Сблъсъкът на титаните: GDPR и международният арбитраж - поглед към бъдещето

Публикации: November 10, 2021

Назад към обзор

Автори

Катрин Раудашл

Свързани експертни ръководства

Въведение

През последните години се появиха въпроси относно практическите последици от неприкосновеността на личните данни и киберсигурността за реалното провеждане на международни арбитражи - особено когато се вземе предвид постоянният темп на технологичните промени.

През май 2020 г. Общият регламент относно защитата на данните (ОРЗД)[1] отпразнува своя втори рожден ден. Рамката за защита на личните данни на ОРЗД има за цел да гарантира свободното движение на личните данни на "идентифицирано или подлежащо на идентифициране физическо лице[2 ]". той се прилага в рамките на Европейския съюз и има екстериториален обхват, който може да се разпростре и извън ЕС;[3] ОРЗД може да засегне не само всички физически или юридически лица, но и да подложи на задължения за защита на личните данни публичните органи, агенциите и други структури - евентуално включително международни организации.[4] Санкциите по GDPR могат да възлизат на 4 % от световния годишен оборот на нарушителя за предходната финансова година или на 20 млн. евро, в зависимост от това коя от двете суми е по-висока[5]. Необходимостта от сериозно отношение към неговото прилагане вече е установена чрез многомилионни глоби, наложени в множество юрисдикции[6].

Въпреки че прилагането на законите за защита на личните данни към арбитража е установено, начинът, по който законите следва да се прилагат, не е. Поради тази причина Международният съвет за търговски арбитраж (ICCA) и Международната асоциация на юристите (IBA) създадоха през февруари 2019 г. съвместна работна група за защита на данните в международните арбитражни производства с цел изготвяне на ръководство, което да предоставя практически насоки за защита на личните данни в международния арбитраж. Работната група публикува проект за консултация на това ръководство през март 2020 г.[7] Настоящият коментар ще се основава на този проект на ръководство (Ръководството),[8] като окончателната, преработена версия на Ръководството се очаква да бъде публикувана през септември 2021 г. Въпреки че към момента на изготвяне на настоящия документ крайният срок за представяне на коментари по проекта за консултация е изтекъл, предварителният вариант на Пътната карта все пак е показателен за въпросите, повдигнати от ОРЗД в международните арбитражи. Поради това тя ще бъде използвана като основа за обсъждане.

Повечето закони за защита на личните данни са задължителни в арбитражните производства, което означава, че те предписват:

  • какви лични данни могат да бъдат обработвани;
  • къде;
  • по какъв начин;
  • с какви мерки за информационна сигурност; и
  • за какъв период от време[9].

В тях обаче не се разглежда как тези обвързващи задължения следва да бъдат спазвани в арбитражни производства. При липсата на конкретни насоки от страна на регулаторните органи, Пътната карта има за цел да помогне на професионалистите в областта на арбитража да идентифицират и разберат задълженията за защита на личните данни и неприкосновеността на личния живот, които могат да им бъдат наложени в контекста на международен арбитраж. Освен това обхватът на защитата по GDPR остава от значение в международните арбитражни производства, най-вече дали законите на GDPR се прилагат за арбитражи със седалище извън ЕС. Има различни допълнителни последици, ако се установи, че GDPR се прилага към арбитраж: първо, дали обработването на лични данни е забранено и второ, дали има ограничения за предаването на лични данни извън ЕС. И накрая, поради нарастващата честота на кибератаките, последиците от такава атака срещу арбитраж могат да доведат до значителни щети.

Настоящата статия има за цел да предостави коментар на Пътната карта и да разгледа практическите мерки, които следва да се вземат предвид по отношение на задълженията за защита на личните данни в международни арбитражни производства. Тя определя Пътната карта като обещаващ, макар и непълен, инструмент, който допълва различните опити за хармонизиране на международния арбитраж, направени досега с мекото право, най-вече инструментите на IBA и Комисията на ООН по международно търговско право (UNCITRAL).

На първо място ще бъде направено кратко резюме на Пътната карта, което включва позоваване на принципите на ОРЗД. Това няма за цел да бъде изчерпателен преглед, а по-скоро ще представи основните точки на Пътната карта, за да даде на читателя контекст за последващото обсъждане. Второ, ще бъде представен коментар, който засяга шест релевантни въпроса:

  • приложимостта на ОРЗД към арбитражи, провеждани извън ЕС;
  • GDPR в контекста на арбитражи по Северноамериканското споразумение за свободна търговия (NAFTA), както е показано в делото Tennant Energy, LLC срещу правителството на Канада;[10]
  • въпросът за видеоконференциите, чието значение значително нарасна по време на пандемията от COVID-19, включително препратки към "Протокола на ICCA-NYC Bar-CPR относно киберсигурността в международния арбитраж" (Протокол за киберсигурност)[11], Насоките за киберсигурност на IBA[12] и Насоките на ICC относно възможните мерки, насочени към смекчаване на последиците от пандемията от COVID-19;[13]
  • "финансиращи трети страни" и как те са взети предвид в Пътната карта;
  • злоупотреба с ОРЗД, особено като щит за неразкриване на информация; и
  • възможността за използване на неспазването на изискванията за защита на личните данни като път към отмяна или отказ за признаване и изпълнение на арбитражното решение.

В заключението ще бъдат представени заключителни мисли.

Пътната карта

Физическите и юридическите лица са задължени да защитават личните данни на субектите на данни. Самият арбитраж не подлежи на задължения за защита на личните данни. Ако обаче само един от участниците в арбитража подлежи на задължения за защита на личните данни, това може да засегне арбитража като цяло. От това дали обработването на лични данни попада в обхвата на съответните закони, материален и юрисдикционен обхват зависи дали се прилагат законите за защита на личните данни[14].

Съвременните закони за защита на личните данни се прилагат винаги, когато се обработват лични данни за субект на данни по време на дейностите, попадащи в юрисдикционния обхват на съответните закони за защита на личните данни[15]. личните данни включват "всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице"[16]. по време на типичните арбитражни производства се обменят значителни порции информация, свързана inter alia със страните, техните адвокати, арбитражния съд и трети страни. В този смисъл е вероятно те да се разглеждат като отговарящи на определението за "лични данни". Обработването включва активни и пасивни операции, като по този начин обхваща използването, разпространението и изтриването на лични данни, както и получаването, организирането и съхраняването на лични данни.[18] Обхватът на прилагане включва действия, когато личните данни се обработват в контекста на дейностите на място на установяване на администратор или обработващ лични данни в ЕС[19] и екстериториално, например когато личните данни се предават извън ЕС на образувания или физически лица, които по други причини вече не са обект на GDPR[20].

Арбитрите ще бъдат квалифицирани като администратори на данни, което означава, че те ще отговарят за спазването на законите за защита на личните данни. Въпреки това, въз основа на определението за "администратор на данни";[21] повечето участници в арбитража[22] вероятно ще бъдат считани за такива, включително адвокатите, страните и институцията. Администраторите на данни могат да делегират обработването на данни на обработващи данни,[23] които ще бъдат под техен контрол и ще изискват споразумения за обработване на данни при условия, предвидени в приложимото право. По този начин секретарките, преписвачите, преводачите и други вероятно ще бъдат считани за обработващи данни. Съществува и допълнителен въпрос за съвместните администратори, които съвместно определят целите и средствата за обработване на данни. Съвместният контрол се тълкува широко, но отговорността на съвместния администратор е ограничена само до обработването, което администраторът е определил, неговите цели и средства, а не до цялостното обработване[24].

В международните арбитражи ограниченията за предаване на лични данни между юрисдикциите са очевиден начин, по който се прилагат законите за защита на личните данни. Предисторията на различните участници в арбитража ще определи прилагането на различни режими за защита на личните данни. Съвременните закони за защита на личните данни ограничават предаването на лични данни към трети държави, за да се гарантира, че правните задължения не се заобикалят чрез предаване на лични данни към юрисдикции с по-ниски стандарти за защита на личните данни[25]. в ОРЗД се допуска предаване на лични данни към трети държави, ако е налице едно от следните обстоятелства

  • Комисията на ЕС е преценила, че държавата осигурява адекватна защита на личните данни;
  • е въведена една от изрично изброените предпазни мерки;
  • дерогация, която позволява предаването на данни, когато това е необходимо за установяването, упражняването или защитата на правни претенции; или
  • непреодолим законен интерес на дадена страна[26].

Тези правила се прилагат за участниците в арбитража, а не за арбитража като цяло, като по този начин задължават всеки участник в арбитража да прецени какви ограничения за предаване на лични данни се прилагат за него.

Принципите за защита на личните данни, приложими в арбитража, включват добросъвестно и законосъобразно обработване, пропорционалност, свеждане на данните до минимум, ограничаване на целите, права на субекта на данните, точност, сигурност на данните, прозрачност и отчетност[27].

Няколко от тези принципи изискват допълнителен коментар. Добросъвестното и законосъобразно обработване означава, че личните данни следва да се обработват само по начин, който субектите на данни разумно биха очаквали, и че трябва да има правно основание за обработването. Прилагайки принципа за справедливост, страната и нейният адвокат трябва да се запитат дали в контекста на всички факти физическите лица биха очаквали личните им данни да бъдат обработвани по такъв начин, дали това ще има неблагоприятни последици за тях и дали тези последици са оправдани. Този принцип няма да попречи личните данни, намерени в служебни имейли, да бъдат приети като доказателство.

Понятието "законосъобразно обработване" включва правно основание, което се определя от фактите и е специфично за всеки отделен случай. Вместо да се разчита на съгласието, следва да се посочат конкретните правни основания в GDPR[28].

Пропорционалността изисква разглеждане на естеството, обхвата, контекста и целите на обработването във връзка с рисковете, породени за субекта на данните[29]. свеждането на данните до минимум изисква от участниците в арбитража да ограничат обработването до лични данни, които са адекватни, релевантни и ограничени до необходимото.[Прозрачност изисква субектите на данни да бъдат уведомявани за обработването и целта на обработването на личните данни чрез общи известия, специални известия или и двете.[31] Отчетността е свързана с личната отговорност за спазването на защитата на данните, което означава, че участниците в арбитража следва да документират всички мерки за защита на личните данни и взетите решения, за да докажат спазването им[32].

Спазването на изискванията за защита на личните данни засяга отделните етапи на международното арбитражно производство, не само по време на самия арбитраж, но и по време на подготовката. От самото начало участниците в арбитража следва да преценят кои закони за защита на личните данни се прилагат за тях и за другите участници в арбитража и кои участници в арбитража ще обработват лични данни като администратори, обработващи или съвместни администратори. Следва да се разгледат и правилата за предаване на лични данни на трети държави и споразуменията за обработване на лични данни по отношение на трети страни - доставчици на услуги. По време на процеса на събиране и разглеждане на документите страните и техните правни съветници се нуждаят от законно основание за дейностите по обработване и предаване на лични данни на трети държави[33].

Искането за арбитраж, както и последващите изложения, ще включват лични данни, които попадат в сферата на обработването. Ако арбитражната институция е обвързана от приложимите закони за защита на личните данни, тя трябва да вземе предвид потенциалните задължения за защита на личните данни, които се прилагат по време на всеки процедурен етап. Ако арбитражната институция подлежи на GDPR, тя обикновено се превръща в администратор на лични данни. За да се съобрази с членове 13 и 14 от ОРЗД, такава институция следва да включи информация относно мерките за сигурност, упражняването на правата на субектите на данни, поддържането на записи и политиките за нарушаване и запазване на данните в своето уведомление за поверителност[34]. международните организации, администриращи арбитражи на принципа "инвеститор-държава", обаче могат да бъдат изключени от обхвата на законите за защита на личните данни поради привилегии и имунитети в учредителната държава или в споразумение с приемащата държава. Следователно тук трябва да се направят отделни преценки, включително, inter alia, дали организацията е обвързана от законите за защита на личните данни и дали - и до каква степен - участниците в арбитража ще бъдат обхванати от привилегиите и имунитетите[35].

По време на назначаването на арбитри в даден арбитражен съд обикновено се обменят значителни количества лични данни на потенциалните арбитри. Арбитражните участници следва да включат правното основание за обработването на тези лични данни в своите правни известия и изрично да уведомят арбитрите, които се разглеждат за назначаване, за обработването на техните лични данни, особено в случай на предаване на лични данни от трети държави[36].

След като арбитражът е в ход, отговорностите за спазване на изискванията за защита на личните данни следва да бъдат разпределени на ранен етап, за да се сведат до минимум рисковете. Защитата на личните данни следва да бъде включена в дневния ред на първата процедурна конференция, а участниците в арбитража следва да се опитат да се споразумеят как да се справят със спазването на защитата на личните данни възможно най-рано. Страните, техните адвокати и арбитрите следва да обмислят сключването на протокол за защита на личните данни, за да управляват ефективно въпросите, свързани със съответствието. Когато това не е възможно, алтернативен вариант е арбитражният съд да ги включи в Процедурен ред номер едно[37].

В процеса на изготвяне и оповестяване на документи принципът за свеждане до минимум на личните данни е от особено значение. Съгласно ОРЗД това вероятно ще изисква:

  • ограничаване на разкриваните лични данни до тези, които са релевантни и не се дублират;
  • идентифициране на личните данни, съдържащи се в материалите, на които се отговаря; и
  • редактиране или псевдонимизиране на ненужните лични данни.

Тези въпроси следва да бъдат разгледани в началото на производството, за предпочитане по време на или преди първата процедурна конференция[38].

Когато става въпрос за постановяване на решения, арбитрите и институциите следва да обмислят основанието и необходимостта от включване на лични данни в решенията. Ако арбитражът е поверителен, все пак съществува риск решението да стане публично, когато бъде изпълнено. Дори ако личните данни са редактирани, те обикновено остават лични данни, тъй като субектът на данните може да бъде идентифициран от останалата част на решението или свързаните с него материали[39].

Съхраняването и изтриването на данни се считат за обработване съгласно ОРЗД, който предвижда, че личните данни се "съхраняват във форма, която позволява идентифицирането на субектите на данни, за срок не по-дълъг от необходимия за целите, за които се обработват личните данни"[40]. администраторите трябва да обмислят, документират и да могат да обосноват продължителността на съхранението. Участниците в арбитража трябва да обмислят какъв период на съхранение на данните е разумен и трябва да възприемат пропорционален подход, за да балансират своите нужди с въздействието на съхранението на данните върху субекта[41].

Приложимост на ОРЗД към арбитражни производства, провеждани извън ЕС

Териториалният обхват на Общия регламент относно защитата на данните е сравнително широк. Практикуващите следва да са наясно с неговото прилагане, независимо дали се намират или арбитражът е със седалище в ЕС. ОРЗД се прилага за обработването на лични данни от администратори или обработващи лични данни, установени в ЕС, независимо дали самото обработване се извършва в ЕС (член 3, параграф 1). Освен това, когато става въпрос за предлагане на стоки или услуги на граждани на ЕС или за наблюдение на поведение, което се извършва в рамките на ЕС, GDPR се прилага за обработването на лични данни от администратор или обработващ лични данни, който не е установен в ЕС (член 3, параграф 2).

Приложен в арбитражен контекст, GDPR налага задължения на администраторите и обработващите лични данни - арбитри, адвокати, страни и институции - които попадат в неговия материален и териториален обхват, а не директно на арбитражното производство. Дори ако само един от участниците в арбитражния процес има връзка с ЕС, той ще бъде задължен да обработва лични данни в съответствие с GDPR. Възможно е да възникнат последици за производството като цяло[42].

Може би най-забележителни в контекста на международния арбитраж, където предаването на арбитражни материали, съдържащи лични данни, е често срещано явление, са ограниченията, наложени върху предаването на лични данни на "трети държави" извън Европейското икономическо пространство (ЕИП). В такъв случай се изисква едно от четирите законни основания, за да бъде разрешено предаването на лични данни. Първо, предаването на данни на трета държава е разрешено, ако третата държава е предмет на решение за адекватност (член 45, параграф 1)[43]. ако случаят не е такъв, следва да се въведе една от подходящите гаранции (член 46, параграф 1), когато това е възможно.[44] Ако не е налице решение за адекватност и не е възможно да се приложи подходяща гаранция, може да се разчита на специална дерогация (член 49, параграф 1)[45]. накрая, при липса на горепосоченото, дадена страна може да се позове на убедителен законен интерес (член 49, параграф 1)[46] като законно основание за предаване на лични данни на трета страна.

В Пътната карта доста изчерпателно са изложени необходимите съображения, които трябва да направят участниците в арбитража. В нея многократно се подчертава, че именно участниците в арбитража, а не арбитражът като такъв, са тези, за които се прилагат принципите за защита на личните данни и правилата за предаване[47]. В съответствие с това презумптивното заключение е, че базираният в ЕС арбитър на арбитраж извън ЕС, който иначе не е предмет на ОРЗД, въпреки това ще трябва да спазва изискванията на ОРЗД за обработване и предаване на лични данни. Това наистина е общоприето в производствата по търговски арбитраж,[48] но ситуацията не е толкова ясна, когато става въпрос за арбитраж по дела, водени от инвеститор и държава.

Делото Tennant Energy, LLC срещу правителството на Канада

През 2019 г. в арбитражното дело по глава 11 от NAFTA Tennant Energy, LLC срещу Правителството на Канада (Tennant)[49] Tennant, ищецът, повдигна въпроса за прилагането на GDPR към производството с оглед на британското гражданство и местоживеене на един от членовете на трибунала. Въпреки това трибуналът дава указания на страните, като заявява, че "арбитраж по глава 11 от NAFTA, договор, по който нито Европейският съюз, нито неговите държави членки са страна, по презумпция не попада в материалния обхват на GDPR"[50].

Важно е да се прави разграничение между договорния и търговския арбитраж, като Tennant попада в първата категория. Пътната карта се занимава с това разграничение, като отбелязва, че международните организации могат да бъдат изключени от приложното поле на законите за защита на личните данни[51]. Членовете на трибунала в арбитража Tennant могат да се ползват от определени имунитети, произтичащи от Споразумението за седалището на Постоянния арбитражен съд (ПСА) с Нидерландия. Трибуналът на NAFTA обаче не е разгледал дали като международна организация СПС ще бъде подчинен на правилата за предаване на данни на ОРЗД или дали членовете на трибунала ще получат определени имунитети от споразумението.

Указанието Tennant повдига повече въпроси, отколкото дава отговори по отношение на приложимостта на GDPR към производствата по NAFTA и по-общо към арбитражите, основани на договори, чието нюансирано обсъждане е извън обхвата на настоящото решение. Независимо от това, указанието Tennant, разглеждано в светлината на Пътната карта, показва, че тази тема продължава да бъде много несигурна. В най-добрия случай е съмнително дали Пътната карта внася някаква яснота за участниците в арбитража, изправени пред такъв въпрос, като се има предвид най-вече, че Пътната карта е издадена след постановяването на указанието Tennant, но не е взела предвид последното.

Въпросът за видеоконференциите

В пътната карта се признава значението на сигурността на личните данни. Въпреки това, при неотдавнашното използване на допълнителни технологии за улесняване на виртуалните изслушвания, както и на работата от дома - най-вече подхранвана от настоящите обстоятелства, наложени ни от пандемията Covid-19 - този въпрос придобива допълнителна тежест. Протоколът за киберсигурност[52] и Насоките за киберсигурност на IBA[53] хвърлиха известна светлина върху този въпрос.

Подобно на Пътната карта, Протоколът за киберсигурност установява няколко основни принципа. Прилага се принципът на пропорционалност, Съдът на публичната служба има правомощията и свободата на преценка за определяне на въведените мерки за сигурност, а информационната сигурност е въпрос, който следва да бъде обсъден на първата конференция за управление на делото. Приложение А към Протокола за киберсигурност съдържа контролен списък, който страните в арбитража могат да използват за защита на производството.

След неотдавнашната промяна в моделите на работа и работната среда, дължаща се на пандемията от Ковида-19, на тези въпроси следва да се придаде по-голяма тежест. В свят, който е притиснат да намери нови начини за водене на бизнес и да се адаптира към времената на несигурност, един от проблемите, с които се сблъсква правният сектор, е въпросът за изслушванията, съчетан с ограниченията и необходимостта от социално дистанциране. По този начин популярността на видеоконференциите и използването им в международните арбитражни производства е нещо, което Пътната карта трябва да разгледа, но не го е направила - или поне все още не го е направила.

Въпреки че мнозина са обсъждали и посочвали проблемите на видеоконференциите, повечето от тях не са обърнали внимание на това как следва да се прилагат законите за защита на личните данни към тях, не само по отношение на защитата на личните данни, но и на сигурността, тъй като някои платформи са били обект на атаки срещу сигурността[54].

Както беше разгледано по-горе, от съществено значение е да се разберат различните роли на страните, участващи в арбитража по отношение на ОРЗД, а именно кои са "администраторите на данни" и "обработващите данни". Ако софтуерът за видеоконференции обработва някакви лични данни, като например потребителско име и имейл адрес от използването на услугата от дадена страна, той ще се счита за "обработващ лични данни". Това означава, че те трябва да спазват правилата на GDPR, ако някой от участниците е със седалище в ЕС. Тъй като Съдът на публичната служба е "администратор на данни", тогава той ще носи отговорност за осигуряване на такова съответствие.

Международната търговска камара (МТК) е издала насочваща бележка[55], която предоставя на страните предложени клаузи за протоколи за киберсигурност и виртуални изслушвания. Тя има за цел да разгледа аспекта на сигурността, но не разглежда аспекта на защитата на личните данни. В пътната карта следва да се обсъдят възможностите, при които защитата на личните данни ще се прилага към изслушвания, провеждани виртуално, както и начините за спазването ѝ. Въпреки че в ОРЗД се посочват изискванията, които трябва да бъдат изпълнени по отношение на видеоконференциите, той не дава насоки за начина, по който неговите изисквания са пряко приложими.

Въпреки че Пътната карта не дава препоръки за конкретни доставчици на софтуер, тя би могла да състави и предостави на практикуващите юристи списък с необходимите спецификации на идеалния софтуер за видео изслушвания, точно както в приложенията си предоставя контролни списъци по различни други въпроси.

Къде се вписват третите страни-финансисти?

Под трето лице-финансист се разбира всяко лице, което не е страна в арбитражното производство и което сключва споразумение за финансиране на всички или част от разходите по производството в замяна на сума, която изцяло или частично зависи от изхода на делото.[56] Третите лица-финансисти имат достъп до различни лични данни в арбитражните производства, които финансират или обмислят да финансират. Въпреки че пътната карта е изрично адресирана само до участниците в арбитражни производства, в нея се посочва, че насоките са от значение за доставчиците на услуги, които също са засегнати от изискванията за защита на личните данни[57].

В Пътната карта доставчиците на услуги включват "експерти по електронно откриване, специалисти по информационни технологии, съдебни репортери, преводачески услуги и т.н."[58], но третите финансиращи страни не са изрично споменати. Съгласно ОРЗД събирането и съхраняването на лични данни се включва в обработването. Следователно, ако третите страни-финансисти събират лични данни от други лица, законите за личните данни ще се прилагат и за тях[59].

ОРЗД позволява на страната да обработва лични данни, ако "обработването е необходимо за целите на законните интереси, преследвани от администратора или от трета страна"[60], което потенциално може да бъде посочено от участниците в арбитража като приложимо правно основание за обработване на съответните лични данни. Съществуват ограничени насоки по тази тема[61]:

"Първата стъпка в оценката на легитимния интерес е да се определи легитимният интерес - каква е целта за обработване на личните данни и защо тя е важна за вас като администратор? В контекста на арбитража легитимният интерес може да включва правораздаването, гарантирането на спазването на правата на страните и бързото и справедливо решаване на исковете съгласно приложимите арбитражни правила, както и много други интереси."[62]

Включването на "много други интереси" може евентуално да включва легитимния паричен интерес на трети страни-финансисти. Ако това е така, те очевидно ще бъдат задължени да сключат споразумения за обработване на данни със страните в арбитражното производство и ще бъдат включени в обхвата на разпоредбите и изискванията за защита на личните данни. Интересно е, че в пътната карта не се посочва изрично как се вписват в картината третите страни-финансисти, особено като се има предвид нарастващото им включване в арбитражни производства.

Щит за неразкриване на информация

Задълженията за защита на личните данни водят до възможност за злоупотреби. Арбитражните страни могат недобросъвестно да използват GDPR като щит, за да предотвратят разкриването на информация, която е от значение за производството или е поискана от насрещната страна. Например страна може да възрази срещу искане за оповестяване, като твърди, че документите съдържат лични данни, които не са свързани със спора, или че редактирането на личната информация би било неоправдано тежко[63].

В пътната карта се разглежда възможността за злоупотреба. В нея се предлага възможно най-рано да се повдигнат и изяснят задълженията за защита на личните данни, за да се намали рискът те да повлияят на производствата. Участниците следва да обмислят сключването на "протокол за защита на данните" - споразумение за това как ще се прилага защитата на личните данни в конкретен контекст. Алтернативно, когато не е възможно да се постигне подписване на протокол за защита на данните, тези въпроси следва да бъдат разгледани в Процедурен ред номер едно[64].

За сравнение може да се разгледа спазването на GDPR по време на откриването на дела в САЩ. Федералните съдилища на САЩ прилагат балансиращи тестове, за да решат дали да разпоредят разкриване или спазване на призовки или заповеди за разкриване, които потенциално са в нарушение на чуждестранни закони, включително закони за защита на личните данни[65]. неизчерпателен списък на факторите, разглеждани от федералните съдилища на САЩ, е

  • значението на исканите документи или друга информация за съдебния спор;
  • степента на конкретност на искането;
  • дали информацията е с произход от САЩ;
  • наличието на алтернативни средства за осигуряване на информацията; и
  • степента, в която неизпълнението би накърнило важни интереси на САЩ[66].

По-често федералните съдилища изискват разкриване на информация въпреки потенциалните нарушения на чуждестранните закони за защита на личните данни[67].

Арбитрите се сблъскват с различни съображения от съдилищата, когато решават дали да разпоредят оповестяване от страна. Правилно е, както се твърди в литературата,[68] че трибуналите трябва да се съобразяват с конкуриращите се права и задължения в светлината на заплахата от отмяна или отказ за изпълнение съгласно Конвенцията от 1958 г. за признаване и изпълнение на чуждестранни арбитражни решения (Нюйоркската конвенция). Това становище обаче не отчита факта, че заповедите за разкриване на информация подлежат на минимален контрол от страна на щатските съдилища предвид принципа на съдебна ненамеса[69].

С оглед на свободата на преценка, предоставена на съдилищата по процедурни въпроси, заплахата от отмяна или отказ за изпълнение едва ли ще бъде основно съображение. Неизбежността на опитите на страните да злоупотребяват със задълженията по GDPR, за да получат потенциално процесуално предимство, ще постави трибуналите в трудното положение да балансират между интересите на субекта на данните, от една страна, и поддържането на стабилен процес на доказване, от друга[71] Изясняването на задълженията за спазване на изискванията за защита на личните данни в началото на производството - за предпочитане в подписан протокол за защита на данните - в съответствие с препоръките на Пътната карта изглежда е необходима стъпка за проверка на това поведение.

Неспазването на изискванията за защита на личните данни като предпоставка за отмяна и отказ за признаване и изпълнение

В пътната карта не се разглежда въпросът дали неспазването на изискванията за защита на личните данни може да се използва за отмяна на арбитражно решение или за отказ за неговото признаване и изпълнение. Страните разполагат с много ограничени средства за обжалване на арбитражни решения. Въпреки това неуспешна страна може да пожелае да оспори резултата от него и да използва едно от основните общи основания за оспорване на арбитражното решение или за предотвратяване на неговото признаване или изпълнение.

Понастоящем Нюйоркската конвенция има 168 договарящи държави, което я прави основното правно основание за признаване и изпълнение на чуждестранни решения в международен търговски арбитраж. В член V от Конвенцията са предвидени ограничени основания, на които може да бъде отказано признаването и изпълнението на арбитражно решение. Най-вече за настоящите цели, член V, параграф 2, буква б) признава възможността компетентният орган на подписалата държава да откаже признаването или изпълнението на арбитражно решение, което нарушава обществения ред[72].

Основанията, на които арбитражното решение може да бъде отменено, варират в различните юрисдикции. Широко възприетият Закон-модел на UNCITRAL за международния търговски арбитраж съдържа списък на основанията за отмяна в член 34, параграф 2. Този списък е изготвен по примера на член V от Нюйоркската конвенция[73]. Член 34, параграф 2, буква б), подточка ii) гласи, че арбитражното решение може да бъде отменено от съда, ако то противоречи на обществения ред на държавата[74].

Съдът на Европейския съюз (СЕС) постанови по делото Eco Swiss/Benetton, че императивните разпоредби на правото на ЕС могат да представляват основни правила на обществения ред, чието нарушаване може да бъде основание за отмяна на арбитражно решение, основано на такова основание в националното право[75]. Следователно дали дадено арбитражно решение може да бъде отменено или да бъде отказано неговото признаване или изпълнение поради неспазване на изискванията за защита на личните данни, ще зависи от това дали правилата на ОРЗД трябва да се разглеждат като императивни разпоредби, чието нарушаване противоречи на националния обществен ред[76].

В член 9, параграф 1 от Регламента "Рим I" императивните разпоредби се определят като разпоредби, "чието спазване се счита за решаващо от дадена държава за гарантиране на нейните обществени интереси... до такава степен, че те са приложими към всяка ситуация, попадаща в техния обхват, независимо от приложимото в други случаи право". Както Cervenka и Schwarz вече признаха, повечето от правилата на GDPR вероятно могат да се считат за императивни разпоредби с предимство съгласно правото на ЕС. Като такива, нарушаването им може да се счита за нарушение на обществения ред[77].

Възможността неспазването на изискванията за защита на личните данни да доведе до отмяна или непризнаване и неизпълнение на арбитражно решение поражда различни опасения. На първо място, следва да се определи точно кои задължения за защита на личните данни биха представлявали императивни разпоредби с предимство, тъй като не всички нарушения имат еднаква тежест. В крайна сметка Съдът на ЕС вероятно ще бъде призован да даде допълнителни разяснения. На второ място, следва да се вземе предвид и потенциалната злоупотреба с възможността за оспорване или оспорване на изпълнението на арбитражното решение въз основа на нарушение на ОРЗД, за да се предотврати умишленото нарушаване от страните на правилата за защита на личните данни, за да имат възможност за обжалване на решението в по-късен момент. Накрая, следва да се определи дали разпоредбите за защита на личните данни ще бъдат част от процесуалното или материалното право и по какъв начин[78].

Въпреки че има много неща, които трябва да се определят, следва да се разгледат последиците от неспазването на изискванията за защита на личните данни върху отмяната, както и върху признаването и изпълнението на арбитражните решения. Най-интересно е, че в пътната карта не се споменава нищо по този въпрос.

Заключение

Пътната карта има за цел да помогне на професионалистите в областта на арбитража да идентифицират и разберат задълженията за защита на личните данни и неприкосновеността на личния живот, които могат да им бъдат наложени в контекста на международния арбитраж. Въпреки това, както беше обсъдено по-рано, в нея все още не са разгледани някои специфични въпроси, които са актуални и належащи днес. Шестте въпроса, идентифицирани и разгледани в настоящия документ, са:

  • приложимостта на ОРЗД към арбитражи, провеждани извън ЕС;
  • GDPR в контекста на арбитражи по НАФТА;
  • въпросът за виртуалните арбитражни изслушвания;
  • трети страни-финансиращи организации и тяхното място в Пътната карта;
  • потенциална злоупотреба с GDPR; и
  • потенциално неспазване на GDPR като възможност за отмяна или отказ за признаване и изпълнение на арбитражното решение.

Всеки от тези въпроси ще изисква по-нататъшно обмисляне, тъй като се очаква те да станат само по-актуални през следващите години. Надеждата е, че е доказано, че те заслужават да бъдат включени в Пътната карта.

Приложенията[79], добавени към Пътната карта, имат за цел да помогнат на професионалистите да се справят практически с тези изисквания. Добавянето на Контролния списък за защита на данните, Контролния списък за оценка на законния интерес, Примерните уведомления за поверителност и Стандартните договорни клаузи на ЕС са изключително ценни ресурси и трябва да се използват от специалистите, за да са сигурни, че са в съответствие с GDPR.

Въпреки това, в ситуация на конфликт между различни юрисдикции, различията между различните национални законодателства, отнасящи се до защитата на личните данни, могат да доведат до неясноти. Въпреки че насоките, предоставени от Пътната карта, са широкообхватни, те все още нямат задължителен характер. В миналото UNCITRAL и IBA са се стремили да осигурят хармонизация в международния арбитраж чрез своите правила, насоки и други подобни; въпреки че те не са задължителни, те със сигурност са убедителни. Както UNCITRAL и IBA се опитаха да направят с различни аспекти на международния арбитраж, съществува и остра нужда от хармонизиране на изискванията за защита на личните данни по отношение на арбитража; по този начин следва да се въведат необходимите насоки с оглед на хармонизирането.

Докато хармонизацията, разбирането и осведомеността относно изискванията за съответствие с GDPR и неговите последици в контекста на международния арбитраж продължават да липсват, ние като професионалисти в областта на арбитража ще продължим да се задоволяваме с действащата правна рамка. Независимо от това, въпреки недостатъците си, Пътната карта представлява крайно необходима и окуражаваща стъпка в посока към общо разбиране на задълженията за защита на личните данни на участниците в арбитража.

Ресурси

  1. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), ОВ L 119/1.
  2. "Лични данни" са определени в член 4 от ОРЗД като: (1) ""лични данни" означава всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице ("субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.
  3. Териториалният обхват на ОРЗД е определен в член 3, както следва:
    1. "Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не.

    2. Настоящият регламент се прилага за обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато дейностите по обработването са свързани с

      (а) предлагането на стоки или услуги, независимо дали се изисква плащане от субекта на данните, на такива субекти на данни в Съюза; или

      (б) наблюдението на тяхното поведение, доколкото поведението им се осъществява в рамките на Съюза.

    3. Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, но на място, където се прилага правото на държава членка по силата на международното публично право.
  4. Вж. определението за "обработващ лични данни" в член 4 от ОРЗД.
  5. Чл. 83, ал. 4, ОРЗД.
  6. 'Largest fine under GDPR levied against Google' (Simmons + Simmons, 22 януари 2019 г.), вж. www. simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, 'British Airways fined £20m over data breach' (BBC, 16 октомври 2020 г.), вж. www.bbc.com/news/technology-54568784.
  7. 'Съвместна работна група на ICCA-IBA за защита на данните в международния арбитраж' (ICCA), вж. www. arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, достъпно на 18 август 2021 г.
  8. Пътна карта на ICCA-IBA за защита на данните в международния арбитраж" (ICCA, февруари 2020 г.), вж. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, посетен на 18 август 2021 г.
  9. Пак там, 1.
  10. Дело № 2018-54 на СПС.
  11. ICCA и Нюйоркската адвокатска колегия и Международният институт за предотвратяване и разрешаване на конфликти, "Протокол на ICCA-NYC Bar-CPR относно киберсигурността в международния арбитраж (издание от 2020 г.)", вж. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, достъпно на 18 август 2021 г.
  12. 'Насоки за киберсигурност' (IBA, октомври 2018 г.), вж. www.ibanet.org/LPRU/Cybersecurity, достъпно на 1 декември 2020 г.
  13. 'ICC Guidance Note on Possible Measures Aim' (Международна търговска камара, 9 април 2020 г.), достъпно на 18 август 2021 г.
  14. Пътна карта, раздел Б.
  15. Пак там.
  16. Чл. 4, ОРЗД.
  17. Пак там.
  18. Член 4, ОРЗД.
  19. Пак там, член 3, параграф 1.
  20. Пътна карта, 7.
  21. Чл. 4, ОРЗД.
  22. Пътната карта определя "участниците в арбитражния процес" като "включващи страните, техните правни консултанти, арбитрите и арбитражните институции (само)". Вж. Пътна карта (№ 3), 2.
  23. Член 4, ОРЗД.
  24. Вж. решение от 29 юли 2019 г., Fashion ID GmbH & Co KG срещу Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, точки 74, 85. Вж. също Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; Решение от 10 юли 2018 г., Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Пътна карта, 11
  26. Пак там, 12.
  27. Членове 5 и 12-22, ОРЗД; Пътна карта, 14-15.
  28. Например съгласно ОРЗД обработването на лични данни в контекста на международен арбитраж е законосъобразно, когато е необходимо за целите на законните интереси на администратора на данни - при спазване на ограниченията, основани на интересите и основните права на субекта на данните - и чувствителни данни могат да бъдат обработвани съгласно дерогацията за правни претенции (член 9, параграф 2, буква е) в контекста на арбитраж.
  29. Пътна карта, 19.
  30. Пак там, 20-21.
  31. Пак там, 30-31.
  32. Пак там, 32.
  33. Пак там, 33-36.
  34. Пак там, 37-39.
  35. Пак там, 37.
  36. Пак там, 39.
  37. Пак там, 40-41.
  38. Пак там, 42.
  39. Пак там, 43.
  40. Член 5, параграф 1, буква д) от ОРЗД.
  41. Пътна карта, 44.
  42. Емили Хей, "Невидимата ръка на GDPR в международния договорен арбитраж: (Kluwer Arbitration Blog, 29 август 2019 г.), вж. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, достъпно на 18 август 2021 г.
  43. Комисията на ЕС счита, че страната осигурява адекватна защита на данните.
  44. В случай на международен арбитраж това най-вероятно ще бъде стандартна договорна клауза.
  45. Дерогацията по отношение на правните претенции, която позволява предаването на данни, когато "е необходимо за установяването, упражняването или защитата на правни претенции", е най-приложима в арбитражния контекст.
  46. Поради високия си праг и изискването за уведомяване, позоваването на убедителни законни интереси няма голямо практическо значение. Вж. на ЕНОЗД, "Насоки 2/2018 относно дерогациите от член 49 съгласно Регламент 2016/679", 6 февруари 2018 г. (Насоки за предаване на данни).
  47. Пътна карта, 8, 13.
  48. Емили Хей, "Невидимата ръка на ОРЗД в международния договорен арбитраж" (The Invisible Arm of GDPR in International Treaty Arbitration): (Kluwer Arbitration Blog, 29 август 2019 г.), вж. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [посетен на 18 август 2021 г.].
  49. Дело № 2018-54 на СПС.
  50. Пак там, Съобщение на трибунала до страните (Perm Ct Arb, 2019 г.).
  51. Пътна карта, 37.
  52. ICCA и Нюйоркската адвокатска колегия и Международният институт за предотвратяване и разрешаване на конфликти, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), вж. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, посетен на 18 август 2021 г.
  53. 'Насоки за киберсигурност' (IBA, октомври 2018 г.), вж. www. ibanet.org/LPRU/Cybersecurity, достъпно на 1 декември 2020 г.
  54. Andreas Respondek, Tasha Lim, 'Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?' (Kluwer Arbitration Blog, 18 юли 2020 г.), вж. arbitrationblog. kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, достъпно на 18 август 2021 г.
  55. 'ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic' (ICC, 9 април 2020 г.), достъпно на 18 август 2021 г.
  56. "Финансиране от трети страни в международния арбитраж: (ICCA, май 2018 г.), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, достъпно на 18 август 2018 г.
  57. Пътна карта, 2.
  58. Пак там, 23-25.
  59. Член 4, параграф 2 от ОРЗД, вж. точка 1 по-горе.
  60. Член 6, параграф 1, буква е), ОРЗД.
  61. Allan J Arffa и други, "GDPR Issues in International Arbitration" (Lexology, 10 август 2020 г.), вж. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, достъпно на 18 август 2021 г.
  62. Пътна карта, приложение 5.
  63. Allan J Arffa and others, "GDPR Issues in International Arbitration" (Lexology, 10 август 2020 г.), вж. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, достъпно на 18 август 2021 г.
  64. Пътна карта 40-41.
  65. Вж: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020 г.) 55 Tex Int'l L J 395.
  66. Пак там; Richmark Corp срещу Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 февруари 2020 г.), вж. www. bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, достъпно на 18 август 2021 г.
  68. David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020 г.) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2-ро издание, Kluwer Law International 2014 г.), 2335.
  70. Пак там. Born се позовава на следните съдебни решения, за да подкрепи този аргумент: Решение от 22 януари 2004 г., Société Nat'l Cie for Fishing & Marketing "Nafimco" срещу Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "решението на арбитражния съд да разпореди разкриване на доказателства е в рамките на неговата процесуална преценка и не може да бъде преразглеждано от съдилищата"; Karaha Bodas Co срещу Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), потвърдено, 364 F 3d 274 (5th Cir 2004): Исканията за разкриване на информация са "в рамките на разумното упражняване на дискреционната власт на Съда на публичната служба".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (Национален правен преглед, 4 декември 2019 г.), вж. www. natlawreview.com/article/gdpr-and-international-arbitration-crossroads, достъпно на 18 август 2021 г.
  72. Нюйоркска конвенция, член V, параграф 2: "Признаването и изпълнението на арбитражно решение може да бъде отказано и ако компетентният орган в държавата, в която се иска признаване и изпълнение, установи, че ... б) признаването или изпълнението на решението би било в противоречие с обществения ред на тази държава.
  73. Генерален секретар на ООН, Аналитичен коментар на проекта за текст на Закон-модел за международен търговски арбитраж, A/CN.9/264 (1985 г.), чл. 34, ал. 6.
  74. Закон-модел на UNCITRAL за международния търговски арбитраж, чл. 34, ал. 2: "Арбитражното решение може да бъде отменено от съда, посочен в член 6, само ако... б) съдът установи, че... ii) решението противоречи на обществения ред на тази държава".
  75. Решение от 1 юни 1999 г., Eco Swiss China Time Ltd срещу Benetton International NV C-126/97 [1999] ECR I-03055, параграфи. 39 и 41. За подробно обсъждане на обществената политика на ЕС вж: Sacha Prechal и Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka и Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. За по-подробно обсъждане на тези и други въпроси вж: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" в José R Mata Dona и Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021 г.), параграфи 5.63 и следващи; Cervenka and Schwarz, вж. № 76 по-горе, 84-85.
  79. 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes' (ICCA, февруари 2020 г.), вж. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, достъпно на 18 август 2021 г.

Тази статия е публикувана за първи път в Dispute Resolution International, том 15, № 2, октомври 2021 г., и се възпроизвежда с любезното съгласие на Международната асоциация на юристите, Лондон, Обединеното кралство. © Международна асоциация на юристите.

Назад към обзор