Úvod

V posledních letech se objevily otázky týkající se praktických důsledků ochrany osobních údajů a kybernetické bezpečnosti na skutečný průběh mezinárodních arbitráží - zejména pokud vezmeme v úvahu neustálé tempo technologických změn.

Obecné nařízení o ochraně osobních údajů (GDPR)[i] v květnu 2020 oslavil své druhé narozeniny. Cílem rámce ochrany osobních údajů GDPR je zajistit volný pohyb osobních údajů "identifikovaných nebo identifikovatelných fyzických osob".[ii] Platí v rámci Evropské unie a má exteritoriální působnost, která může přesahovat i mimo EU;[iii] GDPR se může týkat nejen všech fyzických a právnických osob, ale také orgánů veřejné moci, agentur a dalších subjektů - případně i mezinárodních organizací -, na které se vztahují povinnosti v oblasti ochrany osobních údajů.[iv] Sankce podle GDPR mohou činit 4 % celosvětového ročního obratu subjektu, který porušil nařízení, za předchozí finanční rok nebo 20 milionů EUR, podle toho, která částka je vyšší.[v] Potřeba brát jeho uplatňování vážně již byla prokázána díky pokutám ve výši několika milionů eur, které byly uloženy v různých jurisdikcích.[vi]

Ačkoli je použití zákonů o ochraně osobních údajů na rozhodčí řízení stanoveno, způsob, jakým by měly být tyto zákony uplatňovány, stanoven není. Z tohoto důvodu Mezinárodní rada pro obchodní arbitráž (ICCA) a Mezinárodní advokátní komora (IBA) zřídily v únoru 2019 společnou pracovní skupinu pro ochranu údajů v mezinárodním rozhodčím řízení s cílem vypracovat příručku, která poskytne praktické pokyny k ochraně osobních údajů v mezinárodní arbitráži. Pracovní skupina zveřejnila konzultační návrh tohoto průvodce v březnu 2020.[vii] Tento komentář bude vycházet z tohoto návrhu plánu (dále jen "plán"),[viii] přičemž konečná revidovaná verze plánu by měla být zveřejněna v září 2021. Ačkoli lhůta pro připomínky k návrhu konzultace v době psaní tohoto článku již uplynula, předběžná verze plánu přesto ilustruje otázky, které GDPR v mezinárodních arbitrážích vyvolává. Bude proto sloužit jako základ pro diskusi.

Většina zákonů o ochraně osobních údajů je v rozhodčím řízení závazná, což znamená, že nařizují:

• jaké osobní údaje mohou být zpracovávány;
• kde;
• jakými prostředky;
• s jakými opatřeními pro zabezpečení informací a
• na jak dlouho.[ix]

Neřeší však, jak by se tyto závazné povinnosti měly dodržovat v rozhodčím řízení. Vzhledem k absenci konkrétních pokynů regulačních orgánů má tento plán pomoci odborníkům na rozhodčí řízení identifikovat a pochopit povinnosti v oblasti ochrany osobních údajů a soukromí, které se na ně mohou vztahovat v souvislosti s mezinárodním rozhodčím řízením. Kromě toho zůstává rozsah ochrany GDPR v mezinárodním rozhodčím řízení relevantní, především to, zda se právní předpisy GDPR vztahují na rozhodčí řízení se sídlem mimo EU. Pokud se zjistí, že se GDPR vztahuje na rozhodčí řízení, má to různé další důsledky: zaprvé, zda je zakázáno zpracování osobních údajů, a zadruhé, zda existují omezení pro předávání osobních údajů mimo EU. A konečně, vzhledem k rostoucí četnosti kybernetických útoků by důsledky takového útoku na rozhodčí řízení mohly přinést značné škody.

Cílem tohoto článku je poskytnout komentář k plánu a prozkoumat praktická opatření, která by měla být zohledněna v souvislosti s povinnostmi v oblasti ochrany osobních údajů v mezinárodních rozhodčích řízeních. Plán označuje za slibný, i když neúplný nástroj, který doplňuje různé dosavadní pokusy o harmonizaci mezinárodního rozhodčího řízení v oblasti soft law, zejména nástroje IBA a Komise OSN pro mezinárodní obchodní právo (UNCITRAL).

Nejprve bude podán stručný přehled plánu, který obsahuje odkaz na zásady GDPR. Nejedná se o vyčerpávající přehled, ale spíše o představení hlavních bodů plánu, aby čtenář získal kontext pro následnou diskusi. Za druhé bude uveden komentář, který se dotkne šesti relevantních otázek:

• použitelnost GDPR na rozhodčí řízení konaná mimo EU;
• GDPR v kontextu arbitráží v rámci Severoamerické dohody o volném obchodu (NAFTA), jak je uvedeno ve věci Tennant Energy, LLC v. Government of Canada;[x]
• problematika videokonferencí, jejíž význam v průběhu pandemie Covid-19 značně vzrostl, včetně odkazů na "Protokol ICCA-NYC Bar-CPR o kybernetické bezpečnosti v mezinárodní arbitráži" (Protokol o kybernetické bezpečnosti).[xi] Pokyny pro kybernetickou bezpečnost IBA[xii] a Pokyny ICC k možným opatřením zaměřeným na zmírnění dopadů pandemie COVID-19;[xiii]
• "třetích stran" a způsob, jakým jsou v plánu zohledněny;
• zneužívání GDPR, zejména jako štítu pro nezveřejňování informací, a
• možnost využití nedodržení požadavků na ochranu osobních údajů jako cesty ke zrušení nebo odmítnutí uznání a výkonu rozhodčího nálezu.

Závěrečné myšlenky budou uvedeny v závěru.

Plán cesty

Na fyzické a právnické osoby se vztahují povinnosti chránit osobní údaje subjektů údajů. Na samotné rozhodčí řízení se povinnosti ochrany osobních údajů nevztahují. Pokud však povinnostem ochrany osobních údajů podléhá pouze jeden účastník rozhodčího řízení, může být rozhodčí řízení ovlivněno jako celek. O tom, zda zpracování osobních údajů spadá do příslušných zákonů, věcné a jurisdikční působnosti, rozhoduje, zda se použijí zákony o ochraně osobních údajů.[xiv]

Moderní zákony o ochraně osobních údajů se uplatňují vždy, když jsou osobní údaje subjektu údajů zpracovávány při činnostech spadajících do působnosti příslušných zákonů o ochraně osobních údajů.[xv] Osobní údaje zahrnují "veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby".[xvi] Během typického rozhodčího řízení dochází k výměně značného množství informací týkajících se mimo jiné stran, jejich právních zástupců, rozhodčího soudu a třetích stran. Proto je pravděpodobné, že budou spadat pod definici "osobních údajů". "Subjekty údajů" se týkají výše uvedených osob, které jsou identifikovány nebo identifikovatelné.[xvii] Zpracování zahrnuje aktivní i pasivní operace, tedy použití, šíření a vymazání osobních údajů, jakož i přijímání, uspořádání a uchovávání osobních údajů.[xviii] Oblast působnosti zahrnuje činnosti, kdykoli jsou osobní údaje zpracovávány v souvislosti s činností provozovny správce nebo zpracovatele v EU.[xix] a extrateritoriálně, například při předávání osobních údajů mimo EU subjektům nebo osobám, které již z jiných důvodů nepodléhají GDPR.[xx]

Rozhodci budou kvalifikováni jako správci údajů, což znamená, že budou odpovědní za dodržování zákonů o ochraně osobních údajů. Vycházejí však z definice "správce údajů";[xxi] většina účastníků rozhodčího řízení[xxii] se za ně pravděpodobně považují, včetně právního zástupce, stran a orgánu. Správci údajů mohou pověřit zpracováním údajů zpracovatele údajů,[xxiii] kteří budou pod jejich kontrolou a budou vyžadovat smlouvy o zpracování údajů za podmínek stanovených platnými právními předpisy. Sekretářky, přepisovatelé, překladatelé a další osoby tak budou pravděpodobně považováni za zpracovatele údajů. Dále je zde otázka společných správců, kteří společně určují účely a prostředky zpracování údajů. Společné správcovství je vykládáno široce, ale odpovědnost společného správce je omezena pouze na zpracování, které správce určil, jeho účel a prostředky, nikoli na celkové zpracování.[xxiv]

V mezinárodních arbitrážích jsou omezení předávání osobních údajů mezi jurisdikcemi zřejmým způsobem, jakým se uplatňují zákony na ochranu osobních údajů. Zázemí různých účastníků rozhodčího řízení bude určovat uplatňování různých režimů ochrany osobních údajů. Moderní zákony o ochraně osobních údajů omezují předávání osobních údajů do třetích zemí, aby se zajistilo, že právní povinnosti nebudou obcházeny předáváním osobních údajů do jurisdikcí s nižšími standardy ochrany osobních údajů.[xxv] GDPR povoluje předávání osobních údajů do třetích zemí, pokud nastane jedna z následujících situací:

• Komise EU uznala, že země poskytuje odpovídající ochranu osobních údajů;
• je zavedeno jedno z výslovně uvedených ochranných opatření;
• výjimka umožňující předávání údajů, pokud je to nezbytné pro určení, výkon nebo obhajobu právních nároků, nebo
• závažný oprávněný zájem strany.[xxvi]

Tato pravidla se vztahují na účastníky rozhodčího řízení, a nikoli na rozhodčí řízení jako celek, a ukládají tak každému účastníkovi rozhodčího řízení, aby zvážil, jaká omezení přenosu osobních údajů se na něj vztahují.

Zásady ochrany osobních údajů platné v rozhodčím řízení zahrnují spravedlivé a zákonné zpracování, přiměřenost, minimalizaci údajů, omezení účelu, práva subjektu údajů, přesnost, zabezpečení údajů, transparentnost a odpovědnost.[xxvii]

Některé z těchto zásad vyžadují další komentář. Spravedlivé a zákonné zpracování znamená, že osobní údaje by měly být zpracovávány pouze způsobem, který by subjekty údajů rozumně očekávaly, a že pro zpracování musí existovat právní základ. Při uplatňování zásady spravedlivého zpracování by si účastník řízení a jeho právní zástupce měli položit otázku, zda by fyzické osoby v kontextu všech skutečností očekávaly, že jejich osobní údaje budou zpracovávány takovým způsobem, zda to pro ně bude mít nepříznivé důsledky a zda jsou tyto důsledky oprávněné. Tato zásada nebude bránit tomu, aby osobní údaje nalezené v obchodních e-mailech byly připuštěny jako důkaz.

Pojem zákonné zpracování zahrnuje právní základ, který se odvíjí od skutečnosti a je specifický pro daný případ. Spíše než na souhlas je třeba se odvolávat na konkrétní právní základy v GDPR.[xxviii]

Proporcionalita vyžaduje zvážení povahy, rozsahu, kontextu a účelů zpracování ve vztahu k rizikům, která pro subjekt údajů představují.[xxix] Minimalizace údajů vyžaduje, aby účastníci rozhodčího řízení omezili zpracování na osobní údaje, které jsou přiměřené, relevantní a omezené na nezbytnou míru.[xxx] Transparentnost vyžaduje, aby subjekty údajů byly informovány o zpracování a účelu zpracování osobních údajů buď prostřednictvím obecných oznámení, zvláštních oznámení, nebo obojího.[xxxi] Odpovědnost se týká osobní odpovědnosti za dodržování ochrany údajů, což znamená, že účastníci rozhodčího řízení by měli zdokumentovat všechna opatření a rozhodnutí přijatá v oblasti ochrany osobních údajů, aby prokázali jejich dodržování.[xxxii]

Dodržování ochrany osobních údajů ovlivňuje jednotlivé kroky mezinárodního rozhodčího řízení, a to nejen během samotného rozhodčího řízení, ale i během příprav. Účastníci rozhodčího řízení by měli od počátku zvážit, které právní předpisy o ochraně osobních údajů se vztahují na ně samotné a na ostatní účastníky rozhodčího řízení a kteří účastníci rozhodčího řízení budou zpracovávat osobní údaje jako správci, zpracovatelé nebo společní správci. Měly by být rovněž zváženy předpisy o předávání osobních údajů třetích zemí a dohody o zpracování osobních údajů týkající se poskytovatelů služeb třetích stran. Během procesu shromažďování a kontroly dokumentů potřebují účastníci a jejich právní poradci zákonný základ pro činnosti zpracování a předávání osobních údajů ze třetích zemí.[xxxiii]

Žádost o rozhodčí řízení i následná podání budou obsahovat osobní údaje, které spadají do oblasti zpracování. Pokud je rozhodčí instituce vázána platnými zákony o ochraně osobních údajů, musí zvážit případné povinnosti v oblasti ochrany osobních údajů, které se uplatňují v každém procesním kroku. Pokud se na rozhodčí instituci vztahuje nařízení GDPR, stane se obvykle správcem osobních údajů. V zájmu dodržení článků 13 a 14 GDPR by taková instituce měla do svého oznámení o ochraně osobních údajů zahrnout informace týkající se bezpečnostních opatření, výkonu práv subjektů údajů, vedení záznamů a zásad porušování a uchovávání údajů.[xxxiv] Mezinárodní organizace spravující arbitráže mezi investorem a státem však mohou být z působnosti zákonů o ochraně osobních údajů vyloučeny z důvodu výsad a imunit v zakládajícím státě nebo v dohodě s hostitelskou zemí. Je zde tedy třeba provést samostatné úvahy, mimo jiné o tom, zda je organizace vázána zákony o ochraně osobních údajů a zda - a v jakém rozsahu - by se na účastníky rozhodčího řízení vztahovaly výsady a imunity.[xxxv]

Při jmenování rozhodců do rozhodčího soudu dochází zpravidla k výměně značného množství osobních údajů potenciálních rozhodců. Účastníci rozhodčího řízení by měli do svých právních oznámení zahrnout právní základ pro zpracování těchto osobních údajů a výslovně informovat rozhodce, o jejichž jmenování se uvažuje, o zpracování jejich osobních údajů, zejména v případě předávání osobních údajů do třetích zemí.[xxxvi]

Po zahájení rozhodčího řízení je třeba včas rozdělit odpovědnosti za dodržování ochrany osobních údajů, aby se minimalizovala rizika. Ochrana osobních údajů by měla být zařazena na program první procesní konference a účastníci rozhodčího řízení by se měli pokusit co nejdříve dohodnout na způsobu řešení souladu s ochranou osobních údajů. Strany, jejich právní zástupci a rozhodci by měli zvážit uzavření protokolu o ochraně osobních údajů, aby mohli účinně řídit otázky dodržování předpisů. Pokud to není možné, je alternativní možností, aby je rozhodčí soud zahrnul do procesního řádu číslo jedna.[xxxvii]

V procesu vytváření a zpřístupňování dokumentů je obzvláště důležitá zásada minimalizace osobních údajů. Podle GDPR by to pravděpodobně vyžadovalo:

• omezení zveřejňovaných osobních údajů na ty, které jsou relevantní a neduplicitní;
• identifikace osobních údajů obsažených v materiálu, na který reaguje, a
• redigování nebo pseudonymizace nepotřebných osobních údajů.

Tyto otázky by měly být rovněž zváženy na počátku řízení, nejlépe na první procesní konferenci nebo před ní.[xxxviii]

Pokud jde o vydávání rozhodčích nálezů, rozhodci a instituce by měli zvážit, na jakém základě a zda je nutné uvádět osobní údaje v rozhodčích nálezech. Pokud je rozhodčí řízení důvěrné, existuje přesto riziko, že se rozhodčí nález stane po výkonu veřejným. I když jsou osobní údaje redigovány, obvykle zůstávají osobními údaji, protože subjekt údajů je identifikovatelný ze zbytku nálezu nebo souvisejících materiálů.[xxxix]

Uchovávání a vymazávání údajů se považuje za zpracování podle GDPR, které stanoví, že osobní údaje se "uchovávají ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou osobní údaje zpracovávány".[xl] Správci musí zvážit, zdokumentovat a být schopni zdůvodnit délku skladování. Účastníci rozhodování musí zvážit, jaká doba uchovávání údajů je přiměřená, a měli by zaujmout přiměřený přístup, aby vyvážili své potřeby s dopadem uchovávání údajů na subjekt.[xli]

Použitelnost GDPR na rozhodčí řízení konaná mimo EU

Územní působnost obecného nařízení o ochraně osobních údajů je poměrně široká. Praktici by si měli být vědomi jeho uplatňování bez ohledu na to, zda se nacházejí nebo zda rozhodčí řízení probíhá v EU. Obecné nařízení o ochraně osobních údajů se vztahuje na zpracování osobních údajů správci nebo zpracovateli usazenými v EU bez ohledu na to, zda samotné zpracování probíhá v EU (čl. 3 odst. 1). Pokud jde navíc o nabízení zboží nebo služeb občanům EU nebo o monitorování chování, které probíhá v EU, vztahuje se GDPR na zpracování osobních údajů správcem nebo zpracovatelem neusazeným v EU (čl. 3 odst. 2).

Při aplikaci na rozhodčí řízení ukládá GDPR povinnosti správcům a zpracovatelům údajů - rozhodcům, poradcům, stranám a institucím -, které spadají do jeho věcné a územní působnosti, nikoli přímo rozhodčímu řízení. I když se jedná pouze o jednoho účastníka rozhodčího řízení, který má vazbu na EU, bude povinen zpracovávat osobní údaje v souladu s GDPR. Mohou vzniknout důsledky pro řízení jako celek.[xlii]

V kontextu mezinárodní arbitráže, kde je předávání rozhodčích materiálů obsahujících osobní údaje běžné, jsou pravděpodobně nejpozoruhodnější omezení týkající se předávání osobních údajů do "třetích zemí" mimo Evropský hospodářský prostor (EHP). V takovém případě je pro povolení předávání osobních údajů vyžadován jeden ze čtyř zákonných základů. Za prvé, předávání do třetí země je povoleno, pokud se na tuto třetí zemi vztahuje rozhodnutí o odpovídající ochraně (čl. 45 odst. 1).[xliii] Pokud tomu tak není, měla by být zavedena jedna z vhodných záruk (čl. 46 odst. 1), je-li to možné.[xliv] Pokud neexistuje rozhodnutí o přiměřenosti a vhodná ochrana není proveditelná, lze se odvolat na zvláštní odchylku (čl. 49 odst. 1).[xlv] Konečně, pokud výše uvedené neexistují, může se strana odvolat na naléhavý oprávněný zájem (čl. 49 odst. 1).[xlvi] jako zákonný základ pro předání osobních údajů třetí straně.

Plán poměrně obsáhle uvádí nezbytné úvahy, které musí účastníci rozhodčího řízení učinit. Několikrát zdůrazňuje, že jsou to účastníci rozhodčího řízení, a nikoli rozhodčí řízení jako takové, na které se vztahují zásady ochrany osobních údajů a pravidla pro předávání údajů.[xlvii] V souladu s tím se předpokládá, že rozhodce z EU, který se účastní rozhodčího řízení mimo EU, na které se jinak nevztahuje GDPR, by přesto musel splňovat požadavky GDPR na zpracování a předávání osobních údajů. To je ostatně v obchodních rozhodčích řízeních obecně přijímáno,[xlviii] ale situace není tak jasná, pokud jde o arbitráž mezi investorem a státem.

Případ Tennant Energy, LLC proti kanadské vládě

V roce 2019 v arbitráži podle kapitoly 11 dohody NAFTA Tennant Energy, LLC proti kanadské vládě (Tennant),[xlix] Žalobce Tennant vznesl otázku, zda se na řízení vztahuje GDPR s ohledem na státní příslušnost a bydliště jednoho z členů tribunálu ve Spojeném království. Tribunál však vydal stranám pokyny, v nichž uvedl, že "rozhodčí řízení podle kapitoly 11 NAFTA, což je smlouva, jejíž smluvní stranou není Evropská unie ani její členské státy, zřejmě nespadá do věcné působnosti GDPR".[l]

Je důležité rozlišovat mezi smluvní a obchodní arbitráží, přičemž Tennant spadá do první kategorie. Plán se tímto rozlišením zabývá a uvádí, že mezinárodní organizace mohou být vyloučeny z působnosti zákonů o ochraně osobních údajů.[li] Na členy tribunálu v arbitráži Tennant se mohou vztahovat určité imunity vyplývající z dohody o sídle Stálého rozhodčího soudu (PCA) s Nizozemskem. Tribunál NAFTA se však nezabýval tím, zda by se na PCA jako na mezinárodní organizaci vztahovala pravidla o předávání podle GDPR nebo zda by členové tribunálu z této dohody odvozovali určité imunity.

The Tennant směr vyvolává více otázek než odpovědí, pokud jde o použitelnost GDPR na řízení NAFTA a obecněji na rozhodčí řízení na základě smlouvy, jejichž podrobná diskuse přesahuje rámec tohoto článku. Směr Tennant nicméně ve světle plánu ukazuje, že toto téma zůstává velmi nejisté. Je přinejmenším sporné, zda plán přináší účastníkům rozhodčího řízení, kteří se s takovou otázkou setkávají, nějaké vyjasnění, zejména s ohledem na to, že plán byl vydán až po Tennant bylo vydáno nařízení, které mu však nepřiznalo žádnou odměnu.

Problematika videokonferencí

Plán uznává důležitost zabezpečení osobních údajů. Avšak s ohledem na nedávné využívání dalších technologií, které usnadňují virtuální slyšení, a také práci z domova - k čemuž většinou přispívají současné okolnosti vynucené pandemií Covid-19 - má tato otázka další váhu. Protokol o kybernetické bezpečnosti[lii] a pokyny IBA pro kybernetickou bezpečnost.[liii] vnesly do této problematiky trochu světla.

Stejně jako plán i protokol o kybernetické bezpečnosti stanoví několik základních zásad. Platí zásada proporcionality, soud má pravomoc a volnost při určování zavedených bezpečnostních opatření a bezpečnost informací je otázkou, která by měla být projednána na první konferenci o řízení případu. Příloha A protokolu o kybernetické bezpečnosti obsahuje kontrolní seznam, který mohou strany rozhodčího řízení použít k zabezpečení řízení.

Po nedávné změně pracovních modelů a prostředí v důsledku pandemie Covid-19 by se těmto otázkám měla věnovat větší pozornost. Ve světě, který je pod tlakem hledání nových způsobů podnikání a přizpůsobování se době nejistoty, je jednou z otázek, kterým právní sektor čelí, otázka slyšení spojená s omezeními a potřebou sociálního odstupu. Obliba videokonferencí a jejich využívání v mezinárodních rozhodčích řízeních je proto něčím, čím by se plán měl zabývat, ale neučinil tak - nebo alespoň zatím ne.

Ačkoli mnozí diskutovali a poukazovali na problematiku videoposlechů, většina z nich se nezabývala tím, jak by na ně měly být aplikovány zákony na ochranu osobních údajů, a to nejen s ohledem na ochranu osobních údajů, ale také na bezpečnost, protože některé platformy byly předmětem bezpečnostních útoků.[liv]

Jak bylo uvedeno výše, je nezbytné pochopit různé role stran zapojených do rozhodčího řízení týkajícího se GDPR, konkrétně kdo jsou "správci údajů" a "zpracovatelé údajů". Pokud videokonferenční software zpracovává nějaké osobní údaje, například uživatelské jméno a e-mailovou adresu z používání služby stranou, bude považován za "zpracovatele údajů". To znamená, že musí dodržovat pravidla GDPR, pokud má některý z účastníků bydliště v EU. Vzhledem k tomu, že tribunál je "správcem údajů", bude pak jeho povinností zajistit takové dodržování.

Mezinárodní obchodní komora (ICC) vydala pokyn, který se týká[lv] který poskytuje stranám navrhované doložky pro protokoly o kybernetické bezpečnosti a virtuální slyšení. Jeho cílem je řešit bezpečnostní aspekt, ale nezabývá se aspektem ochrany osobních údajů. Plán by se měl zabývat možnostmi, jak by se ochrana osobních údajů vztahovala na slyšení prováděná virtuálně, a také tím, jak ji dodržovat. Nařízení GDPR sice specifikuje požadavky, které je třeba splnit v souvislosti s videokonferencemi, neposkytuje však návod, jakým způsobem jsou jeho požadavky přímo použitelné.

Ačkoli plán neposkytuje doporučení ohledně konkrétních poskytovatelů softwaru, mohl by sestavit a poskytnout odborníkům z praxe seznam nezbytných specifikací ideálního softwaru pro video slyšení, stejně jako v přílohách poskytuje kontrolní seznamy týkající se různých dalších záležitostí.

Jakou roli hrají externí sponzoři?

Financující třetí stranou se rozumí jakákoli osoba, která není účastníkem rozhodčího řízení a která uzavře dohodu o financování všech nebo části nákladů řízení výměnou za částku, která je zcela nebo částečně závislá na výsledku případu.[lvi] Financující třetí strany mají přístup k různým osobním údajům v rozhodčích řízeních, která financují nebo jejichž financování zvažují. Ačkoli je plán výslovně určen pouze účastníkům rozhodčího řízení, uvádí se v něm, že pokyny jsou relevantní i pro poskytovatele služeb, kterých se požadavky na ochranu osobních údajů rovněž týkají.[lvii]

V plánu jsou mezi poskytovateli služeb uvedeni "odborníci na elektronické vyhledávání, odborníci na informační technologie, soudní zapisovatelé, překladatelské služby atd.".[lviii] ale třetí strany nejsou výslovně zmíněny. Podle GDPR je shromažďování a uchovávání osobních údajů zahrnuto do zpracování. Pokud by tedy třetí strany - poskytovatelé finančních prostředků shromažďovaly osobní údaje od jiných osob, vztahovaly by se na ně také zákony o osobních údajích.[lix]

GDPR umožňuje zpracovávat osobní údaje, pokud je "zpracování nezbytné pro účely oprávněných zájmů správce nebo třetí strany,".[lx] který mohou účastníci rozhodčího řízení případně uvádět jako použitelný právní základ pro zpracování příslušných osobních údajů. K tomuto tématu existují jen omezené pokyny.[lxi] V plánu se uvádí:

"Prvním krokem při posuzování oprávněného zájmu je identifikace oprávněného zájmu - jaký je účel zpracování osobních údajů a proč je pro vás jako správce důležitý? V souvislosti s rozhodčím řízením může oprávněný zájem zahrnovat výkon spravedlnosti, zajištění dodržování práv stran a rychlé a spravedlivé řešení nároků podle platných pravidel rozhodčího řízení a také mnoho dalších zájmů.[lxii]

Zahrnutí "mnoha dalších zájmů" by mohlo zahrnovat i oprávněný peněžní zájem třetích stran, které financují. Pokud by tomu tak bylo, byli by pak zjevně povinni uzavřít se stranami rozhodčího řízení dohody o zpracování údajů a byli by zahrnuti do oblasti působnosti předpisů a požadavků na ochranu osobních údajů. Zajímavé je, že plán opomíjí výslovně upřesnit, jak do této situace zapadají třetí strany poskytující finanční prostředky, zejména s ohledem na nárůst jejich zahrnutí do rozhodčího řízení.

Štít pro nezveřejňování informací

Povinnosti v oblasti ochrany osobních údajů vedou k možnosti zneužití. Rozhodující strany mohou GDPR použít jako štít ve zlé víře, aby zabránily zveřejnění informací relevantních pro řízení nebo požadovaných protistranou. Strana může například vznést námitku proti žádosti o zpřístupnění informací s tvrzením, že dokumenty obsahují osobní údaje, které nesouvisejí se sporem, nebo že redigování osobních údajů by bylo nepřiměřeně zatěžující.[lxiii]

Plán se zabývá možností zneužití. Navrhuje co nejdříve upozornit na povinnosti týkající se ochrany osobních údajů a objasnit je, aby se snížilo riziko, že budou mít dopad na řízení. Účastníci by měli zvážit uzavření "protokolu o ochraně údajů" - dohody o tom, jak bude ochrana osobních údajů uplatňována v konkrétním kontextu. Pokud není možné dosáhnout podepsání protokolu o ochraně údajů, měly by být tyto otázky řešeny v procesním předpisu číslo jedna.[lxiv]

Pro srovnání se můžeme podívat na dodržování GDPR při zjišťování v soudních sporech v USA. Americké federální soudy používají vyvažovací testy, aby rozhodly, zda nařídit zpřístupnění nebo splnění předvolání nebo příkazů ke zjištění, které jsou potenciálně v rozporu se zahraničními zákony, včetně zákonů o ochraně osobních údajů.[lxv] Neúplný seznam faktorů, které zkoumají federální soudy USA, je následující:

• význam požadovaných dokumentů nebo jiných informací pro soudní řízení;
• stupeň specifičnosti žádosti;
• zda informace pocházejí z USA;
• dostupnost alternativních způsobů zajištění informací a
• rozsah, v jakém by nedodržení požadavků ohrozilo důležité zájmy USA.[lxvi]

Federální soudy nejčastěji vyžadují zveřejnění i přes možné porušení zahraničních zákonů o ochraně osobních údajů.[lxvii]

Rozhodci se při rozhodování o tom, zda nařídit straně zveřejnění, potýkají s jinými hledisky než soudy. Je správné, jak se uvádí v literatuře,[lxviii] že soudy si musí být vědomy konkurujících si práv a povinností s ohledem na hrozbu zrušení nebo odmítnutí výkonu podle Úmluvy o uznání a výkonu cizích rozhodčích nálezů z roku 1958 (Newyorská úmluva). Tento názor však nezohledňuje skutečnost, že příkazy k poskytnutí informací podléhají minimálnímu přezkumu ze strany státních soudů vzhledem k zásadě nevměšování soudů.[lxix] Příkladů, kdy státní soudy upustily od přezkumu příkazů k poskytnutí informací, je mnoho.[lxx]

Vzhledem k diskreční pravomoci, která je soudům v procesních otázkách svěřena, je nepravděpodobné, že by hrozba zrušení nebo odmítnutí výkonu rozhodnutí byla hlavním hlediskem. Nevyhnutelnost, že se strany pokusí zneužít povinnosti vyplývající z nařízení GDPR k získání potenciální procesní výhody, postaví tribunály do obtížné situace, kdy budou muset na jedné straně vyvažovat zájmy subjektu údajů a na druhé straně zachovat důkladné dokazování.[lxxi] Vyjasnění povinností v oblasti ochrany osobních údajů na začátku řízení - nejlépe v podepsaném protokolu o ochraně údajů - v souladu s doporučeními plánu se jeví jako nezbytný krok ke kontrole tohoto chování.

Nedodržení požadavků na ochranu osobních údajů jako cesta ke zrušení a odmítnutí uznání a výkonu rozhodnutí

Plán se nezabývá tím, zda lze nedodržení požadavků na ochranu osobních údajů použít ke zrušení rozhodčího nálezu nebo k odmítnutí jeho uznání a výkonu. Strany mají velmi omezené možnosti odvolání proti rozhodčímu nálezu. Nicméně neúspěšná strana může chtít zpochybnit jeho výsledek a použít jeden z hlavních společných důvodů pro napadení rozhodčího nálezu nebo pro zabránění jeho uznání nebo výkonu.

Newyorská úmluva má v současné době 168 smluvních států, což z ní činí hlavní právní základ pro uznávání a výkon zahraničních rozhodčích nálezů v mezinárodní obchodní arbitráži. Úmluva v článku V stanoví omezené důvody, na jejichž základě lze uznání a výkon rozhodčího nálezu odmítnout. Pro současné účely je nejvýznamnější čl. V odst. 2 písm. b), který uznává možnost příslušného orgánu signatářského státu odmítnout uznání nebo výkon rozhodčího nálezu, který porušuje veřejný pořádek.[lxxii]

Důvody, na jejichž základě může být rozhodčí nález zrušen, se v různých jurisdikcích liší. Vzorový zákon UNCITRAL o mezinárodní obchodní arbitráži, který byl široce přijat, uvádí seznam důvodů pro zrušení v čl. 34 odst. 2. Tento seznam byl vytvořen podle vzoru článku V Newyorské úmluvy.[lxxiii] Článek 34 odst. 2 písm. b) bod ii) stanoví, že rozhodčí nález může být zrušen soudem, pokud je v rozporu s veřejným pořádkem státu.[lxxiv]

Evropský soudní dvůr (ESD) ve věci Eco Swiss v. Benetton rozhodl, že nadřazená kogentní ustanovení práva EU mohou představovat základní pravidla veřejného pořádku, jejichž porušení může být důvodem pro zrušení rozhodčího nálezu založeného na takovém důvodu ve vnitrostátním právu.[lxxv] To, zda lze rozhodčí nález zrušit nebo jeho uznání či výkon odmítnout z důvodu nedodržení požadavků na ochranu osobních údajů, bude tedy záviset na tom, zda je třeba pravidla GDPR považovat za kogentní ustanovení, jejichž porušení je v rozporu s vnitrostátním veřejným pořádkem.[lxxvi]

Článek 9 odst. 1 nařízení Řím I definuje kogentní ustanovení jako ustanovení, "jejichž dodržování považuje země za rozhodující pro ochranu svých veřejných zájmů... v takovém rozsahu, že jsou použitelná na všechny situace, které spadají do jejich působnosti, bez ohledu na jinak použitelné právo". Jak již dříve uznali Cervenka a Schwarz, většinu pravidel GDPR lze pravděpodobně považovat za nadřazená závazná ustanovení podle práva EU. Jejich porušení tak může být považováno za porušení veřejného pořádku.[lxxvii]

Možnost, že nedodržení požadavků na ochranu osobních údajů může vést ke zrušení nebo neuznání a nevykonání rozhodčího nálezu, vyvolává různé obavy. Zaprvé by mělo být přesně vymezeno, které povinnosti v oblasti ochrany osobních údajů by představovaly nadřazená závazná ustanovení, neboť ne všechna porušení mají stejnou váhu. Nakonec bude pravděpodobně vyzván ESD, aby poskytl další objasnění. Zadruhé by se mělo zohlednit i možné zneužití možnosti napadnout nebo zpochybnit výkon rozhodčího nálezu na základě porušení GDPR, aby se zabránilo tomu, že strany úmyslně poruší pravidla ochrany osobních údajů, aby měly později možnost podat proti rozhodčímu nálezu opravný prostředek. V neposlední řadě by mělo být vymezeno, zda budou předpisy o ochraně osobních údajů součástí procesního nebo hmotného práva a jakým způsobem.[lxxviii]

Ačkoli je třeba ještě mnohé definovat, je třeba se zabývat důsledky nedodržení požadavků na ochranu osobních údajů na zrušení, jakož i na uznání a výkon rozhodčích nálezů. Je nanejvýš zajímavé, že o tom v plánu není žádná zmínka.

Závěr

Plán má pomoci odborníkům na rozhodčí řízení identifikovat a pochopit povinnosti v oblasti ochrany osobních údajů a soukromí, které se na ně mohou vztahovat v kontextu mezinárodní arbitráže. Jak však bylo uvedeno výše, stále se nezabývá některými konkrétními otázkami, které jsou v současné době relevantní a naléhavé. Těchto šest otázek, které byly identifikovány a rozpracovány v tomto dokumentu, je následujících:

• použitelnost GDPR na rozhodčí řízení konaná mimo EU;
• GDPR v kontextu arbitráží NAFTA;
• otázka virtuálních rozhodčích řízení;
• poskytovatelé finančních prostředků třetích stran a jejich místo v plánu;
• potenciální zneužití GDPR a
• případný nesoulad s GDPR jako cesta ke zrušení nebo odmítnutí uznání a výkonu rozhodčího nálezu.

Každá z těchto otázek si zaslouží další zamyšlení, protože se předpokládá, že v nadcházejících letech budou ještě aktuálnější. Doufáme, že se ukázalo, že jsou hodny zahrnutí do plánu.

Přílohy[lxxix] přidané do plánu mají pomoci odborníkům tyto požadavky prakticky řešit. Přidání kontrolního seznamu ochrany údajů, kontrolního seznamu posouzení oprávněného zájmu, příkladů oznámení o ochraně osobních údajů a standardních smluvních doložek EU jsou mimořádně cenné zdroje a profesionálové by je měli využívat při zajišťování souladu s GDPR.

V případě konfliktu mezi různými jurisdikcemi však mohou rozdíly mezi různými vnitrostátními právními předpisy týkajícími se ochrany osobních údajů vést k nejasnostem. Přestože pokyny uvedené v plánu jsou rozsáhlé, stále nejsou závazné. V minulosti se UNCITRAL a IBA přiklonily k zajištění harmonizace v mezinárodní arbitráži prostřednictvím svých pravidel, pokynů a podobně; ty sice nejsou závazné, ale zcela jistě mají přesvědčivý charakter. Stejně jako se UNCITRAL a IBA pokoušely o různé aspekty mezinárodní arbitráže, je naléhavě zapotřebí harmonizovat také požadavky na ochranu osobních údajů týkající se arbitráže; proto by měly být zavedeny požadované pokyny s ohledem na harmonizaci.

Zatímco harmonizace, porozumění a povědomí o požadavcích na dodržování GDPR a jeho důsledcích v kontextu mezinárodní arbitráže stále chybí, my jako odborníci na arbitráž si budeme i nadále vystačit s aktuálně platným právním rámcem. Nicméně i přes své nedostatky představuje plán velmi potřebný a povzbudivý krok směrem ke společnému chápání povinností účastníků rozhodčího řízení v oblasti ochrany osobních údajů.

[i] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), Úř. věst. 2016 L 119/1.

[ii] "Osobní údaje" jsou definovány v článku 4 GDPR jako:

(1) "'osobními údaji' se rozumí veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby ('subjekt údajů'); identifikovatelná fyzická osoba je osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, online identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby."

[iii] Územní působnost GDPR je vymezena v čl. 3 takto:

1. "Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činností provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda ke zpracování dochází v Unii či nikoli.
2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem neusazeným v Unii, pokud činnosti zpracování souvisejí s:

(a) nabízení zboží nebo služeb, bez ohledu na to, zda je vyžadována platba subjektu údajů, těmto subjektům údajů v Unii; nebo

(b) sledování jejich chování, pokud k němu dochází v rámci Unie.

3. Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale v místě, kde se na základě mezinárodního práva veřejného uplatňuje právo členského státu.

[iv] Viz definice "zpracovatele" v čl. 4 GDPR.

[v] Čl. 83 odst. 4, GDPR.

[vi] "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22. ledna 2019), viz www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16. října 2020), viz www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), viz www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, přístup 18. srpna 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, únor 2020), viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, přístup 18. srpna 2021.

[ix] Tamtéž, 1.

[x] Případ PCA č. 2018-54.

[xi] ICCA a New York City Bar a Mezinárodní institut pro prevenci a řešení konfliktů, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, přístup 18. srpna 2021.

[xii] "Pokyny pro kybernetickou bezpečnost" (IBA, říjen 2018), viz www.ibanet.org/LPRU/Cybersecurity, přístup 1. prosince 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Mezinárodní obchodní komora, 9. dubna 2020), přístup 18. srpna 2021.

[xiv] Plán, oddíl B.

[xv] Tamtéž.

[xvi] Čl. 4, GDPR.

[xvii] Tamtéž.

[xviii] Článek 4, GDPR

[xix] Tamtéž, čl. 3 odst. 1.

[xx] Plán cesty, 7.

[xxi] Čl. 4, GDPR.

[xxii] Plán definuje "účastníky rozhodčího řízení" jako "včetně stran, jejich právních zástupců, rozhodců a rozhodčích institucí (pouze)". Viz Plán (č. 3), 2.

[xxiii] Čl. 4, GDPR.

[xxiv] Viz rozsudek ze dne 29. července 2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, body 74, 85. Viz také rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; rozsudek ze dne 10. července 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Plán cesty, 11

[xxvi] Tamtéž, 12.

[xxvii] Čl. 5 a 12-22 GDPR; Plán postupu 14-15.

[xxviii] Například podle GDPR je zpracování osobních údajů v souvislosti s mezinárodním rozhodčím řízením zákonné, pokud je nezbytné pro účely oprávněných zájmů správce údajů - s výhradou omezení založených na zájmech a základních právech subjektu údajů - a citlivé údaje lze v souvislosti s rozhodčím řízením zpracovávat na základě výjimky týkající se právních nároků (čl. 9 odst. 2 písm. f)).

[xxix] Plán cesty, 19.

[xxx] Tamtéž, 20-21.

[xxxi] Tamtéž, 30-31.

[xxxii] Tamtéž, 32.

[xxxiii] Tamtéž, 33-36.

[xxxiv] Tamtéž, 37-39.

[xxxv] Tamtéž, 37.

[xxxvi] Tamtéž, 39.

[xxxvii] Tamtéž, 40-41.

[xxxviii] Tamtéž, 42.

[xxxix] Tamtéž, 43.

[xl] Čl. 5 odst. 1 písm. e), GDPR.

[xli] Plán cesty, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Evropská komise považuje zemi za zemi, která poskytuje dostatečnou ochranu údajů.

[xliv] V případě mezinárodní arbitráže by se s největší pravděpodobností jednalo o standardní smluvní doložku.

[xlv] V souvislosti s rozhodčím řízením se nejvíce uplatňuje výjimka týkající se právních nároků, která umožňuje předávání údajů, pokud je to "nezbytné pro určení, výkon nebo obhajobu právních nároků".

[xlvi] Vzhledem k vysoké prahové hodnotě a oznamovací povinnosti má spoléhání se na naléhavé oprávněné zájmy malý praktický význam. Viz EDPB, "Pokyny 2/2018 k odchylkám od článku 49 podle nařízení 2016/679", 6. února 2018 (Pokyny k předávání údajů).

[xlvii] Plán cesty, 8, 13.

[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: "Can't We Make It Go Away?" (Nemůžeme ho nechat zmizet?) (Kluwer Arbitration Blog, 29. srpna 2019), viz http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [přístup 18. srpna 2021].

[xlix] Případ PCA č. 2018-54.

[l] Tamtéž, Sdělení tribunálu stranám (Perm Court Arb, 2019).

[li] Plán cesty, 37.

[lii] ICCA a New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, přístup 18. srpna 2021.

[liii] "Pokyny pro kybernetickou bezpečnost" (IBA, říjen 2018), viz www.ibanet.org/LPRU/Cybersecurity, přístup 1. prosince 2020.

[liv] Andreas Respondek, Tasha Lim, "Měla by se pracovní skupina ICCA/IBA pro ochranu údajů zabývat dopadem GDPR na videokonference v mezinárodním rozhodčím řízení? (Kluwer Arbitration Blog, 18. července 2020), viz http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, přístup 18. srpna 2021.

[lv] "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9. dubna 2020), přístup 18. srpna 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Plán cesty, 2.

[lviii] Tamtéž, 23-25.

[lix] Čl. 4 odst. 2 GDPR, viz výše n 1.

[lx] Čl. 6 odst. 1 písm. f), GDPR.

[lxi] Allan J Arffa a další, "GDPR Issues in International Arbitration" (Lexology, 10. srpna 2020), viz www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, přístup 18. srpna 2021.

[lxii] Plán, příloha 5.

[lxiii] Allan J Arffa a další, "GDPR Issues in International Arbitration" (Lexology, 10. srpna 2020), viz www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> přístup 18. srpna 2021.

[lxiv] Plán cesty 40-41.

[lxv] Viz například: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Tamtéž; Richmark Corp v. Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6. února 2020), viz www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> přístup 18. srpna 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, Mezinárodní obchodní arbitráž (2. vydání, Kluwer Law International 2014), 2335.

[lxx] Tamtéž. Born na podporu tohoto argumentu uvádí následující rozsudky: Rozsudek ze dne 22. ledna 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" proti Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "rozhodnutí rozhodčího soudu nařídit zjištění je v rámci jeho procesního uvážení a nemůže být přezkoumáváno soudy"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), potvrzeno, 364 F 3d 274 (5th Cir 2004): V případě žádostí o zpřístupnění informací se jedná o "přiměřený výkon diskreční pravomoci soudu".

[lxxi] Natalia M Szlarb, "GDPR a mezinárodní arbitráž na rozcestí" (The National Law Review, 4. prosince 2019), viz www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, přístup 18. srpna 2021.

[lxxii] Newyorská úmluva, čl. V odst. 2: "Uznání a výkon rozhodčího nálezu lze rovněž odmítnout, pokud příslušný orgán země, kde se o uznání a výkon žádá, zjistí, že... b) uznání nebo výkon rozhodčího nálezu by byly v rozporu s veřejným pořádkem této země.

[lxxiii] Generální tajemník OSN, Analytický komentář k návrhu textu vzorového zákona o mezinárodní obchodní arbitráži, A/CN.9/264 (1985), čl. 34, odst. 6.

[lxxiv] Vzorový zákon UNCITRAL o mezinárodní obchodní arbitráži, čl. 34 odst. 2: "Rozhodčí nález může být zrušen soudem uvedeným v článku 6, pouze pokud...(b) soud zjistí, že...(ii) rozhodčí nález je v rozporu s veřejným pořádkem tohoto státu".

[lxxv] Rozsudek ze dne 1. června 1999, Eco Swiss China Time Ltd v. Benetton International NV C-126/97, Sb. rozh. 1999, s. I-03055, body. 39 a 41. Podrobné pojednání o veřejném pořádku EU viz: Sacha Prechal a Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka a Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Tamtéž.

[lxxviii] Podrobnější diskusi o těchto a dalších otázkách naleznete v: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021), odst. 5.63 a následující; Cervenka a Schwarz, viz č. 76 výše, 84-85.

[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes" (ICCA, únor 2020), viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, přístup 18. srpna 2021.

Tento článek byl poprvé publikován v Dispute Resolution International, Vol 15 No 2, October 2021, a je reprodukován s laskavým svolením International Bar Association, London, UK. © International Bar Association.