Jazyky

Souboj titánů: GDPR a mezinárodní arbitráž - pohled do budoucnosti

Publikace: listopadu 10, 2021

Zpět na přehled

Autoři

Catherine Raudaschl

Související odborné příručky

Úvod

V posledních letech se objevily otázky týkající se praktických důsledků ochrany osobních údajů a kybernetické bezpečnosti na skutečný průběh mezinárodních arbitráží - zejména pokud vezmeme v úvahu neustálé tempo technologických změn.

Obecné nařízení o ochraně osobních údajů (GDPR)[1] oslavilo v květnu 2020 své druhé narozeniny. Cílem rámce ochrany osobních údajů GDPR je zajistit volný pohyb osobních údajů "identifikovaných nebo identifikovatelných fyzických osob."[2] Platí v rámci Evropské unie a má exteritoriální působnost, která se může rozšířit i mimo EU;[3] GDPR se může týkat nejen všech fyzických nebo právnických osob, ale vztahuje povinnosti v oblasti ochrany osobních údajů také na orgány veřejné moci, agentury a další subjekty - případně včetně mezinárodních organizací.[4] Sankce podle GDPR mohou činit 4 % celosvětového ročního obratu subjektu, který porušil nařízení, za předchozí účetní rok nebo 20 milionů EUR, podle toho, která částka je vyšší.[5] Potřeba brát jeho uplatňování vážně již byla prokázána prostřednictvím pokut v hodnotě několika milionů EUR, které byly uloženy v mnoha jurisdikcích[6].

Ačkoli je uplatňování zákonů o ochraně osobních údajů na rozhodčí řízení zavedeno, způsob, jakým by se měly zákony uplatňovat, stanoven není. Z tohoto důvodu Mezinárodní rada pro obchodní arbitráž (ICCA) a Mezinárodní advokátní komora (IBA) zřídily v únoru 2019 společnou pracovní skupinu pro ochranu osobních údajů v mezinárodním rozhodčím řízení, jejímž cílem je vypracovat příručku, která poskytne praktické pokyny k ochraně osobních údajů v mezinárodní arbitráži. Pracovní skupina zveřejnila konzultační návrh tohoto průvodce v březnu 2020. 7] Tento komentář bude vycházet z tohoto návrhu průvodce (dále jen "průvodce"),[8] přičemž konečná, revidovaná verze průvodce by měla být zveřejněna v září 2021. Ačkoli lhůta pro připomínky ke konzultačnímu návrhu v době psaní tohoto článku již uplynula, předběžná verze cestovní mapy nicméně ilustruje otázky, které GDPR v mezinárodních arbitrážích vyvolává. Bude proto sloužit jako základ pro diskusi.

Většina zákonů o ochraně osobních údajů je v rozhodčím řízení závazná, což znamená, že předepisují:

  • jaké osobní údaje mohou být zpracovávány;
  • kde;
  • jakými prostředky;
  • s jakými opatřeními na zabezpečení informací a
  • po jak dlouhou dobu.[9]

Neřeší však, jak by tyto závazné povinnosti měly být dodržovány v rozhodčím řízení. Vzhledem k absenci konkrétních pokynů ze strany regulačních orgánů má tento plán pomoci odborníkům na rozhodčí řízení identifikovat a pochopit povinnosti v oblasti ochrany osobních údajů a soukromí, které se na ně mohou vztahovat v souvislosti s mezinárodním rozhodčím řízením. Kromě toho zůstává rozsah ochrany GDPR v mezinárodním rozhodčím řízení relevantní, především to, zda se právní předpisy GDPR vztahují na rozhodčí řízení se sídlem mimo EU. Pokud se zjistí, že se GDPR vztahuje na rozhodčí řízení, má to různé další důsledky: zaprvé, zda je zakázáno zpracování osobních údajů, a zadruhé, zda existují omezení pro předávání osobních údajů mimo EU. A konečně, vzhledem k rostoucí četnosti kybernetických útoků by důsledky takového útoku na rozhodčí řízení mohly přinést značné škody.

Cílem tohoto článku je poskytnout komentář k plánu a prozkoumat praktická opatření, která by měla být zohledněna, pokud jde o povinnosti v oblasti ochrany osobních údajů v mezinárodním rozhodčím řízení. Plán označuje za slibný, i když neúplný nástroj, který doplňuje různé dosavadní pokusy o harmonizaci mezinárodního rozhodčího řízení v oblasti soft law, zejména nástroje IBA a Komise OSN pro mezinárodní obchodní právo (UNCITRAL).

Nejprve bude podán stručný přehled plánu, který obsahuje odkaz na zásady GDPR. Tento přehled nemá být vyčerpávajícím přehledem, ale spíše představí hlavní body cestovní mapy, aby čtenář získal kontext pro následnou diskusi. Za druhé bude uveden komentář, který se dotkne šesti relevantních otázek:

  • použitelnost GDPR na rozhodčí řízení konaná mimo EU;
  • GDPR v kontextu rozhodčích řízení v rámci Severoamerické dohody o volném obchodu (NAFTA), jak je uvedeno ve věci Tennant Energy, LLC v. Government of Canada;[10].
  • problematika videokonferencí, jejíž význam v průběhu pandemie COVID-19 značně vzrostl, včetně odkazů na "Protokol ICCA-NYC Bar-CPR o kybernetické bezpečnosti v mezinárodní arbitráži" (Protokol o kybernetické bezpečnosti)[11], Pokyny IBA ke kybernetické bezpečnosti[12] a Pokyny ICC k možným opatřením zaměřeným na zmírnění dopadů pandemie COVID-19;[13].
  • "třetích stran, které financují", a způsob, jakým jsou v plánu zohledněny;
  • zneužívání GDPR, zejména jako štítu pro nezveřejňování informací, a
  • možnost využití nedodržení požadavků na ochranu osobních údajů jako cesty ke zrušení nebo odmítnutí uznání a výkonu rozhodčího nálezu.

Závěrečné myšlenky budou uvedeny v závěru.

Plán postupu

Na fyzické a právnické osoby se vztahují povinnosti chránit osobní údaje subjektů údajů. Na samotné rozhodčí řízení se povinnosti v oblasti ochrany osobních údajů nevztahují. Pokud však povinnostem ochrany osobních údajů podléhá pouze jeden účastník rozhodčího řízení, může to mít dopad na rozhodčí řízení jako celek. O tom, zda zpracování osobních údajů spadá do příslušných zákonů, věcné a jurisdikční působnosti, rozhoduje, zda se použijí zákony o ochraně osobních údajů[14].

Moderní zákony o ochraně osobních údajů se použijí vždy, když jsou zpracovávány osobní údaje subjektu údajů při činnostech, které spadají do jurisdikční působnosti příslušných zákonů o ochraně osobních údajů."[15] Osobní údaje zahrnují "veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby"[16] Během typického rozhodčího řízení dochází k výměně podstatných částí informací týkajících se mimo jiné stran, jejich právních zástupců, rozhodčího soudu a třetích stran. Proto je pravděpodobné, že budou spadat pod definici "osobních údajů". "Subjekty údajů" se týkají výše uvedených fyzických osob, které jsou identifikovány nebo identifikovatelné.[17] Zpracování zahrnuje aktivní i pasivní operace, a zahrnuje tedy používání, šíření a vymazávání osobních údajů, jakož i přijímání, uspořádání a uchovávání osobních údajů.[18] Oblast působnosti zahrnuje činnosti vždy, když jsou osobní údaje zpracovávány v rámci činnosti provozovny správce nebo zpracovatele v EU[19] a extrateritoriálně, například když jsou osobní údaje předávány mimo EU subjektům nebo fyzickým osobám, které již z jiných důvodů nepodléhají GDPR[20].

Rozhodci budou kvalifikováni jako správci údajů, což znamená, že budou odpovědní za dodržování zákonů o ochraně osobních údajů. Na základě definice "správce údajů";[21] však za ně bude pravděpodobně považována většina účastníků rozhodčího řízení[22], včetně právních zástupců, stran a instituce. Správci údajů mohou pověřit zpracováním údajů zpracovatele údajů,[23] kteří budou pod jejich kontrolou a budou vyžadovat smlouvy o zpracování údajů za podmínek stanovených platnými právními předpisy. Za zpracovatele údajů tak budou pravděpodobně považovány sekretářky, přepisovatelé, překladatelé a další osoby. Dále je zde otázka společných správců, kteří společně určují účely a prostředky zpracování údajů. Společné správcovství je vykládáno široce, ale odpovědnost společného správce je omezena pouze na zpracování, které správce určil, jeho účel a prostředky, nikoli na celkové zpracování[24].

V mezinárodních arbitrážích jsou omezení předávání osobních údajů mezi jurisdikcemi zřejmým způsobem, jakým se uplatňují právní předpisy o ochraně osobních údajů. Zázemí různých účastníků rozhodčího řízení bude určovat uplatňování různých režimů ochrany osobních údajů. Moderní zákony o ochraně osobních údajů omezují předávání osobních údajů do třetích zemí, aby se zajistilo, že právní povinnosti nebudou obcházeny předáváním osobních údajů do jurisdikcí s nižšími standardy ochrany osobních údajů[25]. obecné nařízení o ochraně osobních údajů povoluje předávání osobních údajů do třetích zemí, pokud nastane jedna z následujících situací:

  • Komise EU uznala, že daná země poskytuje odpovídající ochranu osobních údajů;
  • je zavedena jedna z výslovně uvedených záruk;
  • výjimka, která umožňuje předávání v případech, kdy je to nezbytné pro určení, výkon nebo obhajobu právních nároků, nebo
  • závažný oprávněný zájem strany[26].

Tato pravidla se vztahují na účastníky rozhodčího řízení, nikoli na rozhodčí řízení jako celek, a ukládají tak každému účastníkovi rozhodčího řízení, aby zvážil, jaká omezení předávání osobních údajů se na něj vztahují.

Zásady ochrany osobních údajů platné v rozhodčím řízení zahrnují spravedlivé a zákonné zpracování, přiměřenost, minimalizaci údajů, omezení účelu, práva subjektu údajů, přesnost, zabezpečení údajů, transparentnost a odpovědnost[27].

Některé z těchto zásad vyžadují další komentář. Spravedlivé a zákonné zpracování znamená, že osobní údaje by měly být zpracovávány pouze způsobem, který by subjekty údajů rozumně očekávaly, a že pro zpracování musí existovat právní základ. Při uplatňování zásady spravedlivého zpracování by si strana a její právní zástupce měli položit otázku, zda by fyzické osoby v kontextu všech skutečností očekávaly, že jejich osobní údaje budou zpracovávány takovým způsobem, zda to pro ně bude mít nepříznivé důsledky a zda jsou tyto důsledky oprávněné. Tato zásada nebude bránit tomu, aby osobní údaje nalezené v obchodních e-mailech byly připuštěny jako důkaz.

Pojem zákonné zpracování zahrnuje právní základ, který se odvíjí od skutečností a je specifický pro daný případ. Spíše než na souhlas je třeba se odvolávat na konkrétní právní základy uvedené v GDPR[28].

Proporcionalita vyžaduje zvážení povahy, rozsahu, kontextu a účelů zpracování ve vztahu k rizikům, která pro subjekt údajů představují[29]. minimalizace údajů vyžaduje, aby účastníci rozhodčího řízení omezili zpracování na osobní údaje, které jsou přiměřené, relevantní a omezené na to, co je nezbytné.[30] Transparentnost vyžaduje, aby subjekty údajů byly informovány o zpracování a účelu zpracování osobních údajů buď prostřednictvím obecných oznámení, zvláštních oznámení, nebo obojího. 31] Odpovědnost se týká osobní odpovědnosti za dodržování ochrany údajů, což znamená, že účastníci rozhodčího řízení by měli dokumentovat všechna opatření a rozhodnutí přijatá v oblasti ochrany osobních údajů, aby prokázali jejich dodržování. 32

Dodržování ochrany osobních údajů ovlivňuje jednotlivé kroky mezinárodního rozhodčího řízení, a to nejen během samotného rozhodčího řízení, ale i během příprav. Účastníci rozhodčího řízení by měli od počátku zvážit, které právní předpisy o ochraně osobních údajů se vztahují na ně samotné a na ostatní účastníky rozhodčího řízení a kteří účastníci rozhodčího řízení budou zpracovávat osobní údaje jako správci, zpracovatelé nebo společní správci. Měly by být rovněž zváženy předpisy o předávání osobních údajů třetích zemí a dohody o zpracování osobních údajů týkající se poskytovatelů služeb třetích stran. Během procesu shromažďování a kontroly dokumentů potřebují účastníci a jejich právní poradci zákonný základ pro činnosti zpracování a předávání osobních údajů ze třetích zemí[33].

Žádost o rozhodčí řízení i následná podání budou obsahovat osobní údaje, které spadají přímo do oblasti zpracování. Pokud je rozhodčí instituce vázána platnými zákony o ochraně osobních údajů, musí zvážit případné povinnosti v oblasti ochrany osobních údajů, které se uplatňují v každém procesním kroku. Pokud se na rozhodčí instituci vztahuje nařízení GDPR, stane se obvykle správcem osobních údajů. Aby splnila požadavky článků 13 a 14 nařízení GDPR, měla by taková instituce do svého oznámení o ochraně osobních údajů zahrnout informace týkající se bezpečnostních opatření, výkonu práv subjektu údajů, vedení záznamů a zásad porušování a uchovávání údajů. 34. Mezinárodní organizace spravující rozhodčí řízení mezi investorem a státem však mohou být z působnosti zákonů o ochraně osobních údajů vyloučeny z důvodu výsad a imunit v zakládajícím státě nebo v dohodě s hostitelskou zemí. Zde je tedy třeba provést samostatné úvahy, mimo jiné o tom, zda je organizace vázána zákony o ochraně osobních údajů a zda - a v jakém rozsahu - by se na účastníky rozhodčího řízení vztahovaly výsady a imunity[35].

Při jmenování rozhodců do rozhodčího soudu dochází zpravidla k výměně značného množství osobních údajů potenciálních rozhodců. Účastníci rozhodčího řízení by měli do svých právních oznámení zahrnout právní základ pro zpracování těchto osobních údajů a výslovně informovat rozhodce, o jejichž jmenování se uvažuje, o zpracování jejich osobních údajů, zejména v případě předávání osobních údajů do třetích zemí[36].

Po zahájení rozhodčího řízení by měly být odpovědnosti za dodržování ochrany osobních údajů přiděleny včas, aby se minimalizovala rizika. Ochrana osobních údajů by měla být zařazena na program první procesní konference a účastníci rozhodčího řízení by se měli pokusit co nejdříve dohodnout na způsobu řešení souladu s ochranou osobních údajů. Strany, jejich právní zástupci a rozhodci by měli zvážit uzavření protokolu o ochraně osobních údajů, aby mohli účinně řídit otázky dodržování předpisů. Pokud to není možné, alternativní možností je, aby je rozhodčí soud zahrnul do procesního řádu číslo jedna[37].

V procesu předkládání a zpřístupňování dokumentů je obzvláště důležitá zásada minimalizace osobních údajů. Podle nařízení GDPR by to pravděpodobně vyžadovalo:

  • omezit zveřejňované osobní údaje na to, co je relevantní a neduplicitní;
  • identifikaci osobních údajů obsažených v materiálech, na které se reaguje, a
  • redigování nebo pseudonymizaci nepotřebných osobních údajů.

Tyto otázky by měly být rovněž zváženy na počátku řízení, nejlépe na první procesní konferenci nebo před ní[38].

Pokud jde o vydávání rozhodčích nálezů, rozhodci a instituce by měli zvážit základ a nezbytnost zahrnutí osobních údajů do nálezů. Pokud je rozhodčí řízení důvěrné, existuje přesto riziko, že se rozhodčí nález stane veřejným, až bude vykonán. I když jsou osobní údaje redigovány, obvykle zůstávají osobními údaji, protože subjekt údajů je identifikovatelný ze zbytku nálezu nebo souvisejících materiálů[39].

Uchovávání a vymazávání údajů se považuje za zpracování podle GDPR, které stanoví, že osobní údaje se "uchovávají v podobě, která umožňuje identifikaci subjektů údajů, po dobu ne delší, než je nezbytné pro účely, pro které jsou osobní údaje zpracovávány."[40] Správci musí zvážit, zdokumentovat a být schopni odůvodnit dobu uchovávání. Účastníci rozhodování musí zvážit, jaká doba uchovávání údajů je přiměřená, a měli by zaujmout přiměřený přístup, aby vyvážili své potřeby s dopadem uchovávání údajů na subjekt[41].

Použitelnost GDPR na rozhodčí řízení konaná mimo EU

Územní působnost obecného nařízení o ochraně osobních údajů je poměrně široká. Odborníci by si měli být vědomi jeho uplatňování bez ohledu na to, zda se nacházejí nebo zda rozhodčí řízení probíhá v EU. Obecné nařízení o ochraně osobních údajů se vztahuje na zpracování osobních údajů správci nebo zpracovateli usazenými v EU bez ohledu na to, zda samotné zpracování probíhá v EU (čl. 3 odst. 1). Pokud jde navíc o nabízení zboží nebo služeb občanům EU nebo o monitorování chování, které probíhá v EU, vztahuje se GDPR na zpracování osobních údajů správcem nebo zpracovatelem neusazeným v EU (čl. 3 odst. 2).

Při aplikaci na rozhodčí řízení ukládá GDPR povinnosti správcům a zpracovatelům údajů - rozhodcům, poradcům, stranám a institucím -, které spadají do jeho věcné a územní působnosti, nikoli přímo rozhodčímu řízení. I když se jedná pouze o jednoho účastníka rozhodčího řízení, který má vazbu na EU, bude povinen zpracovávat osobní údaje v souladu s GDPR. Mohou vzniknout důsledky pro řízení jako celek[42].

V kontextu mezinárodního rozhodčího řízení, kde je předávání rozhodčích materiálů obsahujících osobní údaje běžné, jsou patrně nejpozoruhodnější omezení týkající se předávání osobních údajů do "třetích zemí" mimo Evropský hospodářský prostor (EHP). V takovém případě je pro povolení předávání osobních údajů vyžadován jeden ze čtyř zákonných základů. Zaprvé, předávání do třetí země je povoleno, pokud se na tuto třetí zemi vztahuje rozhodnutí o odpovídající ochraně (čl. 45 odst. 1)[43]. pokud tomu tak není, měla by být zavedena jedna z vhodných záruk (čl. 46 odst. 1), je-li to možné.[44] Pokud rozhodnutí o odpovídající ochraně neexistuje a vhodná záruka není proveditelná, lze se odvolat na zvláštní výjimku (čl. 49 odst. 1)[45]. a konečně, pokud výše uvedené neexistuje, může se strana jako na zákonný základ pro předání osobních údajů třetí straně odvolat na závažný oprávněný zájem (čl. 49 odst. 1)[46].

Plán poměrně komplexně stanoví nezbytné úvahy, které musí účastníci rozhodčího řízení učinit. Při několika příležitostech zdůrazňuje, že jsou to účastníci rozhodčího řízení, a nikoli rozhodčí řízení jako takové, na které se vztahují zásady ochrany osobních údajů a pravidla předávání[47]. v souladu s tím lze předpokládat, že rozhodce se sídlem v EU, který se účastní rozhodčího řízení mimo EU, na které se jinak nevztahuje GDPR, by přesto musel splňovat požadavky GDPR na zpracování a předávání osobních údajů. To je skutečně obecně přijímáno v obchodních rozhodčích řízeních,[48] ale situace není tak jasná, pokud jde o rozhodčí řízení mezi investorem a státem.

Ve věci Tennant Energy, LLC v. Government of Canada

V roce 2019 v rozhodčím řízení Tennant Energy, LLC v. Government of Canada (Tennant) podle kapitoly 11 NAFTA[49] vznesl žalobce Tennant otázku, zda se na řízení vztahuje nařízení GDPR s ohledem na státní příslušnost a bydliště jednoho z členů tribunálu ve Spojeném království. Tribunál však vydal stranám pokyny, v nichž uvedl, že "rozhodčí řízení podle kapitoly 11 NAFTA, což je smlouva, jejíž smluvní stranou není Evropská unie ani její členské státy, zřejmě nespadá do věcné působnosti GDPR"[50].

Je důležité rozlišovat mezi smluvním a obchodním rozhodčím řízením, přičemž Tennant spadá do první kategorie. Plán se tímto rozlišením zabývá a uvádí, že mezinárodní organizace mohou být vyloučeny z oblasti působnosti právních předpisů o ochraně osobních údajů.[51] Na členy tribunálu v rozhodčím řízení Tennant se mohou vztahovat určité imunity vyplývající z dohody o sídle Stálého rozhodčího soudu (PCA) s Nizozemskem. Tribunál NAFTA se však nezabýval tím, zda by se na PCA jako na mezinárodní organizaci vztahovala pravidla pro předávání údajů podle GDPR nebo zda by členové tribunálu odvozovali z této dohody určité imunity.

Směr Tennant vyvolává více otázek, než poskytuje odpovědí, pokud jde o použitelnost nařízení GDPR na řízení NAFTA a obecněji na rozhodčí řízení na základě smlouvy, jejichž diferencovaná diskuse přesahuje rámec tohoto článku. Nicméně pokyn Tennant, nahlížený ve světle plánu, ukazuje, že toto téma zůstává velmi nejisté. Je přinejmenším sporné, zda plán přináší účastníkům rozhodčího řízení, kteří se s takovou otázkou setkávají, nějaké vyjasnění, zejména s ohledem na to, že plán byl vydán až po vydání pokynu Tennant, který však tento pokyn nijak nezohlednil.

Otázka videokonferencí

Plán uznává význam bezpečnosti osobních údajů. Avšak s ohledem na nedávné využívání dalších technologií k usnadnění virtuálních slyšení a také práce z domova - většinou podporované současnými okolnostmi, které nám vnutila pandemie Covid-19 - má tato otázka další váhu. Protokol o kybernetické bezpečnosti[52] a Pokyny pro kybernetickou bezpečnost IBA[53] vnesly do této problematiky určité světlo.

Stejně jako Plán stanoví i Protokol o kybernetické bezpečnosti několik základních zásad. Uplatňuje se zásada proporcionality, soud má pravomoc a prostor pro stanovení zavedených bezpečnostních opatření a bezpečnost informací je otázkou, která by měla být projednána na první konferenci o řízení případu. Příloha A protokolu o kybernetické bezpečnosti obsahuje kontrolní seznam, který mohou strany rozhodčího řízení použít k zabezpečení řízení.

V návaznosti na nedávnou změnu pracovních modelů a prostředí v důsledku pandemie Covid-19 by těmto otázkám měla být přikládána větší váha. Ve světě, který je pod tlakem hledání nových způsobů podnikání a přizpůsobování se době nejistoty, je jedním z problémů, kterým právní odvětví čelí, otázka jednání v kombinaci s omezeními a potřebou sociálního odstupu. Obliba videokonferencí a jejich využívání v mezinárodních rozhodčích řízeních je proto něčím, čím by se měl plán zabývat, ale neučinil tak - nebo alespoň zatím ne.

Ačkoli mnozí diskutovali a poukazovali na problémy videokonferencí, většina z nich se nezabývala tím, jak by na ně měly být aplikovány zákony na ochranu osobních údajů, a to nejen s ohledem na ochranu osobních údajů, ale také na bezpečnost, neboť některé platformy byly předmětem bezpečnostních útoků[54].

Jak bylo uvedeno výše, je nezbytné pochopit různé role stran zapojených do rozhodčího řízení v souvislosti s GDPR, konkrétně kdo jsou "správci" a "zpracovatelé" údajů. Pokud videokonferenční software zpracovává nějaké osobní údaje, například uživatelské jméno a e-mailovou adresu z používání služby stranou, bude považován za "zpracovatele údajů". To znamená, že musí dodržovat pravidla GDPR, pokud má některý z účastníků bydliště v EU. Vzhledem k tomu, že tribunál je "správcem údajů", bude pak jeho povinností zajistit takové dodržování.

Mezinárodní obchodní komora (ICC) vydala pokyn[55], který stranám poskytuje navrhované doložky pro protokoly o kybernetické bezpečnosti a virtuální slyšení. Jejím cílem je řešit bezpečnostní aspekt, ale nezabývá se aspektem ochrany osobních údajů. Plán by měl pojednávat o možnostech, jak by se ochrana osobních údajů vztahovala na slyšení vedená virtuálně, a také o tom, jak ji dodržovat. Nařízení GDPR sice specifikuje požadavky, které je třeba splnit v souvislosti s videokonferencemi, neposkytuje však návod, jakým způsobem jsou jeho požadavky přímo použitelné.

Ačkoli plán neposkytuje doporučení ohledně konkrétních poskytovatelů softwaru, mohl by sestavit a poskytnout odborníkům z praxe seznam nezbytných specifikací ideálního softwaru pro videoslyšení, stejně jako v rámci svých příloh poskytuje kontrolní seznamy týkající se různých jiných záležitostí.

Jakou roli hrají poskytovatelé finančních prostředků třetích stran?

Financující třetí stranou se rozumí jakákoli osoba, která není účastníkem rozhodčího řízení a která uzavře dohodu o financování všech nebo části nákladů řízení výměnou za částku, která je zcela nebo částečně závislá na výsledku případu.[56] Financující třetí strany mají přístup k různým osobním údajům v rozhodčích řízeních, která financují nebo jejichž financování zvažují. Ačkoli je plán výslovně určen pouze účastníkům rozhodčího řízení, uvádí se v něm, že pokyny jsou relevantní i pro poskytovatele služeb, kterých se požadavky na ochranu osobních údajů rovněž týkají[57].

V plánu jsou mezi poskytovateli služeb uvedeni "odborníci na elektronické zjišťování, odborníci na informační technologie, soudní zapisovatelé, překladatelské služby atd."[58], ale třetí strany financující rozhodčí řízení výslovně zmíněny nejsou. Podle GDPR je shromažďování a uchovávání osobních údajů zahrnuto do zpracování. Pokud by tedy třetí strany - poskytovatelé finančních prostředků shromažďovaly osobní údaje od jiných osob, vztahovaly by se na ně rovněž právní předpisy o osobních údajích[59].

GDPR umožňuje účastníkovi zpracovávat osobní údaje, pokud je "zpracování nezbytné pro účely oprávněných zájmů správce nebo třetí strany",[60] což mohou účastníci rozhodčího řízení potenciálně uvádět jako použitelný právní základ pro zpracování příslušných osobních údajů. K tomuto tématu existuje jen omezené množství pokynů[61], které jsou uvedeny v cestovní mapě:

"Prvním krokem při posuzování oprávněného zájmu je identifikace oprávněného zájmu - jaký je účel zpracování osobních údajů a proč je pro vás jako správce důležitý? V souvislosti s rozhodčím řízením může oprávněný zájem zahrnovat výkon spravedlnosti, zajištění dodržování práv stran a rychlé a spravedlivé řešení nároků podle platných pravidel rozhodčího řízení, a také mnoho dalších zájmů."[62]

Zahrnutí "mnoha dalších zájmů" by mohlo případně zahrnovat oprávněný peněžní zájem třetích stran, které financují rozhodčí řízení. Pokud by tomu tak bylo, byli by pak zjevně povinni uzavřít se stranami rozhodčího řízení dohody o zpracování údajů a byli by zahrnuti do oblasti působnosti předpisů a požadavků na ochranu osobních údajů. Zajímavé je, že plán opomíjí výslovně upřesnit, jak do této situace zapadají třetí strany poskytující finanční prostředky, zejména s ohledem na nárůst jejich zahrnutí do rozhodčího řízení.

Štít pro nezveřejňování informací

Povinnosti v oblasti ochrany osobních údajů vedou k možnosti zneužití. Strany rozhodčího řízení mohou ve zlé víře použít GDPR jako štít, aby zabránily zveřejnění informací relevantních pro řízení nebo požadovaných protistranou. Strana může například vznést námitku proti žádosti o zpřístupnění s tvrzením, že dokumenty obsahují osobní údaje, které nesouvisejí se sporem, nebo že by redigování osobních údajů bylo nepřiměřeně zatěžující[63].

Plán se zabývá možností zneužití. Navrhuje co nejdříve upozornit na povinnosti týkající se ochrany osobních údajů a objasnit je, aby se snížilo riziko, že budou mít dopad na řízení. Účastníci by měli zvážit uzavření "protokolu o ochraně údajů" - dohody o tom, jak bude ochrana osobních údajů uplatňována v konkrétním kontextu. Případně, pokud není možné dosáhnout podepsání protokolu o ochraně osobních údajů, měly by být tyto otázky řešeny v procesním předpisu číslo jedna[64].

Pro srovnání se lze podívat na dodržování GDPR během zjišťování v soudních sporech v USA. Federální soudy USA používají vyvažovací testy, aby rozhodly, zda nařídit zpřístupnění nebo splnění předvolání nebo příkazů ke zjištění, které jsou potenciálně v rozporu se zahraničními zákony, včetně zákonů o ochraně osobních údajů[65]. neúplný seznam faktorů, na které se federální soudy USA zaměřují, je následující:

  • význam požadovaných dokumentů nebo jiných informací pro soudní spor;
  • míra konkrétnosti žádosti;
  • zda informace pocházejí z USA;
  • dostupnost alternativních prostředků k zajištění informací a
  • rozsah, v jakém by nevyhovění žádosti ohrozilo důležité zájmy USA[66].

Federální soudy častěji vyžadují zpřístupnění informací navzdory možnému porušení zahraničních zákonů o ochraně osobních údajů[67].

Rozhodci se při rozhodování o tom, zda nařídit straně zveřejnění, potýkají s jinými hledisky než soudy. Je správné, jak se uvádí v literatuře,[68] že rozhodčí soudy si musí být vědomy konkurujících si práv a povinností s ohledem na hrozbu zrušení nebo odmítnutí výkonu podle Úmluvy o uznání a výkonu cizích rozhodčích nálezů z roku 1958 (Newyorská úmluva). Tento názor však nezohledňuje skutečnost, že příkazy k zpřístupnění podléhají minimálnímu přezkumu ze strany státních soudů vzhledem k zásadě soudního nezasahování[69]. příkladů, kdy státní soudy upustily od přezkumu příkazů k zpřístupnění, je mnoho[70].

Vzhledem k diskreční pravomoci, která je soudům v procesních záležitostech svěřena, je nepravděpodobné, že by hrozba zrušení nebo odmítnutí výkonu byla hlavním hlediskem. Nevyhnutelnost, že se strany pokusí zneužít povinnosti vyplývající z nařízení GDPR k získání potenciální procesní výhody, postaví tribunály do obtížné pozice, kdy budou muset na jedné straně vyvažovat zájmy subjektu údajů a na druhé straně zachovávat důkladné dokazování[71]. vyjasnění povinností v oblasti dodržování ochrany osobních údajů na začátku řízení - nejlépe v podepsaném protokolu o ochraně údajů - v souladu s doporučeními plánu se jeví jako nezbytný krok ke kontrole tohoto chování.

Nedodržení požadavků na ochranu osobních údajů jako cesta ke zrušení a odmítnutí uznání a výkonu rozhodnutí

Plán se nezabývá tím, zda lze nedodržení požadavků na ochranu osobních údajů použít ke zrušení rozhodčího nálezu nebo k odmítnutí jeho uznání a výkonu. Strany mají velmi omezené možnosti odvolání proti rozhodčímu nálezu. Nicméně neúspěšná strana může chtít zpochybnit jeho výsledek a použít jeden z hlavních společných důvodů pro zpochybnění rozhodčího nálezu nebo pro zabránění jeho uznání nebo výkonu.

Newyorská úmluva má v současné době 168 smluvních států, což z ní činí hlavní právní základ pro uznávání a výkon zahraničních rozhodčích nálezů v mezinárodní obchodní arbitráži. Úmluva v článku V stanoví omezené důvody, na jejichž základě lze uznání a výkon rozhodčího nálezu odmítnout. Pro současné účely je nejvýznamnější čl. V odst. 2 písm. b), který uznává možnost příslušného orgánu signatářského státu odmítnout uznání nebo výkon rozhodčího nálezu, který porušuje veřejný pořádek[72].

Důvody, na jejichž základě může být rozhodčí nález zrušen, se v různých jurisdikcích liší. Vzorový zákon UNCITRAL o mezinárodní obchodní arbitráži, který byl široce přijat, uvádí v čl. 34 odst. 2 seznam důvodů pro zrušení. Tento seznam byl úzce inspirován článkem V Newyorské úmluvy.[73] V čl. 34 odst. 2 písm. b) bodě ii) se uvádí, že rozhodčí nález může být zrušen soudem, pokud je nález v rozporu s veřejným pořádkem státu.[74].

Evropský soudní dvůr (ESD) ve věci Eco Swiss v. Benetton rozhodl, že nadřazená kogentní ustanovení práva EU mohou představovat základní pravidla veřejného pořádku, jejichž porušení může být důvodem pro zrušení rozhodčího nálezu založeného na takovém důvodu ve vnitrostátním právu[75]. To, zda lze rozhodčí nález zrušit nebo odmítnout jeho uznání či výkon z důvodu nedodržení požadavků na ochranu osobních údajů, bude tedy záviset na tom, zda pravidla GDPR mají být považována za nadřazená kogentní ustanovení, jejichž porušení je v rozporu s vnitrostátním veřejným pořádkem[76].

V čl. 9 odst. 1 nařízení Řím I jsou nadřazená závazná ustanovení definována jako ustanovení, "jejichž dodržování považuje země za rozhodující pro ochranu svých veřejných zájmů... v takovém rozsahu, že se použijí na jakoukoli situaci, která spadá do jejich působnosti, bez ohledu na jinak použitelné právo". Jak již dříve uznali Cervenka a Schwarz, většinu pravidel GDPR lze pravděpodobně považovat za nadřazená závazná ustanovení podle práva EU. Jejich porušení tak může být považováno za porušení veřejného pořádku[77].

Možnost, že nedodržení požadavků na ochranu osobních údajů může vést ke zrušení nebo neuznání a nevykonání rozhodčího nálezu, vyvolává různé obavy. Zaprvé by mělo být přesně vymezeno, které povinnosti v oblasti ochrany osobních údajů by představovaly nadřazená závazná ustanovení, neboť ne všechna porušení mají stejnou váhu. Nakonec bude pravděpodobně vyzván ESD, aby poskytl další objasnění. Zadruhé by se mělo zohlednit i možné zneužití možnosti napadnout nebo zpochybnit výkon rozhodčího nálezu na základě porušení GDPR, aby se zabránilo tomu, že strany úmyslně poruší pravidla ochrany osobních údajů, aby měly později možnost podat proti rozhodčímu nálezu opravný prostředek. V neposlední řadě by mělo být vymezeno, zda budou předpisy o ochraně osobních údajů součástí procesního nebo hmotného práva a jakým způsobem[78].

Ačkoli je třeba vymezit mnohé, měly by být řešeny důsledky nedodržení požadavků na ochranu osobních údajů na zrušení, jakož i na uznání a výkon rozhodčích nálezů. Je nanejvýš zajímavé, že o tom v plánu není žádná zmínka.

Závěr

Cílem plánu je pomoci odborníkům na rozhodčí řízení identifikovat a pochopit povinnosti v oblasti ochrany osobních údajů a soukromí, které se na ně mohou vztahovat v kontextu mezinárodního rozhodčího řízení. Jak však bylo uvedeno výše, stále se nezabývá některými konkrétními otázkami, které jsou v současné době relevantní a naléhavé. Těchto šest otázek, které byly identifikovány a rozpracovány v tomto dokumentu, je následujících:

  • použitelnost GDPR na rozhodčí řízení konaná mimo EU;
  • GDPR v kontextu rozhodčích řízení NAFTA;
  • problematika virtuálních rozhodčích řízení;
  • poskytovatelé finančních prostředků třetími stranami a jejich místo v plánu;
  • možné zneužití GDPR a
  • potenciální nedodržení GDPR jako cesta ke zrušení nebo odmítnutí uznání a výkonu rozhodčího nálezu.

Každá z těchto otázek si zaslouží další zamyšlení, neboť se předpokládá, že v příštích letech budou jen nabývat na významu. Doufáme, že se ukázalo, že jsou hodny zahrnutí do plánu.

Přílohy[79], které byly k plánu přidány, mají odborníkům pomoci se s těmito požadavky prakticky vypořádat. Přidání kontrolního seznamu pro ochranu údajů, kontrolního seznamu pro posouzení oprávněného zájmu, příkladů oznámení o ochraně osobních údajů a standardních smluvních doložek EU jsou nesmírně cenné zdroje a profesionálové by je měli využívat při zajišťování souladu s GDPR.

V konfliktní situaci mezi různými jurisdikcemi však mohou rozdíly mezi různými vnitrostátními právními předpisy týkajícími se ochrany osobních údajů vést k nejasnostem. Přestože pokyny uvedené v plánu jsou rozsáhlé, stále nejsou závazné. V minulosti se UNCITRAL a IBA přiklonily k zajištění harmonizace v mezinárodní arbitráži prostřednictvím svých pravidel, pokynů a podobně; ty sice nejsou závazné, ale rozhodně jsou přesvědčivé. Stejně jako se UNCITRAL a IBA pokoušely o různé aspekty mezinárodní arbitráže, je naléhavě zapotřebí harmonizovat také požadavky na ochranu osobních údajů týkající se arbitráže; proto by měly být zavedeny požadované pokyny s ohledem na harmonizaci.

Zatímco harmonizace, pochopení a povědomí o požadavcích na dodržování GDPR a jeho důsledcích v kontextu mezinárodní arbitráže stále chybí, my jako odborníci na arbitráž si budeme i nadále vystačit s aktuálně platným právním rámcem. Nicméně i přes své nedostatky představuje plán velmi potřebný a povzbudivý krok směrem ke společnému chápání povinností účastníků rozhodčího řízení v oblasti ochrany osobních údajů.

Zdroje

  1. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), Úř. věst. 2016 L 119/1.
  2. Pojem "osobní údaje" je definován v článku 4 obecného nařízení o ochraně osobních údajů jako: (1) "'osobním údajem' se rozumí jakákoli informace týkající se identifikované nebo identifikovatelné fyzické osoby ('subjekt údajů'); identifikovatelnou fyzickou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, online identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.".
  3. Územní působnost GDPR je vymezena v článku 3 takto:
    1. "Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činností provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda ke zpracování dochází v Unii či nikoliv.

    2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí s:

      (a) nabízením zboží nebo služeb, bez ohledu na to, zda je vyžadována platba subjektu údajů, těmto subjektům údajů v Unii; nebo b) zpracováním údajů, které se provádí na území Unie, a to bez ohledu na to, zda je vyžadována platba subjektu údajů.

      (b) sledováním jejich chování, pokud k němu dochází v Unii.

    3. Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale v místě, kde se na základě mezinárodního práva veřejného uplatňuje právo členského státu.
  4. Viz definice pojmu "zpracovatel" v článku 4 nařízení GDPR.
  5. Čl. 83 odst. 4 GDPR.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22. ledna 2019), viz www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16. října 2020), viz www.bbc.com/news/technology-54568784.
  7. 'ICCA-IBA Joint Task Force on Data Protection in International Arbitration' (ICCA), viz www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, přístup 18. srpna 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, únor 2020), viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, přístup 18. srpna 2021.
  9. Tamtéž, 1.
  10. Případ PCA č. 2018-54.
  11. ICCA a New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, přístup 18. srpna 2021.
  12. 'Pokyny pro kybernetickou bezpečnost' (IBA, říjen 2018), viz www.ibanet.org/LPRU/Cybersecurity, přístup 1. prosince 2020.
  13. 'ICC Guidance Note on Possible Measures Aim' (Mezinárodní obchodní komora, 9. dubna 2020), přístup 18. srpna 2021.
  14. Plán postupu, oddíl B.
  15. Tamtéž.
  16. Článek 4, obecné nařízení o ochraně osobních údajů.
  17. Tamtéž.
  18. Článek 4, GDPR.
  19. Tamtéž, čl. 3 odst. 1.
  20. Plán postupu, 7.
  21. Článek 4, GDPR.
  22. Plán definuje "účastníky rozhodčího řízení" jako "včetně stran, jejich právních zástupců, rozhodců a (pouze) rozhodčích institucí". Viz plán (č. 3), 2.
  23. Článek 4, GDPR.
  24. Viz rozsudek ze dne 29. července 2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, body 74, 85. Viz také rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; rozsudek ze dne 10. července 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Cestovní mapa, 11
  26. Tamtéž, 12.
  27. Čl. 5 a 12-22, GDPR; cestovní mapa 14-15.
  28. Například podle GDPR je zpracování osobních údajů v souvislosti s mezinárodním rozhodčím řízením zákonné, pokud je nezbytné pro účely oprávněných zájmů správce údajů - s výhradou omezení založených na zájmech a základních právech subjektu údajů - a citlivé údaje lze v souvislosti s rozhodčím řízením zpracovávat na základě výjimky týkající se právních nároků (čl. 9 odst. 2 písm. f)).
  29. Plán, 19.
  30. Tamtéž, 20-21.
  31. Tamtéž, 30-31.
  32. Tamtéž, 32.
  33. Tamtéž, 33-36.
  34. Tamtéž, 37-39.
  35. Tamtéž, 37.
  36. Tamtéž, 39.
  37. Tamtéž, 40-41.
  38. Tamtéž, 42.
  39. Tamtéž, 43.
  40. Čl. 5 odst. 1 písm. e), GDPR.
  41. Plán, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: (Kluwer Arbitration Blog, 29. srpna 2019), viz http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, přístup 18. srpna 2021.
  43. Komise EU má za to, že země poskytuje odpovídající ochranu údajů.
  44. V případě mezinárodní arbitráže by se s největší pravděpodobností jednalo o standardní smluvní doložku.
  45. V kontextu rozhodčího řízení je nejpoužitelnější výjimka týkající se právních nároků, která umožňuje předávání údajů, pokud je "nezbytné pro určení, výkon nebo obhajobu právních nároků".
  46. Vzhledem k jejímu vysokému prahu a požadavku na oznámení má spoléhání se na naléhavé oprávněné zájmy malý praktický význam. Viz EDPB, "Pokyny 2/2018 k odchylkám článku 49 podle nařízení 2016/679", 6. února 2018 (Pokyny k předávání údajů).
  47. Plán postupu, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration" (Neviditelná ruka GDPR v mezinárodní smluvní arbitráži): (Kluwer Arbitration Blog, 29. srpna 2019), viz http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [přístup 18. srpna 2021].
  49. Případ PCA č. 2018-54.
  50. Tamtéž, sdělení tribunálu stranám (Perm Ct Arb, 2019).
  51. Plán postupu, 37.
  52. ICCA a New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, přístup 18. srpna 2021.
  53. 'Pokyny pro kybernetickou bezpečnost' (IBA, říjen 2018), viz www.ibanet.org/LPRU/Cybersecurity, přístup 1. prosince 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18. července 2020), viz http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, přístup 18. srpna 2021.
  55. 'ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic' (ICC, 9. dubna 2020), přístup 18. srpna 2021.
  56. 'Financování třetí stranou v mezinárodní arbitráži: (ICCA, květen 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, přístup 18. srpna 2018.
  57. Plán postupu, 2.
  58. Tamtéž, 23-25.
  59. Čl. 4 odst. 2, GDPR, viz výše n. 1.
  60. Čl. 6 odst. 1 písm. f), GDPR.
  61. Allan J Arffa a další, "GDPR Issues in International Arbitration" (Lexology, 10. srpna 2020), viz www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, přístup 18. srpna 2021.
  62. Plán postupu, příloha 5.
  63. Allan J Arffa a další, "GDPR Issues in International Arbitration" (Lexology, 10. srpna 2020), viz www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, přístup 18. srpna 2021.
  64. Cestovní mapa 40-41.
  65. Viz např: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Tamtéž; Richmark Corp v. Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6. února 2020), viz www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, přístup 18. srpna 2021.
  68. David M. Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, Mezinárodní obchodní arbitráž (2. vydání, Kluwer Law International 2014), 2335.
  70. Tamtéž. Born na podporu tohoto argumentu uvádí následující rozsudky: Rozsudek ze dne 22. ledna 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" proti Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "rozhodnutí rozhodčího soudu nařídit zjištění je v rámci jeho procesního uvážení a nemůže být přezkoumáváno soudy"; Karaha Bodas Co v. Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), potvrzeno, 364 F 3d 274 (5th Cir 2004): Žádost o zpřístupnění informací je "v rámci přiměřeného výkonu diskreční pravomoci soudu".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (Národní právní revue, 4. prosince 2019), viz www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, přístup 18. srpna 2021.
  72. Newyorská úmluva, článek V odst. 2: "Uznání a výkon rozhodčího nálezu lze rovněž odmítnout, pokud příslušný orgán země, kde se o uznání a výkon žádá, zjistí, že ... b) uznání nebo výkon rozhodčího nálezu by byly v rozporu s veřejným pořádkem této země.
  73. Generální tajemník OSN, Analytický komentář k návrhu textu vzorového zákona o mezinárodní obchodní arbitráži, A/CN.9/264 (1985), čl. 34, odst. 6.
  74. Vzorový zákon UNCITRAL o mezinárodní obchodní arbitráži, čl. 34 odst. 2: b) soud zjistí, že... ii) rozhodčí nález je v rozporu s veřejným pořádkem tohoto státu".
  75. Rozsudek ze dne 1. června 1999, Eco Swiss China Time Ltd v. Benetton International NV C-126/97, Sb. rozh. 1999, s. I-03055, odst. 39 a 41. Podrobné pojednání o veřejném pořádku EU viz: Sacha Prechal a Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka a Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Tamtéž.
  78. Podrobněji k těmto a dalším otázkám viz: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021), body 5.63 a následující; Cervenka a Schwarz, viz výše č. 76, 84-85.
  79. 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, únor 2020), viz https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, přístup 18. srpna 2021.

Tento článek byl poprvé zveřejněn v Dispute Resolution International, Vol 15 No 2, October 2021, a je reprodukován s laskavým svolením International Bar Association, London, UK. © Mezinárodní advokátní komora.

Zpět na přehled