства, изправени пред такъв въпрос, като се има предвид най-вече, че пътната карта е издадена след Tennant е дадено указание, но не е дадено никакво разрешение на последния.

Въпросът за видеоконференциите

В пътната карта се признава значението на сигурността на личните данни. Въпреки това, с неотдавнашното използване на допълнителни технологии за улесняване на виртуалните изслушвания, както и на работата от дома - най-вече подхранвана от настоящите обстоятелства, наложени ни от пандемията Covid-19 - този въпрос придобива допълнителна тежест. Протокол за киберсигурност[lii] и Насоките за киберсигурност на IBA[liii] хвърлиха известна светлина върху въпроса.

Подобно на Пътната карта, Протоколът за киберсигурност установява няколко основни принципа. Прилага се принципът на пропорционалност, Съдът на публичната служба има правомощията и свободата на преценка за определяне на въведените мерки за сигурност, а информационната сигурност е въпрос, който следва да бъде обсъден на първата конференция за управление на делото. Приложение А към Протокола за киберсигурност съдържа контролен списък, който страните в арбитража могат да използват за защита на производството.

След неотдавнашната промяна в моделите на работа и работната среда, предизвикана от пандемията Covid-19, на тези въпроси следва да се отдаде по-голямо значение. В свят, който е притиснат да намери нови начини за водене на бизнес и да се адаптира към времената на несигурност, един от проблемите, с които се сблъсква правният сектор, е въпросът за изслушванията, съчетан с ограниченията и необходимостта от социално дистанциране. По този начин популярността на видеоконференциите и използването им в международните арбитражни производства е нещо, което Пътната карта би трябвало да разгледа, но не го е направила - или поне все още не го е направила.

Въпреки че мнозина са обсъждали и посочвали проблемите на видеослушанията, повечето от тях не са обърнали внимание на това как законите за защита на личните данни следва да се прилагат към тях, не само по отношение на защитата на личните данни, но и на сигурността, тъй като някои платформи са били обект на атаки срещу сигурността.[liv]

Както беше посочено по-горе, от съществено значение е да се разберат различните роли на страните, участващи в арбитраж във връзка с GDPR, а именно кои са "администраторите на данни" и "обработващите данни". Ако софтуерът за видеоконферентна връзка обработва някакви лични данни, като например потребителско име и имейл адрес от използването на услугата от страна, той ще се счита за "обработващ данни". Това означава, че те трябва да спазват правилата на GDPR, ако някой от участниците е със седалище в ЕС. Тъй като Съдът на публичната служба е "администратор на данни", тогава той ще носи отговорност за осигуряване на такова съответствие.

Международната търговска камара (МТК) издаде ръководство[lv] който предоставя на страните предложени клаузи за протоколи за киберсигурност и виртуални изслушвания. Тя има за цел да разгледа аспекта на сигурността, но не разглежда аспекта на защитата на личните данни. В пътната карта следва да се обсъдят възможностите за прилагане на защитата на личните данни при виртуални изслушвания, както и начините за спазването им. Въпреки че в ОРЗД се посочват изискванията, които трябва да бъдат изпълнени по отношение на видеоконференциите, той не дава насоки за начина, по който неговите изисквания са пряко приложими.

Въпреки че Пътната карта не съдържа препоръки за конкретни доставчици на софтуер, тя би могла да състави и предостави на практикуващите списък с необходимите спецификации на идеалния софтуер за видео изслушвания, точно както в приложенията към нея се предоставят контролни списъци по различни други въпроси.

Как се вписват трети страни-финансисти?

Под трета страна-финансист се разбира всяко лице, което не е страна в арбитражното производство и което сключва споразумение за финансиране на всички или част от разходите по производството в замяна на сума, която изцяло или частично зависи от изхода на делото.[lvi] Финансиращите трети страни имат достъп до различни лични данни в арбитражните производства, които финансират или обмислят да финансират. Въпреки че пътната карта е изрично адресирана само до участниците в арбитражни производства, в нея се посочва, че насоките са от значение за доставчиците на услуги, които също са засегнати от изискванията за защита на личните данни.[lvii]

В пътната карта доставчиците на услуги включват "експерти по електронно откриване, специалисти по информационни технологии, съдебни репортери, преводачески услуги и др.[lviii] но финансиращите трети страни не са изрично споменати. Съгласно ОРЗД събирането и съхранението на лични данни се включва в обработката. Следователно, ако третите страни-финансисти събират лични данни от други лица, законите за личните данни ще се прилагат и за тях.[lix]

ОРЗД позволява на дадена страна да обработва лични данни, ако "обработването е необходимо за целите на законните интереси на администратора или на трета страна".[lx] които могат да бъдат цитирани от участниците в арбитража като приложимо правно основание за обработване на съответните лични данни. Съществуват ограничени насоки по този въпрос.[lxi] В пътната карта се посочва:

"Първата стъпка в оценката на легитимния интерес е да идентифицирате легитимния интерес - каква е целта за обработване на личните данни и защо тя е важна за вас като администратор? В контекста на арбитража легитимният интерес може да включва правораздаването, гарантирането на спазването на правата на страните и бързото и справедливо решаване на исковете съгласно приложимите арбитражни правила, както и много други интереси.[lxii]

Включването на "много други интереси" би могло да включва законния паричен интерес на трети страни-финансисти. Ако това е така, тогава те очевидно ще бъдат задължени да сключат споразумения за обработване на данни със страните по арбитражното производство и ще бъдат включени в обхвата на разпоредбите и изискванията за защита на личните данни. Интересно е, че в пътната карта не се посочва изрично как се вписват в картината третите страни-финансисти, особено като се има предвид нарастващото им включване в арбитражни производства.

Щит за неразкриване на информация

Задълженията за защита на личните данни водят до възможност за злоупотреба. Арбитражните страни могат недобросъвестно да използват GDPR като щит, за да предотвратят разкриването на информация, която е от значение за производството или е поискана от насрещната страна. Например страна може да възрази срещу искане за разкриване на информация, като твърди, че документите съдържат лични данни, които не са свързани със спора, или че редактирането на личната информация би било неоправдано обременително.[lxiii]

В пътната карта се разглежда възможността за злоупотреба. В нея се предлага възможно най-рано да се повдигнат и изяснят задълженията за защита на личните данни, за да се намали рискът те да повлияят на производствата. Участниците следва да обмислят сключването на "протокол за защита на данните" - споразумение за това как ще се прилага защитата на личните данни в конкретен контекст. Алтернативно, когато не е възможно да се постигне подписване на протокол за защита на данните, тези въпроси следва да бъдат разгледани в Процедурен ред номер едно.[lxiv]

За сравнение може да се разгледа спазването на GDPR по време на откриването на дела в САЩ. Федералните съдилища на САЩ прилагат балансиращи тестове, за да решат дали да разпоредят разкриване или спазване на призовки или заповеди за разкриване, които потенциално нарушават чуждестранни закони, включително закони за защита на личните данни.[lxv] Неизчерпателен списък на факторите, разглеждани от федералните съдилища на САЩ, е:

• значението на исканите документи или друга информация за съдебния спор;
• степента на конкретност на искането;
• дали информацията е с произход от САЩ;
• наличието на алтернативни средства за осигуряване на информацията; и
• степента, до която неспазването на изискванията би накърнило важни интереси на САЩ.[lxvi]

Най-често федералните съдилища изискват оповестяване въпреки потенциалните нарушения на чуждестранните закони за защита на личните данни.[lxvii]

Арбитрите се сблъскват с различни съображения от съдилищата, когато решават дали да разпоредят оповестяване от страна. Това е правилно, както се твърди в литературата,[lxviii] че трибуналите трябва да се съобразяват с конкуриращите се права и задължения в светлината на заплахата от отмяна или отказ за изпълнение съгласно Конвенцията от 1958 г. за признаване и изпълнение на чуждестранни арбитражни решения (Нюйоркската конвенция). Това становище обаче не отчита факта, че заповедите за разкриване на информация подлежат на минимален контрол от страна на щатските съдилища, предвид принципа за ненамеса на съда.[lxix] Примерите за това как щатските съдилища се въздържат от преразглеждане на заповеди за разкриване на информация са многобройни.[lxx]

С оглед на свободата на преценка, предоставена на трибуналите по процедурни въпроси, заплахата от отмяна или отказ за изпълнение едва ли ще бъде основен фактор. Неизбежността на опитите на страните да злоупотребяват със задълженията по GDPR, за да получат потенциално процедурно предимство, ще постави трибуналите в трудното положение да балансират интересите на субекта на данни, от една страна, и да поддържат стабилен процес на доказване, от друга.[lxxi] Изясняването на задълженията за спазване на изискванията за защита на личните данни в началото на производството - за предпочитане в подписан протокол за защита на данните - в съответствие с препоръките на пътната карта изглежда е необходима стъпка за проверка на това поведение.

Неспазването на изискванията за защита на личните данни като основание за отмяна и отказ за признаване и изпълнение

В пътната карта не се разглежда въпросът дали неспазването на изискванията за защита на личните данни може да се използва за отмяна на арбитражно решение или за отказ за неговото признаване и изпълнение. Страните разполагат с много ограничени средства за обжалване на арбитражните решения. Въпреки това неуспешна страна може да пожелае да оспори резултата от него и да използва едно от основните общи основания за оспорване на арбитражното решение или за предотвратяване на неговото признаване или изпълнение.

Понастоящем Нюйоркската конвенция има 168 договарящи се държави, което я прави основното правно основание за признаване и изпълнение на чуждестранни решения в международен търговски арбитраж. В член V от Конвенцията са предвидени ограничени основания, на които може да бъде отказано признаването и изпълнението на арбитражно решение. За целите на настоящото решение най-съществено е, че в член V, параграф 2, буква б) се признава възможността компетентният орган на подписалата държава да откаже признаването или изпълнението на арбитражно решение, което нарушава обществения ред.[lxxii]

Основанията, на които може да бъде отменено арбитражно решение, са различни в различните юрисдикции. Широко приетият Закон-модел на UNCITRAL за международния търговски арбитраж съдържа списък с основания за отмяна в член 34, параграф 2. Този списък е изготвен по примера на член V от Нюйоркската конвенция.[lxxiii] В член 34(2)(б)(ii) се посочва, че арбитражното решение може да бъде отменено от съда, ако решението е в противоречие с обществения ред на държавата.[lxxiv]

Съдът на Европейския съюз (СЕС) постанови по делото Eco Swiss/Benetton, че императивните разпоредби на правото на ЕС могат да представляват основни правила на обществения ред, чието нарушаване може да бъде основание за отмяна на арбитражно решение, основано на такова основание в националното право.[lxxv] Следователно дали дадено решение може да бъде отменено или да бъде отказано неговото признаване или изпълнение поради неспазване на изискванията за защита на личните данни зависи от това дали правилата на ОРЗД трябва да се разглеждат като императивни разпоредби, чието нарушаване противоречи на националния обществен ред.[lxxvi]

В член 9, параграф 1 от Регламента "Рим I" императивните разпоредби се определят като разпоредби, "чието спазване се счита за решаващо от дадена държава за защита на нейните обществени интереси... до такава степен, че те са приложими към всяка ситуация, попадаща в техния обхват, независимо от приложимото право". Както Cervenka и Schwarz вече признаха, повечето от правилата на GDPR вероятно могат да се считат за императивни разпоредби с предимство съгласно правото на ЕС. Като такива, нарушаването им може да се счита за нарушение на обществения ред.[lxxvii]

Възможността неспазването на изискванията за защита на личните данни да доведе до отмяна или непризнаване и неизпълнение на арбитражно решение поражда различни опасения. На първо място, следва да се определи точно кои задължения за защита на личните данни ще представляват императивни разпоредби, тъй като не всички нарушения имат еднаква тежест. В крайна сметка Съдът на ЕС вероятно ще бъде призован да даде допълнителни разяснения. На второ място, следва да се вземе предвид и потенциалната злоупотреба с възможността за оспорване или оспорване на изпълнението на арбитражното решение въз основа на нарушение на ОРЗД, за да се предотврати умишленото нарушаване от страните на правилата за защита на личните данни, за да имат възможност за регресен иск срещу решението в по-късен момент. И накрая, следва да се определи дали разпоредбите за защита на личните данни ще бъдат част от процесуалното или материалното право и по какъв начин.[lxxviii]

Въпреки че има още много неща, които трябва да се определят, следва да се разгледат последиците от неспазването на изискванията за защита на личните данни за отмяната, както и за признаването и изпълнението на арбитражните решения. Най-интересно е, че в пътната карта не се споменава нищо по този въпрос.

Заключение

Пътната карта има за цел да помогне на професионалистите в областта на арбитража да идентифицират и разберат задълженията за защита на личните данни и неприкосновеността на личния живот, които могат да им бъдат наложени в контекста на международен арбитраж. Въпреки това, както беше обсъдено по-рано, в нея все още не са разгледани някои конкретни въпроси, които са актуални и належащи днес. Шестте въпроса, идентифицирани и разгледани в настоящия документ, са:

• приложимостта на ОРЗД към арбитражи, провеждани извън ЕС;
• GDPR в контекста на арбитражите по НАФТА;
• въпроса за виртуалните арбитражни изслушвания;
• финансиращи трети страни и тяхното място в пътната карта;
• потенциална злоупотреба с GDPR; и
• потенциално неспазване на GDPR като възможност за отмяна или отказ за признаване и изпълнение на арбитражното решение.

Всеки от тези въпроси заслужава допълнително обмисляне, тъй като се очаква те да станат още по-актуални през следващите години. Надеждата е, че е доказано, че те заслужават да бъдат включени в пътната карта.

Приложенията[lxxix] добавени към пътната карта, имат за цел да помогнат на специалистите да се справят с тези изисквания на практика. Добавянето на Контролния списък за защита на данните, Контролния списък за оценка на законните интереси, примерните уведомления за поверителност и стандартните договорни клаузи на ЕС са изключително ценни ресурси и трябва да се използват от професионалистите, за да се уверят, че са в съответствие с GDPR.

В ситуация на конфликт между различни юрисдикции обаче различията между различните национални законодателства, свързани със защитата на личните данни, могат да доведат до неяснота. Въпреки че насоките, предвидени в пътната карта, са широкообхватни, те все още нямат задължителен характер. В миналото UNCITRAL и IBA са се стремили да осигурят хармонизация в международния арбитраж чрез своите правила, насоки и други подобни; въпреки че те не са задължителни, те със сигурност са убедителни. Както UNCITRAL и IBA се опитаха да направят с различни аспекти на международния арбитраж, съществува и остра нужда от хармонизиране на изискванията за защита на личните данни по отношение на арбитража; по този начин следва да се въведат необходимите насоки с оглед на хармонизирането.

Докато хармонизацията, разбирането и осведомеността за изискванията за съответствие с GDPR и неговите последици в контекста на международния арбитраж остават недостатъчни, ние като професионалисти в областта на арбитража ще продължим да се справяме с действащата правна рамка. Независимо от това, въпреки недостатъците си, Пътната карта представлява крайно необходима и окуражаваща стъпка в посока към общо разбиране на задълженията за защита на личните данни на участниците в арбитража.

[i] Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), ОВ L 119/1.

[ii] "Лични данни" са дефинирани в чл. 4 от ОРЗД като:

(1) ""лични данни" означава всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице ("субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или чрез един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.

[iii] Териториалният обхват на ОРЗД е определен в чл. 3, както следва:

1. "Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не.
2. Настоящият регламент се прилага за обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато дейностите по обработване са свързани с:

(а) предлагането на стоки или услуги, независимо дали се изисква плащане от субекта на данните, на такива субекти на данни в Съюза; или

(б) наблюдение на тяхното поведение, доколкото то се осъществява в рамките на Съюза.

3. Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, но на място, където се прилага правото на държава членка по силата на международното публично право.

[iv] Вж. определението за "обработващ лични данни" в член 4 от ОРЗД.

[v] Чл. 83, ал. 4, ОРЗД.

[vi] "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 януари 2019 г.), вж. www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 октомври 2020 г.), вж. www.bbc.com/news/technology-54568784.

[vii] "Съвместна работна група на ICCA-IBA за защита на данните в международния арбитраж" (ICCA), вж. www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, достъпно на 18 август 2021 г.

[viii] Пътната карта на ICCA-IBA за защита на данните в международния арбитраж" (ICCA, февруари 2020 г.), вж. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, достъпно на 18 август 2021 г.

[ix] Пак там, 1.

[x] Дело № 2018-54 на PCA.

[xi] ICCA и Нюйоркската адвокатска колегия и Международният институт за предотвратяване и разрешаване на конфликти, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", вж. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, достъпно на 18 август 2021 г.

[xii] "Насоки за киберсигурност" (IBA, октомври 2018 г.), вж. www.ibanet.org/LPRU/Cybersecurity, достъпно на 1 декември 2020 г.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Международна търговска камара, 9 април 2020 г.), достъпно на 18 август 2021 г.

[xiv] Пътна карта, раздел Б.

[xv] Пак там.

[xvi] Чл. 4, ОРЗД.

[xvii] Пак там.

[xviii] Чл. 4, GDPR

[xix] Пак там, член 3, параграф 1.

[xx] Пътна карта, 7.

[xxi] Чл. 4, ОРЗД.

[xxii] Пътната карта определя "участниците в арбитражния процес" като "включващи страните, техните правни консултанти, арбитрите и арбитражните институции (само)". Вж. Пътна карта (№ 3), 2.

[xxiii] Чл. 4, ОРЗД.

[xxiv] Вж. решение от 29 юли 2019 г., Fashion ID GmbH & Co KG срещу Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, точки 74, 85. Вж. също Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; Решение от 10 юли 2018 г., Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Пътна карта, 11

[xxvi] Пак там, 12.

[xxvii] Чл. 5 и 12-22, ОРЗД; Пътна карта 14-15.

[xxviii] Например съгласно ОРЗД обработването на лични данни в контекста на международен арбитраж е законосъобразно, когато е необходимо за целите на законните интереси на администратора на данни - при спазване на ограниченията, основани на интересите и основните права на субекта на данните - а чувствителните данни могат да бъдат обработвани съгласно дерогацията за правни претенции (член 9, параграф 2, буква е) в контекста на арбитраж.

[xxix] Пътна карта, 19.

[xxx] Пак там, 20-21.

[xxxi] Пак там, 30-31.

[xxxii] Пак там, 32.

[xxxiii] Пак там, 33-36.

[xxxiv] Пак там, 37-39.

[xxxv] Пак там, 37.

[xxxvi] Пак там, 39.

[xxxvii] Пак там, 40-41.

[xxxviii] Пак там, 42.

[xxxix] Пак там, 43.

[xl] Член 5, параграф 1, буква д) от ОРЗД.

[xli] Пътна карта, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Комисията на ЕС счита, че страната осигурява адекватна защита на данните.

[xliv] В случай на международен арбитраж това най-вероятно ще бъде стандартна договорна клауза.

[xlv] Дерогацията по отношение на правните претенции, която позволява предаването на данни, когато това е "необходимо за установяването, упражняването или защитата на правни претенции", е най-приложима в арбитражния контекст.

[xlvi] Поради високия праг и изискването за уведомяване, позоваването на убедителни законни интереси няма голямо практическо значение. Вж. документа на EDPB, "Насоки 2/2018 относно дерогациите от член 49 съгласно Регламент 2016/679", 6 февруари 2018 г. (Насоки за предаване на данни).

[xlvii] Пътна карта, 8, 13.

[xlviii] Емили Хей, "Невидимата ръка на GDPR в международния арбитраж по договор: Не можем ли да го накараме да изчезне? (Kluwer Arbitration Blog, 29 август 2019 г.), вж. http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [посетен на 18 август 2021 г.].

[xlix] Дело № 2018-54 на PCA.

[l] Пак там, Съобщение на Съда на публичната служба до страните (Perm Ct Arb, 2019 г.).

[li] Пътна карта, 37.

[lii] ICCA и Нюйоркската адвокатска колегия и Международният институт за предотвратяване и разрешаване на конфликти, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), вж. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, достъпно на 18 август 2021 г.

[liii] "Насоки за киберсигурност" (IBA, октомври 2018 г.), вж. www.ibanet.org/LPRU/Cybersecurity, достъпно на 1 декември 2020 г.

[liv] Андреас Респондек, Таша Лим, "Трябва ли работната група за защита на данните на ICCA/IBA да разгледа въздействието на GDPR върху видеоконференциите в международните арбитражни производства? (Kluwer Arbitration Blog, 18 юли 2020 г.), вж. http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, достъпно на 18 август 2021 г.

[lv] "Насоки на Международния наказателен съд относно възможните мерки, насочени към смекчаване на последиците от пандемията COVID-19" (ICC, 9 април 2020 г.), достъпни на 18 август 2021 г.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Пътна карта, 2.

[lviii] Пак там, 23-25.

[lix] Чл. 4, ал. 2, ОРЗД, вж. т. 1 по-горе.

[lx] Член 6, параграф 1, буква е) от ОРЗД.

[lxi] Allan J Arffa и други, "GDPR Issues in International Arbitration" (Lexology, 10 август 2020 г.), вж. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, достъпно на 18 август 2021 г.

[lxii] Пътна карта, приложение 5.

[lxiii] Allan J Arffa и други, "GDPR Issues in International Arbitration" (Lexology, 10 август 2020 г.), вж. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91>, достъпно на 18 август 2021 г.

[lxiv] Пътна карта 40-41.

[lxv] Вижте например: Дейвид М. Хауърд, "Чуждестранни закони за защита на данните в международния арбитраж и съдебните спорове в Съединените щати" (2020 г.) 55 Tex Int'l L J 395.

[lxvi] Пак там; Richmark Corp срещу Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] "Чуждестранните закони за защита на данните в съдебните спорове и международния арбитраж в САЩ" (Baker Botts, 6 февруари 2020 г.), вж. www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration>, достъпно на 18 август 2021 г.

[lxviii] Дейвид М Хауърд, "Чуждестранни закони за защита на данните в международен арбитраж и съдебни спорове в Съединените щати" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Гари Борн, Международен търговски арбитраж (второ издание, Kluwer Law International 2014), 2335.

[lxx] Ibid. В подкрепа на този аргумент Борн цитира следните съдебни решения: Решение от 22 януари 2004 г., Société Nat'l Cie for Fishing & Marketing "Nafimco" срещу Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "решението на арбитражния съд да разпореди разкриване на доказателства е в рамките на неговата процесуална преценка и не може да бъде преразглеждано от съдилищата"; Karaha Bodas Co срещу Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), потвърдено, 364 F 3d 274 (5th Cir 2004): Исканията за разкриване на информация са "в рамките на разумното упражняване на дискреционната власт на Съда на публичната служба".

[lxxi] Natalia M Szlarb, "GDPR и международният арбитраж на кръстопът" (The National Law Review, 4 декември 2019 г.), вж. www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, достъпно на 18 август 2021 г.

[lxxii] Нюйоркска конвенция, член V, параграф 2: "Признаването и изпълнението на арбитражно решение може да бъде отказано и ако компетентният орган в държавата, в която се иска признаване и изпълнение, установи, че... б) признаването или изпълнението на решението би било в противоречие с обществения ред на тази държава.

[lxxiii] Генерален секретар на ООН, Аналитичен коментар на проекта за текст на Закон-модел за международния търговски арбитраж, A/CN.9/264 (1985 г.), чл. 34, ал. 6.

[lxxiv] Закон-модел на UNCITRAL за международния търговски арбитраж, член 34, параграф 2: "Арбитражното решение може да бъде отменено от съда, посочен в член 6, само ако...(б) съдът установи, че...(ii) решението е в противоречие с обществения ред на тази държава".

[lxxv] Решение от 1 юни 1999 г., Eco Swiss China Time Ltd срещу Benetton International NV C-126/97 [1999] ECR I-03055, параграфи. 39 и 41. За подробно обсъждане на публичната политика на ЕС вж: Sacha Prechal и Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka и Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Пак там.

[lxxviii] За по-подробно обсъждане на тези и други въпроси вж: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" в José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021 г.), параграфи 5.63 и следващи; Cervenka and Schwarz, вж. № 76 по-горе, 84-85.

[lxxix] "Пътната карта на ICCA-IBA за защита на данните в международния арбитраж, приложения", (ICCA, февруари 2020 г.), вж. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, достъпно на 18 август 2021 г.

Тази статия е публикувана за първи път в Dispute Resolution International, том 15, № 2, октомври 2021 г., и се възпроизвежда с любезното съгласие на Международната асоциация на юристите, Лондон, Обединеното кралство. © Международна асоциация на юристите.