Den internationale advokatsammenslutning Logo

Titanernes sammenstød: GDPR og international voldgift - et kig på fremtiden

Forfatter: Neva Cirkveni og Per Neuburger

Introduktion

I de seneste år er der opstået spørgsmål om de praktiske konsekvenser af privatlivets fred for personoplysninger og cybersikkerhed for den faktiske gennemførelse af internationale voldgiftssager - især når man tager hensyn til den konstante teknologiske udvikling.

Den generelle forordning om databeskyttelse (GDPR)[i] fejrede sin anden fødselsdag i maj 2020. GDPR's rammer for beskyttelse af personoplysninger har til formål at sikre den frie bevægelighed for personoplysninger om "identificerede eller identificerbare fysiske personer".[ii] Den finder anvendelse i Den Europæiske Union og har et ekstraterritorialt anvendelsesområde, der kan strække sig uden for EU;[iii] GDPR kan ikke kun berøre alle fysiske eller juridiske personer, men også offentlige myndigheder, agenturer og andre organer - herunder muligvis internationale organisationer - som er underlagt forpligtelser til beskyttelse af personoplysninger.[iv] GDPR-sanktionerne kan udgøre 4 % af den krænkende enheds verdensomspændende årlige omsætning i det foregående regnskabsår eller 20 millioner euro, alt efter hvad der er højest.[v] Behovet for at tage dens anvendelse alvorligt er allerede blevet fastslået gennem bøder på flere millioner euro, som er blevet pålagt i flere jurisdiktioner.[vi]

Selv om det er fastlagt, at lovgivningen om beskyttelse af personoplysninger skal finde anvendelse på voldgift, er det ikke fastlagt, hvordan lovgivningen skal anvendes. Derfor nedsatte International Council for Commercial Arbitration (ICCA) og International Bar Association (IBA) i februar 2019 en fælles taskforce om databeskyttelse i internationale voldgiftssager med det formål at udarbejde en vejledning, der giver praktisk vejledning om beskyttelse af personoplysninger i internationale voldgiftssager. Taskforcen offentliggjorde et høringsudkast til denne vejledning i marts 2020.[vii] Denne kommentar vil være baseret på dette udkast til køreplan (køreplanen),[viii] Den endelige, reviderede udgave af køreplanen forventes at blive offentliggjort i september 2021. Selv om fristen for kommentarer til høringsudkastet er udløbet i skrivende stund, er den foreløbige version af køreplanen ikke desto mindre illustrativ for de spørgsmål, som GDPR rejser i internationale voldgiftssager. Den vil derfor blive anvendt som grundlag for drøftelserne.

De fleste love om beskyttelse af personoplysninger er obligatoriske i voldgiftssager, hvilket betyder, at de foreskriver:

  • hvilke personoplysninger der kan behandles;
  • hvor;
  • med hvilke midler;
  • med hvilke informationssikkerhedsforanstaltninger, og
  • i hvor lang tid.[ix]

De omhandler imidlertid ikke, hvordan disse bindende forpligtelser skal overholdes i voldgiftssager. I mangel af specifikke retningslinjer fra reguleringsmyndighederne har køreplanen til formål at hjælpe voldgiftseksperter med at identificere og forstå de forpligtelser vedrørende beskyttelse af personoplysninger og privatlivets fred, som de kan være underlagt i forbindelse med en international voldgiftssag. Desuden er omfanget af GDPR-beskyttelsen fortsat relevant i internationale voldgiftssager, primært om GDPR-lovgivningen finder anvendelse på voldgiftssager med sæde uden for EU. Der er forskellige yderligere konsekvenser, hvis GDPR findes at finde anvendelse på voldgiftssager: for det første, om behandling af personoplysninger er forbudt, og for det andet, om der er begrænsninger på overførsel af personoplysninger uden for EU. Endelig kan konsekvenserne af et sådant angreb på en voldgiftssag på grund af den stigende hyppighed af cyberangreb medføre betydelige skader.

Denne artikel har til formål at kommentere køreplanen og undersøge de praktiske foranstaltninger, der bør tages hensyn til forpligtelserne til beskyttelse af personoplysninger i internationale voldgiftssager. Den identificerer køreplanen som et lovende, om end ufuldstændigt, redskab til at supplere de forskellige hidtidige forsøg på at harmonisere international voldgift, navnlig instrumenter fra IBA og FN's Kommission for International Handelsret (UNCITRAL).

Først vil der blive givet et kort resumé af køreplanen, som indeholder en henvisning til GDPR-principperne. Det er ikke meningen, at dette skal være en omfattende oversigt, men snarere en introduktion til køreplanens hovedpunkter for at give læseren en kontekst for den efterfølgende diskussion. For det andet vil der blive givet en kommentar, som berører seks relevante spørgsmål:

  • GDPR's anvendelighed på voldgiftssager, der afholdes uden for EU;
  • GDPR i forbindelse med voldgiftssager i forbindelse med den nordamerikanske frihandelsaftale (NAFTA), som illustreret i Tennant Energy, LLC mod Canadas regering;[x]
  • spørgsmålet om videokonferencer, som har fået stærkt stigende betydning under Covid-19-pandemien, herunder henvisninger til "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Cybersecurity Protocol)[xi] IBA's retningslinjer for cybersikkerhed[xii] og ICC's vejledende notat om mulige foranstaltninger til afbødning af virkningerne af COVID-19-pandemien;[xiii]
  • "tredjepartsfinansierere", og hvordan der tages hensyn til dem i køreplanen;
  • misbrug af GDPR, især som et skjold for manglende videregivelse af oplysninger, og
  • muligheden for at anvende manglende overholdelse af kravene om beskyttelse af personoplysninger som en vej til annullation eller nægtelse af anerkendelse og fuldbyrdelse af voldgiftskendelsen.

De afsluttende overvejelser vil blive fremlagt i konklusionen.

Køreplan

Enkeltpersoner og juridiske enheder er underlagt forpligtelser til at beskytte de registreredes personoplysninger. Voldgiftsretten er ikke selv underlagt forpligtelser til beskyttelse af personoplysninger. Hvis kun én deltager i voldgiften er underlagt forpligtelser til beskyttelse af personoplysninger, kan voldgiften dog blive påvirket som helhed. Om behandlingen af personoplysninger falder ind under de relevante love, det materielle og jurisdiktionelle anvendelsesområde vil afgøre, om lovgivningen om beskyttelse af personoplysninger finder anvendelse.[xiv]

Moderne love om beskyttelse af personoplysninger finder anvendelse, når personoplysninger om en registreret person behandles i forbindelse med aktiviteter, der falder inden for de relevante love om beskyttelse af personoplysninger.[xv] Personoplysninger omfatter "alle oplysninger om en identificeret eller identificerbar fysisk person".[xvi] Under en typisk voldgiftssag udveksles betydelige mængder oplysninger om bl.a. parterne, deres rådgivere, retten og tredjeparter. Som sådan vil de sandsynligvis blive betragtet som værende omfattet af definitionen af "personoplysninger". Ved "registrerede personer" forstås de ovennævnte personer, som er identificeret eller identificerbare.[xvii] Behandling omfatter aktive og passive operationer og omfatter således anvendelse, formidling og sletning af personoplysninger samt modtagelse, organisering og lagring af personoplysninger.[xviii] Anvendelsesområdet omfatter handlinger, når personoplysninger behandles i forbindelse med aktiviteterne i et af den registeransvarliges eller registerførers forretningssted i EU[xix] og ekstraterritorialt, f.eks. når personoplysninger overføres uden for EU til enheder eller enkeltpersoner, som ikke af andre årsager allerede er omfattet af GDPR.[xx]

Voldgiftsmænd vil blive kvalificeret som dataansvarlige, hvilket betyder, at de vil være ansvarlige for overholdelse af lovgivningen om beskyttelse af personoplysninger. På grundlag af definitionen af "dataansvarlig";[xxi] de fleste voldgiftsdeltagere[xxii] der sandsynligvis vil blive betragtet som sådanne, herunder advokater, parter og institutionen. Dataansvarlige kan uddelegere databehandling til databehandlere,[xxiii] som vil være under deres kontrol og vil kræve databehandleraftaler på de vilkår, der er foreskrevet i den gældende lovgivning. Sekretærer, transskribere, oversættere og andre vil således sandsynligvis alle blive betragtet som databehandlere. Der er desuden spørgsmålet om fælles registeransvarlige, som i fællesskab bestemmer formålet med og midlerne til databehandlingen. Den fælles dataansvarlige fortolkes bredt, men den fælles dataansvarliges ansvar er begrænset til kun at omfatte den behandling, som den dataansvarlige har bestemt, dens formål og midler og ikke den samlede behandling.[xxiv]

I internationale voldgiftssager er begrænsningerne for overførsel af personoplysninger mellem jurisdiktioner en indlysende måde, hvorpå lovgivningen om beskyttelse af personoplysninger finder anvendelse. De forskellige voldgiftsdeltageres baggrund vil være afgørende for anvendelsen af forskellige ordninger for beskyttelse af personoplysninger. Moderne lovgivning om beskyttelse af personoplysninger begrænser overførsel af personoplysninger til tredjelande for at sikre, at retlige forpligtelser ikke omgås ved overførsel af personoplysninger til jurisdiktioner med lavere standarder for beskyttelse af personoplysninger.[xxv] GDPR tillader overførsel af personoplysninger til et tredjeland, hvis en af følgende situationer opstår:

  • landet er af EU-Kommissionen blevet anset for at yde tilstrækkelig beskyttelse af personoplysninger;
  • en af de udtrykkeligt anførte beskyttelsesforanstaltninger er indført;
  • en undtagelse, der tillader overførsler, når det er nødvendigt for at fastslå, udøve eller forsvare retskrav, eller
  • en parts tvingende legitime interesse.[xxvi]

Disse regler gælder for voldgiftsdeltagere og ikke for voldgiften som helhed, hvilket betyder, at hver enkelt voldgiftsdeltager skal overveje, hvilke begrænsninger for overførsel af personoplysninger der gælder for vedkommende.

De principper for beskyttelse af personoplysninger, der finder anvendelse i forbindelse med voldgift, omfatter fair og lovlig behandling, proportionalitet, dataminimering, formålsbegrænsning, den registreredes rettigheder, nøjagtighed, datasikkerhed, gennemsigtighed og ansvarlighed.[xxvii]

Nogle få af disse principper kræver yderligere kommentarer. Retfærdig og lovlig behandling betyder, at personoplysninger kun må behandles på måder, som de registrerede med rimelighed kan forvente, og at der skal være et retsgrundlag for behandlingen. Ved anvendelse af rimelighedsprincippet bør parten og dens rådgiver spørge sig selv, om de fysiske personer i lyset af alle fakta ville have forventet, at deres personoplysninger ville blive behandlet på denne måde, om det vil have negative konsekvenser for dem, og om disse konsekvenser er berettigede. Dette princip forhindrer ikke, at personoplysninger, der findes i forretningsmails, kan anerkendes som bevismateriale.

Begrebet lovlig behandling indebærer et retsgrundlag, som er faktabaseret og sagsspecifikt. I stedet for at basere sig på samtykke bør man påberåbe sig specifikke retsgrundlag i GDPR.[xxviii]

Proportionalitet kræver en overvejelse af arten, omfanget, sammenhængen og formålet med behandlingen i forhold til de risici, som den registrerede udsættes for.[xxix] Dataminimering kræver, at voldgiftsdeltagere begrænser behandlingen af personoplysninger til det, der er tilstrækkeligt, relevant og begrænset til det, der er nødvendigt.[xxx] Gennemsigtighed kræver, at de registrerede skal underrettes om behandlingen og formålet med behandlingen af personoplysningerne enten ved hjælp af generelle meddelelser, specifikke meddelelser eller begge dele.[xxxi] Ansvarlighed vedrører det personlige ansvar for overholdelse af databeskyttelsen, hvilket betyder, at voldgiftsdeltagere bør dokumentere alle personlige databeskyttelsesforanstaltninger og beslutninger, der træffes, for at påvise overholdelse.[xxxii]

Overholdelse af reglerne om beskyttelse af personoplysninger påvirker de enkelte trin i en international voldgiftssag, ikke kun under selve voldgiftssagen, men også under forberedelserne. Voldgiftsdeltagerne bør fra starten overveje, hvilke love om beskyttelse af personoplysninger der gælder for dem selv og andre voldgiftsdeltagere, og hvilke voldgiftsdeltagere der vil behandle personoplysninger som registeransvarlige, registerførere eller fælles registeransvarlige. Tredjelands regler for overførsel af personoplysninger og aftaler om behandling af personoplysninger vedrørende tredjepartstjenesteydere bør også overvejes. I løbet af dokumentindsamlingen og gennemgangsprocessen har parterne og deres juridiske rådgivere brug for et lovligt grundlag for behandlingsaktiviteter og overførsel af personoplysninger til tredjelande.[xxxiii]

Anmodningen om voldgift samt efterfølgende indlæg vil indeholde personoplysninger, som falder helt ind under området for behandling. Hvis en voldgiftsinstitution er bundet af de gældende love om beskyttelse af personoplysninger, skal den overveje potentielle forpligtelser til beskyttelse af personoplysninger, der gælder under hvert enkelt proceduremæssigt skridt. Hvis en voldgiftsinstitution er omfattet af GDPR, vil den typisk blive en registeransvarlig for personoplysninger. For at overholde artikel 13 og 14 i GDPR bør en sådan institution inkludere oplysninger om sikkerhedsforanstaltninger, udøvelse af de registreredes rettigheder, opbevaring af registre og politikker for brud på og opbevaring af data i sin meddelelse om beskyttelse af personlige oplysninger.[xxxiv] Internationale organisationer, der administrerer voldgiftssager mellem investorer og stater, kan imidlertid være udelukket fra persondatabeskyttelseslovens anvendelsesområde på grund af privilegier og immuniteter i den stat, der er hjemland for organisationen, eller i en værtslandsaftale. Der skal derfor foretages særskilte overvejelser her, herunder bl.a. om organisationen er bundet af lovgivningen om beskyttelse af personoplysninger, og om - og i hvilket omfang - voldgiftsdeltagere vil være omfattet af privilegier og immuniteter.[xxxv]

I forbindelse med udnævnelsen af voldgiftsmænd til en voldgiftsret udveksles der normalt betydelige mængder af potentielle voldgiftsmænds personoplysninger. Voldgiftsdeltagerne bør medtage retsgrundlaget for behandling af disse personoplysninger i deres juridiske meddelelser og udtrykkeligt underrette de voldgiftsmænd, der overvejes udpeget, om behandlingen af deres personoplysninger, navnlig i tilfælde af overførsel af personoplysninger til tredjelande.[xxxvi]

Når voldgiftssagen er i gang, bør ansvaret for overholdelse af databeskyttelsesreglerne fordeles tidligt for at minimere risici. Beskyttelse af personoplysninger bør være på dagsordenen for den første procedurekonference, og voldgiftsdeltagerne bør forsøge at nå til enighed om, hvordan de skal håndtere overholdelsen af persondatabeskyttelsen så tidligt som muligt. Parterne, deres advokater og voldgiftsmændene bør overveje at indgå en protokol om beskyttelse af personoplysninger for at håndtere spørgsmål om overholdelse effektivt. Hvis dette ikke er muligt, er en alternativ mulighed, at voldgiftsretten medtager dem i procedurebekendtgørelse nr. 1.[xxxvii]

I processen for udarbejdelse og offentliggørelse af dokumenter er princippet om minimering af personoplysninger særlig relevant. I henhold til GDPR vil dette sandsynligvis kræve:

  • begrænsning af de videregivne personoplysninger til det, der er relevant og ikke er duplikerende;
  • at identificere de personoplysninger, der er indeholdt i det reagerende materiale, og
  • redigering eller pseudonymisering af unødvendige personoplysninger.

Disse spørgsmål bør også behandles tidligt i proceduren, helst på eller før den første procedurekonference.[xxxviii]

Når det drejer sig om at afsige kendelser, bør voldgiftsmænd og institutioner overveje grundlaget for og nødvendigheden af at medtage personoplysninger i kendelser. Hvis voldgift er fortrolig, er der ikke desto mindre en risiko for, at en voldgiftskendelse bliver offentlig, når den fuldbyrdes. Selv om personoplysninger er redigeret, forbliver de typisk personoplysninger, da den registrerede person kan identificeres fra resten af kendelsen eller relateret materiale.[xxxix]

Opbevaring og sletning af data betragtes som behandling i henhold til GDPR, som fastsætter, at personoplysninger "opbevares i en form, der gør det muligt at identificere de registrerede i et tidsrum, der ikke er længere end nødvendigt af hensyn til de formål, til hvilke personoplysningerne behandles".[xl] De registeransvarlige skal overveje, dokumentere og kunne begrunde varigheden af opbevaringen og dokumentere den. Voldgiftsdeltagerne skal overveje, hvilken periode for opbevaring af data der er rimelig, og de bør anlægge en forholdsmæssig tilgang for at afbalancere deres behov med den virkning, som opbevaringen af data har på den registrerede.[xli]

Anvendelsen af GDPR på voldgiftssager, der afholdes uden for EU

Den generelle forordning om databeskyttelse har et relativt bredt territorialt anvendelsesområde. Advokater bør være opmærksomme på, at den finder anvendelse, uanset om de befinder sig i EU eller ej, eller om voldgiftssagen har sit sæde i EU eller ej. GDPR finder anvendelse på behandling af personoplysninger af registeransvarlige eller registerførere, der er etableret i EU, uanset om selve behandlingen finder sted i EU (artikel 3, stk. 1). Når det drejer sig om at tilbyde varer eller tjenesteydelser til EU-borgere eller om overvågning af adfærd, der finder sted i EU, finder GDPR desuden anvendelse på behandling af personoplysninger af en registeransvarlig eller registerfører, der ikke er etableret i EU (artikel 3, stk. 2).

Anvendt i voldgiftssammenhæng pålægger GDPR forpligtelser for registeransvarlige og registerførere - voldgiftsmænd, advokater, parter og institutioner - der falder inden for dens materielle og territoriale anvendelsesområde, snarere end for voldgiftsproceduren direkte. Selv om det kun er en enkelt voldgiftsdeltager, der har forbindelse til EU, vil de være forpligtet til at behandle personoplysninger i overensstemmelse med GDPR. Der kan opstå konsekvenser for proceduren som helhed.[xlii]

I forbindelse med international voldgift, hvor overførsel af voldgiftsmateriale, der indeholder personoplysninger, er det måske mest bemærkelsesværdige de restriktioner, der er indført for overførsel af personoplysninger til "tredjelande" uden for Det Europæiske Økonomiske Samarbejdsområde (EØS). I et sådant scenario kræves et af fire lovlige grundlag for at tillade overførsel af personoplysninger. For det første er overførsel til et tredjeland tilladt, hvis tredjelandet er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (artikel 45, stk. 1).[xliii] Hvis dette ikke er tilfældet, bør en af de relevante beskyttelsesforanstaltninger (artikel 46, stk. 1) indføres, hvor det er muligt.[xliv] Hvis der ikke foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, og det ikke er muligt at indføre en passende beskyttelsesforanstaltning, kan der gøres brug af en specifik undtagelse (artikel 49, stk. 1).[xlv] Endelig kan en part i mangel af ovenstående påberåbe sig en tvingende legitim interesse (artikel 49, stk. 1)[xlvi] som et lovligt grundlag for overførsel af personoplysninger til en tredjepart.

Køreplanen indeholder en ganske udførlig beskrivelse af de nødvendige overvejelser, som deltagerne i voldgiftssager skal gøre sig. Det understreges flere gange, at det er voldgiftsdeltagerne og ikke voldgiften som sådan, som principperne om beskyttelse af personoplysninger og overførselsreglerne gælder for.[xlvii] I overensstemmelse hermed er den formodede konklusion, at en EU-baseret voldgiftsmand i en voldgiftssag uden for EU, som ellers ikke er omfattet af GDPR, alligevel skal overholde GDPR's krav til behandling og overførsel af personoplysninger. Dette er faktisk generelt accepteret i kommercielle voldgiftssager,[xlviii] men situationen er ikke lige så klar, når det drejer sig om voldgift mellem investorer og stater.

Sagen Tennant Energy, LLC mod Canadas regering

I 2019, i NAFTA Chapter 11-voldgiftssagen Tennant Energy, LLC mod Canadas regering (Tennant),[xlix] Tennant, sagsøgeren, rejste spørgsmålet om, hvorvidt GDPR finder anvendelse på sagen i lyset af et af domstolens medlemmers britiske statsborgerskab og bopæl. Retten udstedte imidlertid anvisninger til parterne, hvori den anførte, at "en voldgiftssag i henhold til NAFTA kapitel 11, en traktat, som hverken Den Europæiske Union eller dens medlemsstater er part i, formodentlig ikke falder ind under GDPR's materielle anvendelsesområde".[l]

Det er vigtigt at skelne mellem traktatbaseret voldgift og handelsvoldgift, og Tennant falder ind under den første kategori. I køreplanen tages der hensyn til denne sondring, idet det bemærkes, at internationale organisationer kan være udelukket fra anvendelsesområdet for lovgivningen om beskyttelse af personoplysninger.[li] Medlemmerne af tribunalet i Tennant-voldgiftssagen kan være omfattet af visse immuniteter, der følger af Den Permanente Voldgiftsdomstols (PCA) hjemstedsaftale med Nederlandene. NAFTA-tribunalet overvejede imidlertid ikke, om PCA som en international organisation ville være underlagt GDPR's overførselsregler, eller om domstolsmedlemmerne ville få visse immuniteter fra aftalen.

The Tennant retning rejser flere spørgsmål end den giver svar med hensyn til GDPR's anvendelighed på NAFTA-procedurer og på traktatbaserede voldgiftssager mere generelt, hvilket en nuanceret diskussion af dette spørgsmål ligger uden for rammerne af denne artikel. Ikke desto mindre viser Tennant-retningen, set i lyset af køreplanen, at dette emne fortsat er meget usikkert. Det er i bedste fald tvivlsomt, om køreplanen bringer nogen klarhed til voldgiftsdeltagere, der står over for et sådant spørgsmål, især i betragtning af, at køreplanen blev udsendt efter Tennant der blev givet en retskendelse, men uden at give den sidstnævnte nogen form for modydelse.

Spørgsmålet om videokonferencer

I køreplanen anerkendes betydningen af persondatasikkerhed. Men med den nylige brug af yderligere teknologi til at fremme virtuelle høringer og arbejde hjemmefra - hovedsagelig som følge af de nuværende omstændigheder, som Covid-19-pandemien har påtvunget os - er dette spørgsmål endnu vigtigere. Protokollen om cybersikkerhed[lii] og IBA's retningslinjer for cybersikkerhed[liii] har kastet lidt lys over spørgsmålet.

Ligesom køreplanen opstiller protokollen om cybersikkerhed en række underliggende principper. Proportionalitetsprincippet finder anvendelse, Retten har myndighed og skønsbeføjelse til at fastlægge de eksisterende sikkerhedsforanstaltninger, og informationssikkerhed er et spørgsmål, der bør drøftes på den første sagsbehandlingskonference. Bilag A til protokollen om cybersikkerhed indeholder en tjekliste, som parterne i en voldgiftssag kan bruge til at sikre proceduren.

Efter den seneste ændring i arbejdsmønstre og -miljøer som følge af Covid-19-pandemien bør disse spørgsmål tillægges større vægt. I en verden, der er blevet presset til at finde nye måder at drive forretning på og tilpasse sig til tider med usikkerhed, er et af de spørgsmål, som den juridiske sektor har stået over for, spørgsmålet om høringer kombineret med restriktioner og behovet for social distancering. Som sådan er populariteten af videokonferencer og brugen heraf i internationale voldgiftssager noget, som køreplanen burde tage fat på, men som den ikke har gjort - eller i hvert fald ikke har gjort det endnu.

Selv om mange har diskuteret og påpeget problemerne i forbindelse med videohøringer, har de fleste ikke taget stilling til, hvordan lovgivningen om beskyttelse af personoplysninger bør anvendes på dem, ikke kun med hensyn til beskyttelse af personoplysninger, men også med hensyn til sikkerhed, da nogle platforme har været udsat for sikkerhedsangreb.[liv]

Som nævnt ovenfor er det vigtigt at forstå de forskellige roller for de parter, der er involveret i en voldgiftssag vedrørende GDPR, nemlig hvem der er "dataansvarlige" og "databehandlere". Hvis videokonferencesoftwaren behandler personoplysninger, f.eks. brugernavn og e-mailadresse fra en parts brug af tjenesten, vil de blive betragtet som "databehandlere". Det betyder, at de skal overholde GDPR-reglerne, hvis nogen af deltagerne er hjemmehørende i EU. Da Retten er den "dataansvarlige", vil det derefter være Rettens ansvar at sikre en sådan overholdelse.

Det Internationale Handelskammer (ICC) har udsendt en vejledning[lv] som giver parterne forslag til klausuler for cybersikkerhedsprotokoller og virtuelle høringer. Den tager sigte på at behandle sikkerhedsaspektet, men den behandler ikke aspektet om beskyttelse af personoplysninger. Køreplanen bør drøfte de muligheder, hvor persondatabeskyttelse kan finde anvendelse på høringer, der gennemføres virtuelt, og også hvordan man kan overholde dette. GDPR specificerer de krav, der skal opfyldes i forbindelse med videokonferencer, men den giver ikke vejledning om, hvordan kravene er direkte anvendelige.

Selv om køreplanen ikke indeholder anbefalinger om specifikke softwareleverandører, kunne den udarbejde en liste over de nødvendige specifikationer for en ideel software til videohøringer og give aktørerne en sådan liste, ligesom den indeholder checklister over forskellige andre spørgsmål i bilagene.

Hvor passer tredjepartsfinansierere ind?

Ved en tredjepartsfinansierende part forstås enhver ikke-part i voldgiftssagen, der indgår en aftale om at finansiere alle eller en del af omkostningerne ved sagen mod et beløb, der helt eller delvist afhænger af sagens udfald.[lvi] Tredjepartsfinansierere har adgang til forskellige personoplysninger i voldgiftssager, som de finansierer eller overvejer at finansiere. Selv om køreplanen udtrykkeligt kun er rettet mod voldgiftsdeltagere, anføres det, at vejledningen er relevant for tjenesteudbydere, som også er berørt af kravene om beskyttelse af personoplysninger.[lvii]

I køreplanen omfatter tjenesteudbydere "eksperter i e-opsporing, informationsteknologer, retsjournalister, oversættelsestjenester osv.[lviii] men tredjepartsfinansierere er ikke udtrykkeligt nævnt. I henhold til GDPR er indsamling og opbevaring af personoplysninger omfattet af behandling. Hvis tredjepartsfinansieringsvirksomhederne indsamler personoplysninger fra andre, vil lovgivningen om personoplysninger derfor også gælde for dem.[lix]

GDPR tillader en part at behandle personoplysninger, hvis "behandlingen er nødvendig for at varetage den dataansvarliges eller en tredjeparts legitime interesser".[lx] som voldgiftsdeltagere potentielt kan påberåbe sig som et gældende retsgrundlag for behandling af relevante personoplysninger. Der findes kun begrænset vejledning om dette emne.[lxi] I køreplanen står der:

"Det første skridt i en vurdering af legitime interesser er at identificere en legitim interesse - hvad er formålet med at behandle personoplysningerne, og hvorfor er det vigtigt for dig som dataansvarlig? I forbindelse med voldgift kan den legitime interesse omfatte retspleje, sikring af parternes rettigheder og hurtig og retfærdig afgørelse af krav i henhold til de gældende voldgiftsregler samt mange andre interesser.[lxii]

Medtagelsen af "også mange andre interesser" kunne muligvis omfatte tredjepartsfinansierendes legitime økonomiske interesser. Hvis det er tilfældet, ville de i så fald klart være forpligtet til at indgå databehandleraftaler med parterne i voldgiftssagen og være omfattet af bestemmelserne og kravene om beskyttelse af personoplysninger. Det er interessant, at køreplanen ikke udtrykkeligt beskriver, hvordan tredjepartsfinansierere passer ind i billedet, især i betragtning af den stigende inddragelse af dem i voldgiftssager.

Et skjold for ikke-offentliggørelse

Forpligtelser vedrørende beskyttelse af personoplysninger medfører mulighed for misbrug. Voldgiftsparter kan bruge GDPR som et skjold i ond tro for at forhindre videregivelse af oplysninger, der er relevante for sagen, eller som modparten har anmodet om. En part kan f.eks. gøre indsigelse mod en anmodning om offentliggørelse med den begrundelse, at dokumenterne indeholder personoplysninger, der ikke har noget med tvisten at gøre, eller at det ville være urimeligt byrdefuldt at redigere personoplysningerne.[lxiii]

Køreplanen omhandler muligheden for misbrug. Det foreslås, at man så tidligt som muligt tager hensyn til og præciserer forpligtelserne til beskyttelse af personoplysninger for at mindske risikoen for, at disse forpligtelser får indflydelse på procedurerne. Deltagerne bør overveje at indgå en "databeskyttelsesprotokol" - en aftale om, hvordan beskyttelsen af personoplysninger vil blive anvendt i en bestemt sammenhæng. Hvis det ikke er muligt at opnå en underskrevet databeskyttelsesprotokol, bør disse spørgsmål alternativt behandles i procedurebekendtgørelse nr. 1.[lxiv]

Til sammenligning kan man se på GDPR-overholdelse i forbindelse med opdagelse i amerikanske retssager. De amerikanske forbundsdomstole har anvendt afvejningstests for at afgøre, om de skal beordre offentliggørelse eller overholdelse af stævninger eller kendelser om udlevering af oplysninger, der potentielt er i strid med udenlandske love, herunder love om beskyttelse af personoplysninger.[lxv] En ikke-udtømmende liste over de faktorer, som de amerikanske forbundsdomstole har undersøgt, er følgende:

  • betydningen af de ønskede dokumenter eller andre oplysninger for retssagen;
  • anmodningens specificitetsgrad;
  • om oplysningerne stammer fra USA;
  • om der findes alternative midler til at sikre oplysningerne, og
  • i hvilket omfang manglende overholdelse vil underminere vigtige amerikanske interesser.[lxvi]

Oftest kræver de føderale domstole offentliggørelse på trods af potentielle overtrædelser af udenlandske love om beskyttelse af personoplysninger.[lxvii]

Voldgiftsmænd skal tage andre hensyn end domstolene, når de skal beslutte, om en part skal pålægge en part at offentliggøre oplysninger. Det er korrekt, som der argumenteres for i litteraturen,[lxviii] at domstolene skal være opmærksomme på konkurrerende rettigheder og pligter i lyset af truslen om annullation eller nægtet fuldbyrdelse i henhold til konventionen af 1958 om anerkendelse og fuldbyrdelse af udenlandske voldgiftskendelser (New York-konventionen). Dette synspunkt tager imidlertid ikke højde for, at kendelser om offentliggørelse er underlagt minimal kontrol af statslige domstole i betragtning af princippet om domstolenes ikke-indblanding.[lxix] Der er mange eksempler på, at statslige domstole afholder sig fra at foretage en gennemgang af kendelser om offentliggørelse af oplysninger.[lxx]

I lyset af den skønsbeføjelse, som domstolene har i proceduremæssige spørgsmål, er det usandsynligt, at truslen om annullation eller nægtet fuldbyrdelse vil være et centralt hensyn. Det er uundgåeligt, at parterne forsøger at misbruge GDPR's forpligtelser for at opnå en potentiel proceduremæssig fordel, hvilket vil sætte domstolene i en vanskelig situation med hensyn til at afveje den registreredes interesser på den ene side og opretholde en robust bevisprocedure på den anden side.[lxxi] Det synes at være en forudsætning for at kontrollere denne adfærd, at forpligtelserne til at overholde databeskyttelseskravene præciseres ved procedurens begyndelse - helst i en underskrevet databeskyttelsesprotokol - i overensstemmelse med køreplanens anbefalinger.

Manglende overholdelse af kravene om beskyttelse af personoplysninger som en vej til annullation og afslag på anerkendelse og fuldbyrdelse

Køreplanen omhandler ikke, om manglende overholdelse af kravene om beskyttelse af personoplysninger kan bruges til at tilsidesætte en voldgiftskendelse eller til at nægte anerkendelse og fuldbyrdelse af den. Parterne har meget begrænsede klagemuligheder over for voldgiftskendelser. Ikke desto mindre kan en part, der ikke har fået medhold, ønske at anfægte resultatet og anvende en af de vigtigste fælles grunde til at anfægte kendelsen eller til at forhindre dens anerkendelse eller fuldbyrdelse.

New York-konventionen har i øjeblikket 168 kontraherende stater, hvilket gør den til det primære retsgrundlag for anerkendelse og fuldbyrdelse af udenlandske voldgiftskendelser i internationale handelsvoldgiftssager. Konventionen indeholder i artikel V en række begrænsede grunde til, at anerkendelse og fuldbyrdelse af en voldgiftskendelse kan nægtes. I artikel V, stk. 2, litra b), er den mest bemærkelsesværdige i denne sammenhæng, at den kompetente myndighed i en signatarstat har mulighed for at nægte anerkendelse eller fuldbyrdelse af en voldgiftskendelse, der er i strid med grundlæggende retsprincipper.[lxxii]

Grundene til, at en voldgiftskendelse kan annulleres, varierer fra land til land. UNCITRAL's modellov om international handelsvoldgift, som er blevet bredt vedtaget, indeholder i artikel 34, stk. 2, en liste over årsager til annullation. Denne liste er nøje inspireret af artikel V i New York-konventionen.[lxxiii] I artikel 34, stk. 2, litra b), nr. ii), hedder det, at en voldgiftskendelse kan ophæves af retten, hvis kendelsen er i strid med statens offentlige orden.[lxxiv]

EF-Domstolen fastslog i sagen Eco Swiss mod Benetton, at ufravigelige ufravigelige bestemmelser i EU-retten kan udgøre grundlæggende ordre public-regler, hvis overtrædelse kan udgøre en grund til at annullere en voldgiftskendelse, der er baseret på en sådan grund i national ret.[lxxv] Hvorvidt en dom kan annulleres, eller om dens anerkendelse eller fuldbyrdelse kan nægtes på grund af manglende overholdelse af kravene til beskyttelse af personoplysninger, vil derfor afhænge af, om reglerne i GDPR skal betragtes som overordnede ufravigelige bestemmelser, hvis overtrædelse er i strid med den nationale offentlige orden.[lxxvi]

I artikel 9, stk. 1, i Rom I-forordningen defineres ufravigelige bestemmelser som bestemmelser, "hvis overholdelse af et land anses for afgørende for at beskytte sine offentlige interesser ... i et sådant omfang, at de finder anvendelse på enhver situation, der falder ind under deres anvendelsesområde, uanset hvilken lov der ellers finder anvendelse". Som Cervenka og Schwarz tidligere har erkendt, kan de fleste af GDPR's regler sandsynligvis betragtes som overordnede ufravigelige bestemmelser i henhold til EU-retten. Som sådan kan deres overtrædelse betragtes som en overtrædelse af den offentlige orden.[lxxvii]

Muligheden for, at manglende overholdelse af kravene om beskyttelse af personoplysninger kan føre til annullering eller manglende anerkendelse og fuldbyrdelse af en voldgiftskendelse, giver anledning til forskellige bekymringer. For det første bør det defineres præcist, hvilke forpligtelser vedrørende beskyttelse af personoplysninger der udgør ufravigelige ufravigelige bestemmelser, da ikke alle overtrædelser har samme vægt. I sidste ende vil EF-Domstolen sandsynligvis blive anmodet om at foretage en yderligere præcisering. For det andet bør der også tages hensyn til det potentielle misbrug af muligheden for at anfægte eller bestride håndhævelsen af en kendelse på grundlag af en overtrædelse af GDPR for at forhindre, at parterne bevidst overtræder reglerne om beskyttelse af personoplysninger for senere at have mulighed for at gøre indsigelse mod kendelsen. Endelig bør det defineres, om reglerne om beskyttelse af personoplysninger skal være en del af den processuelle eller materielle ret og på hvilken måde.[lxxviii]

Selv om der er meget, der skal defineres, bør konsekvenserne af manglende overholdelse af kravene om beskyttelse af personoplysninger for annullering samt anerkendelse og fuldbyrdelse af voldgiftskendelser behandles. Det er yderst interessant, at dette ikke nævnes i køreplanen.

Konklusion

Køreplanen har til formål at hjælpe voldgiftseksperter med at identificere og forstå de forpligtelser vedrørende beskyttelse af personoplysninger og privatlivets fred, som de kan være underlagt i en international voldgiftssammenhæng. Som tidligere nævnt behandler den dog stadig ikke nogle specifikke spørgsmål, der er relevante og presserende i dag. De seks spørgsmål, der identificeres og uddybes i dette dokument, er følgende:

  • GDPR's anvendelighed på voldgiftssager, der afholdes uden for EU;
  • GDPR i forbindelse med voldgiftssager i NAFTA;
  • spørgsmålet om virtuelle voldgiftsforhandlinger;
  • tredjepartsfinansierere og deres plads i køreplanen;
  • potentielt misbrug af GDPR, og
  • potentiel manglende overholdelse af GDPR som en vej til annullering eller afslag på anerkendelse og fuldbyrdelse af voldgiftskendelsen.

Disse spørgsmål vil hver især kræve yderligere overvejelser, da de forventes at blive endnu mere relevante i de kommende år. Håbet er, at det er blevet påvist, at de er værd at medtage i køreplanen.

Bilagene[lxxix] der er tilføjet til køreplanen, har til formål at hjælpe fagfolk med at håndtere disse krav på en praktisk måde. Tilføjelsen af tjeklisten for databeskyttelse, tjeklisten for vurdering af legitime interesser, eksempler på meddelelser om beskyttelse af personlige oplysninger og EU's standardkontraktbestemmelser er alle yderst værdifulde ressourcer og bør bruges af fagfolk til at sikre, at de er GDPR-kompatible.

I en konfliktsituation mellem forskellige jurisdiktioner kan forskellene mellem de forskellige nationale lovgivninger vedrørende beskyttelse af personoplysninger imidlertid føre til uklarhed. Selv om retningslinjerne i køreplanen er vidtrækkende, er de stadig ikke bindende. Tidligere har UNCITRAL og IBA lænet sig op ad harmonisering inden for international voldgift gennem deres regler, retningslinjer og lignende; selv om disse ikke er bindende, har de helt sikkert en overbevisende virkning. Ligesom UNCITRAL og IBA har forsøgt at gøre det med forskellige aspekter af international voldgift, er der også et stort behov for harmonisering af kravene til beskyttelse af personoplysninger i forbindelse med voldgift; derfor bør der indføres nødvendige retningslinjer med henblik på harmonisering.

Selv om der fortsat mangler harmonisering, forståelse og bevidsthed om GDPR-kravene og deres konsekvenser i forbindelse med international voldgift, må vi som voldgiftsfolk fortsat nøjes med de gældende retlige rammer. Ikke desto mindre er køreplanen på trods af dens mangler et meget tiltrængt og opmuntrende skridt i retning af en fælles forståelse af voldgiftsdeltagernes forpligtelser vedrørende beskyttelse af personoplysninger.

[i] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), EUT 2016 L 119/1.

[ii] "Personoplysninger" er defineret i artikel 4 i GDPR som:

(1) ""personoplysninger": enhver oplysning om en identificeret eller identificerbar fysisk person ("den registrerede"); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den pågældende fysiske person.

[iii] GDPR's territoriale anvendelsesområde er defineret i artikel 3 som følger:

  1. "Denne forordning finder anvendelse på behandling af personoplysninger i forbindelse med aktiviteterne i et forretningssted for en registeransvarlig eller en registerfører i Unionen, uanset om behandlingen finder sted i Unionen eller ej.
  2. Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der befinder sig i Unionen, af en registeransvarlig eller registerfører, der ikke er etableret i Unionen, når behandlingsaktiviteterne vedrører:

(a) udbud af varer eller tjenesteydelser, uanset om der kræves betaling af den registrerede, til sådanne registrerede i Unionen, eller

(b) overvågning af deres adfærd, for så vidt deres adfærd finder sted inden for Unionen.

  1. Denne forordning finder anvendelse på behandling af personoplysninger, der foretages af en registeransvarlig, som ikke er etableret i Unionen, men på et sted, hvor medlemsstaternes lovgivning finder anvendelse i henhold til folkeretten.

[iv] Se definitionen af "databehandler" i artikel 4 i GDPR.

[v] Artikel 83, stk. 4, i den generelle forordning om databeskyttelse.

[vi] "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22. januar 2019), se www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16. oktober 2020), se www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), se www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, besøgt den 18. august 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, februar 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, besøgt den 18. august 2021.

[ix] Ibid., 1.

[x] PCA-sag nr. 2018-54.

[xi] ICCA og New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, besøgt den 18. august 2021.

[xii] "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, besøgt den 1. december 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (ICC Guidance Note on Possible Measures Aim) (Det Internationale Handelskammer, 9. april 2020), besøgt den 18. august 2021.

[xiv] Køreplan, afsnit B.

[xv] Ibid.

[xvi] Artikel 4, GDPR.

[xvii] Ibid.

[xviii] Artikel 4, GDPR

[xix] Ibid., artikel 3, stk. 1.

[xx] Køreplan, 7.

[xxi] Artikel 4, GDPR.

[xxii] I køreplanen defineres "voldgiftsdeltagere" som "herunder parterne, deres juridiske rådgivere, voldgiftsmænd og voldgiftsinstitutioner (kun)". Se køreplanen (n 3), 2.

[xxiii] Artikel 4, GDPR.

[xxiv] Se dom af 29. juli 2019, Fashion ID GmbH & Co KG mod Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, præmis 74 og 85. Se også dom af 5. juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; dom af 10. juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Køreplan, 11

[xxvi] Ibid., 12.

[xxvii] Artikel 5 og 12-22, GDPR; køreplan 14-15.

[xxviii] I henhold til GDPR er behandling af personoplysninger i forbindelse med international voldgift f.eks. lovlig, når den er nødvendig for at varetage den registeransvarliges legitime interesser - med forbehold af begrænsninger baseret på den registreredes interesser og grundlæggende rettigheder - og følsomme oplysninger kan behandles i henhold til undtagelsen vedrørende retskrav (artikel 9, stk. 2, litra f)) i forbindelse med voldgift.

[xxix] Køreplan, 19.

[xxx] Ibid., 20-21.

[xxxi] Ibid., 30-31.

[xxxii] Ibid., 32.

[xxxiii] Ibid., 33-36.

[xxxiv] Ibid., 37-39.

[xxxv] Ibid., 37.

[xxxvi] Ibid., 39.

[xxxvii] Ibid., 40-41.

[xxxviii] Ibid., 42.

[xxxix] Ibid., 43.

[xl] Artikel 5, stk. 1, litra e), i GDPR.

[xli] Køreplan, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] EU-Kommissionen har vurderet, at landet yder tilstrækkelig databeskyttelse.

[xliv] I tilfælde af international voldgift vil dette sandsynligvis være en standardkontraktbestemmelse.

[xlv] Undtagelsen vedrørende retskrav, der tillader overførsler, når det er "nødvendigt for at fastslå, gøre gældende eller forsvare retskrav", er den mest anvendelige i voldgiftssammenhæng.

[xlvi] På grund af den høje tærskel og kravet om anmeldelse har det kun ringe praktisk relevans at støtte sig på tvingende legitime interesser. Se EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. februar 2018 (Data Transfer Guidance).

[xlvii] Køreplan, 8, 13.

[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration" (Den usynlige arm af GDPR i international voldgift): Kan vi ikke få den til at forsvinde? (Kluwer Arbitration Blog, 29. august 2019), se http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [besøgt 18. august 2021].

[xlix] PKA sag nr. 2018-54.

[l] Ibid., Rettens meddelelse til parterne (Perm Ct Arb, 2019).

[li] Køreplan, 37.

[lii] ICCA og New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, besøgt den 18. august 2021.

[liii] "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, besøgt den 1. december 2020.

[liv] Andreas Respondek, Tasha Lim, 'Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?' (Kluwer Arbitration Blog, 18. juli 2020), se http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, besøgt 18. august 2021.

[lv] "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9. april 2020), tilgået den 18. august 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Køreplan, 2.

[lviii] Ibid., 23-25.

[lix] Artikel 4, stk. 2, i den generelle forordning om databeskyttelse, jf. nr. 1 ovenfor.

[lx] Artikel 6, stk. 1, litra f), i GDPR.

[lxi] Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, besøgt den 18. august 2021.

[lxii] Køreplan, bilag 5.

[lxiii] Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91>, besøgt den 18. august 2021.

[lxiv] Køreplan 40-41.

[lxv] Se f.eks: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6. februar 2020), se www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> besøgt den 18. august 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2. udgave, Kluwer Law International 2014), 2335.

[lxx] Ibid. Born citerer følgende domme for at underbygge dette argument: Dom af 22. januar 2004 i sagen Société Nat'l Cie for Fishing & Marketing "Nafimco" mod Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel i Paris): "voldgiftsrettens beslutning om at beordre discovery ligger inden for dens proceduremæssige skøn og kan ikke efterprøves af domstolene"; Karaha Bodas Co. mod Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), stadfæstet i 364 F 3d 274 (5th Cir 2004): (Fc.

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. december 2019), se www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, besøgt den 18. august 2021.

[lxxii] New York-konventionen, artikel V, stk. 2: "Anerkendelse og fuldbyrdelse af en voldgiftskendelse kan også nægtes, hvis den kompetente myndighed i det land, hvor der anmodes om anerkendelse og fuldbyrdelse, finder, at... (b) anerkendelsen eller fuldbyrdelsen af kendelsen ville være i strid med den offentlige orden i det pågældende land.

[lxxiii] FN's generalsekretær, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), art. 34, stk. 6.

[lxxiv] UNCITRAL's modellov om international handelsvoldgift, artikel 34, stk. 2: "En voldgiftskendelse kan kun ophæves af den domstol, der er nævnt i artikel 6, hvis ... b) domstolen finder, at ... ii) kendelsen er i strid med denne stats offentlige orden".

[lxxv] Dom af 1. juni 1999, Eco Swiss China Time Ltd mod Benetton International NV C-126/97, Sml. 1999, s. I-03055, præmis. 39 og 41. For en detaljeret diskussion af EU's offentlige politik, se: Sacha Prechal og Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka og Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] For en mere detaljeret diskussion af disse og andre spørgsmål, se: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" i José R Mata Dona og Nikos Lavranos (red.), International Arbitration and EU Law (Edward Elgar Publishing, 2021), punkt 5.63 ff; Cervenka og Schwarz, jf. ovenfor, nr. 76, 84-85.

[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, februar 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, besøgt den 18. august 2021.

Denne artikel blev første gang offentliggjort i Dispute Resolution International, Vol 15 No 2, oktober 2021, og er gengivet med venlig tilladelse fra International Bar Association, London, UK. © International Bar Association.