Sprog

Sammenstød mellem titanerne: GDPR og international voldgift - et kig på fremtiden

Publikationer: november 10, 2021

Tilbage til oversigt

Forfattere

Catherine Raudaschl

Relaterede ekspertguider

Indledning

I de senere år er der opstået spørgsmål om de praktiske konsekvenser af persondatabeskyttelse og cybersikkerhed for den faktiske gennemførelse af internationale voldgiftssager - især når man tager højde for den konstante teknologiske udvikling.

Den generelle forordning om databeskyttelse (GDPR)[1] fejrede sin anden fødselsdag i maj 2020. GDPR's rammer for beskyttelse af personoplysninger har til formål at sikre fri bevægelighed for personoplysninger om "identificerede eller identificerbare fysiske personer"[2 ]. Den gælder inden for EU og har et ekstraterritorialt anvendelsesområde, der kan strække sig uden for EU;[3] GDPR kan ikke kun påvirke alle fysiske eller juridiske personer, men pålægger også offentlige myndigheder, agenturer og andre organer - muligvis inklusive internationale organisationer - forpligtelser til beskyttelse af personoplysninger.[GDPR-sanktioner kan udgøre 4 procent af den overtrædende enheds årlige omsætning på verdensplan i det foregående regnskabsår eller 20 millioner euro, alt efter hvad der er højest.[5] Behovet for at tage anvendelsen af GDPR alvorligt er allerede blevet fastslået gennem bøder på flere millioner euro, der er blevet pålagt i flere jurisdiktioner.[6]

Selvom det er fastslået, at lovgivningen om beskyttelse af persondata gælder for voldgift, er det ikke fastslået, hvordan lovgivningen skal anvendes. Derfor oprettede International Council for Commercial Arbitration (ICCA) og International Bar Association (IBA) i februar 2019 en fælles taskforce om databeskyttelse i internationale voldgiftssager med det formål at udarbejde en guide, der giver praktisk vejledning om beskyttelse af personoplysninger i international voldgift. Taskforcen offentliggjorde et høringsudkast til denne vejledning i marts 2020[7]. Denne kommentar vil være baseret på dette udkast til køreplan (køreplanen)[8], og den endelige, reviderede version af køreplanen forventes at blive offentliggjort i september 2021. Selvom fristen for kommentarer til høringsudkastet er overskredet i skrivende stund, er den foreløbige version af køreplanen ikke desto mindre illustrativ for de spørgsmål, som GDPR rejser i internationale voldgiftssager. Den vil derfor blive brugt som grundlag for diskussionen.

De fleste love om beskyttelse af persondata er obligatoriske i voldgiftssager, hvilket betyder, at de foreskriver:

  • hvilke persondata der må behandles;
  • hvor
  • med hvilke midler;
  • med hvilke informationssikkerhedsforanstaltninger; og
  • hvor længe[9].

De behandler dog ikke, hvordan disse bindende forpligtelser skal overholdes i voldgiftssager. I mangel af specifik vejledning fra myndighederne er det meningen, at køreplanen skal hjælpe voldgiftsfolk med at identificere og forstå de forpligtelser til beskyttelse af persondata og privatlivets fred, som de kan være underlagt i forbindelse med en international voldgiftssag. Desuden er omfanget af GDPR-beskyttelse fortsat relevant i internationale voldgiftssager, især om GDPR-love gælder for voldgiftssager med sæde uden for EU. Der er forskellige yderligere konsekvenser, hvis det viser sig, at GDPR gælder for voldgift: for det første, om behandling af personoplysninger er forbudt, og for det andet, om der er begrænsninger på overførsler af personoplysninger uden for EU. Endelig kan konsekvenserne af et sådant angreb på en voldgiftssag medføre betydelige skader på grund af den stigende hyppighed af cyberangreb.

Denne artikel har til formål at kommentere køreplanen og udforske praktiske foranstaltninger, der bør tages i betragtning i forbindelse med forpligtelser til beskyttelse af personoplysninger i internationale voldgiftssager. Den identificerer køreplanen som et lovende, om end ufuldstændigt, værktøj til at supplere forskellige soft law-forsøg på at harmonisere international voldgift indtil videre, især instrumenter fra IBA og FN's Kommission for International Handelsret (UNCITRAL).

Først vil der blive givet et kort resumé af køreplanen, som indeholder en henvisning til GDPR-principperne. Det er ikke meningen, at dette skal være en omfattende oversigt, men snarere en introduktion til køreplanens hovedpunkter for at give læseren en kontekst for den efterfølgende diskussion. Dernæst følger en kommentar, der berører seks relevante spørgsmål:

  • Anvendelsen af GDPR på voldgiftssager, der afholdes uden for EU;
  • GDPR i forbindelse med voldgiftssager under den nordamerikanske frihandelsaftale (NAFTA), som illustreret i sagen Tennant Energy, LLC mod Canadas regering;[10]
  • spørgsmålet om videokonferencer, som er blevet meget vigtigere under Covid-19-pandemien, herunder henvisninger til "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Cybersecurity Protocol)[11], IBA's Cybersecurity Guidelines[12] og ICC's Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic;[13]
  • "tredjepartsfinansiører", og hvordan der tages højde for dem i køreplanen;
  • misbrug af GDPR, især som et skjold for hemmeligholdelse; og
  • muligheden for at bruge manglende overholdelse af kravene til beskyttelse af personoplysninger som en vej til annullering eller afvisning af anerkendelse og fuldbyrdelse af voldgiftskendelsen.

Afsluttende tanker vil blive givet i konklusionen.

Køreplanen

Enkeltpersoner og juridiske enheder er underlagt forpligtelser til at beskytte de registreredes personoplysninger. Voldgift i sig selv er ikke underlagt forpligtelser til beskyttelse af personoplysninger. Men hvis kun én deltager i voldgiftssagen er underlagt forpligtelser til beskyttelse af personoplysninger, kan voldgiftssagen som helhed blive påvirket. Hvorvidt behandlingen af personoplysninger falder inden for de relevante love, materiale og jurisdiktionsområde vil afgøre, om lovgivningen om beskyttelse af personoplysninger finder anvendelse[14].

Moderne love om beskyttelse af personoplysninger gælder, når personoplysninger om en registreret behandles i forbindelse med aktiviteter, der falder inden for de relevante love om beskyttelse af personoplysninger.[15] Personoplysninger omfatter "enhver oplysning om en identificeret eller identificerbar fysisk person".[16] Under en typisk voldgiftssag udveksles der betydelige mængder oplysninger om bl.a. parterne, deres rådgivere, retten og tredjeparter. Som sådan vil de sandsynligvis blive anset for at falde ind under definitionen af "personoplysninger". "Registrerede" henviser til de ovennævnte personer, der er identificeret eller kan identificeres[17]. Behandling omfatter aktive og passive operationer og omfatter således brug, udbredelse og sletning af personoplysninger samt modtagelse, organisering og opbevaring af personoplysninger[18].[18] Anvendelsesområdet omfatter handlinger, når personoplysninger behandles i forbindelse med en dataansvarligs eller en databehandlers aktiviteter i EU[19] og ekstraterritorialt, f.eks. når personoplysninger overføres uden for EU til enheder eller personer, som ikke af andre grunde allerede er underlagt GDPR[20].

Voldgiftsmænd vil blive kvalificeret som dataansvarlige, hvilket betyder, at de vil være ansvarlige for at overholde lovgivningen om beskyttelse af personoplysninger. Men baseret på definitionen af "dataansvarlig"[21] vil de fleste voldgiftsdeltagere[22] sandsynligvis blive betragtet som sådan, herunder advokater, parter og institutionen. Dataansvarlige kan uddelegere databehandling til databehandlere,[23] som vil være under deres kontrol og vil kræve databehandlingsaftaler på vilkår, der er foreskrevet i den gældende lov. Således vil sekretærer, transskribenter, oversættere og andre sandsynligvis alle blive betragtet som databehandlere. Der er også spørgsmålet om fælles dataansvarlige, som i fællesskab bestemmer formålene med og midlerne til databehandling. Fælles dataansvar fortolkes bredt, men den fælles dataansvarliges ansvar er begrænset til kun at omfatte den behandling, som den dataansvarlige har bestemt, dens formål og midler og ikke den samlede behandling[24].

I internationale voldgiftssager er begrænsningerne på overførsler af personoplysninger mellem jurisdiktioner en tydelig måde, hvorpå love om beskyttelse af personoplysninger finder anvendelse. De forskellige voldgiftsdeltageres baggrund vil være afgørende for anvendelsen af forskellige ordninger for beskyttelse af persondata. Moderne love om beskyttelse af persondata begrænser overførsler af persondata til tredjelande for at sikre, at juridiske forpligtelser ikke omgås ved at overføre persondata til jurisdiktioner med lavere standarder for beskyttelse af persondata[25]. GDPR tillader overførsler af persondata til tredjelande, hvis et af følgende sker:

  • EU-Kommissionen har vurderet, at landet yder tilstrækkelig beskyttelse af personoplysninger;
  • en af de udtrykkeligt anførte sikkerhedsforanstaltninger er indført;
  • en undtagelse, der tillader overførsler, hvis det er nødvendigt for at fastslå, udøve eller forsvare retskrav; eller
  • en parts tvingende legitime interesse[26].

Disse regler gælder for voldgiftsdeltagere og ikke for voldgiftssagen som helhed, hvilket betyder, at alle voldgiftsdeltagere skal overveje, hvilke begrænsninger i overførslen af personoplysninger der gælder for dem.

De principper for beskyttelse af personoplysninger, der gælder for voldgift, omfatter retfærdig og lovlig behandling, proportionalitet, dataminimering, formålsbegrænsning, registreredes rettigheder, nøjagtighed, datasikkerhed, gennemsigtighed og ansvarlighed[27].

Nogle få af disse principper kræver yderligere kommentarer. Retfærdig og lovlig behandling betyder, at personoplysninger kun bør behandles på måder, som de registrerede med rimelighed kan forvente, og at der skal være et retsgrundlag for behandlingen. Ved anvendelse af rimelighedsprincippet bør parten og dens advokat spørge sig selv, om personerne i forbindelse med alle fakta ville have forventet, at deres personoplysninger blev behandlet på en sådan måde, om det vil have negative konsekvenser for dem, og om disse konsekvenser er berettigede. Dette princip forhindrer ikke, at personoplysninger, der findes i forretningsmails, kan bruges som bevismateriale.

Begrebet lovlig behandling indebærer et retsgrundlag, der er faktadrevet og sagsspecifikt. I stedet for at basere sig på samtykke bør man påberåbe sig specifikke retsgrundlag i GDPR[28].

Proportionalitet kræver en overvejelse af behandlingens art, omfang, sammenhæng og formål i forhold til de risici, som den registrerede udsættes for.[29] Dataminimering kræver, at voldgiftsdeltagere begrænser behandlingen til personoplysninger, der er tilstrækkelige, relevante og begrænset til det nødvendige.[30] Gennemsigtighed kræver, at de registrerede underrettes om behandlingen og formålet med behandlingen af personoplysningerne gennem enten generelle meddelelser, specifikke meddelelser eller begge dele. 31] Ansvarlighed vedrører det personlige ansvar for overholdelse af databeskyttelse, hvilket betyder, at voldgiftsdeltagere skal dokumentere alle foranstaltninger og beslutninger om beskyttelse af personoplysninger, der er truffet, for at påvise overholdelse. 32]

Overholdelse af persondatabeskyttelse påvirker de enkelte trin i en international voldgiftssag, ikke kun under selve voldgiftssagen, men også under forberedelserne. Voldgiftsdeltagere bør fra starten overveje, hvilke love om beskyttelse af personoplysninger der gælder for dem selv og andre voldgiftsdeltagere, og hvilke voldgiftsdeltagere der vil behandle personoplysninger som dataansvarlige, databehandlere eller fælles dataansvarlige. Tredjelandes regler for overførsel af persondata og aftaler om behandling af persondata vedrørende tredjepartsleverandører bør også overvejes. Under dokumentindsamlings- og gennemgangsprocessen har parterne og deres juridiske rådgivere brug for et lovligt grundlag for behandlingsaktiviteter og overførsler af personoplysninger til tredjelande[33].

Anmodningen om voldgift og de efterfølgende indlæg vil indeholde personoplysninger, som falder helt inden for rammerne af behandlingen. Hvis en voldgiftsinstitution er bundet af de gældende love om beskyttelse af personoplysninger, skal den overveje potentielle forpligtelser til beskyttelse af personoplysninger, der gælder under hvert procestrin. Hvis en voldgiftsinstitution er underlagt GDPR, vil den typisk blive dataansvarlig for personoplysninger. For at overholde artikel 13 og 14 i GDPR bør en sådan institution inkludere oplysninger om sikkerhedsforanstaltninger, udøvelse af registreredes rettigheder, vedligeholdelse af optegnelser og politikker for databrud og opbevaring i sin meddelelse om beskyttelse af personlige oplysninger[34]. Internationale organisationer, der administrerer voldgiftssager mellem investorer og stater, kan dog være udelukket fra anvendelsesområdet for love om beskyttelse af personlige oplysninger på grund af privilegier og immuniteter i den konstituerende stat eller i en aftale med værtslandet. Der skal derfor foretages særskilte overvejelser her, herunder bl.a. om organisationen er bundet af love om beskyttelse af personoplysninger, og om - og i hvilket omfang - voldgiftsdeltagere vil være omfattet af privilegier og immuniteter[35].

Under udnævnelsen af voldgiftsdommere til en voldgiftsret udveksles der generelt betydelige mængder af potentielle voldgiftsdommeres personoplysninger. Voldgiftsdeltagere bør inkludere retsgrundlaget for behandling af disse personoplysninger i deres juridiske meddelelser og udtrykkeligt underrette voldgiftsmænd, der overvejes udnævnt, om behandlingen af deres personoplysninger, især i tilfælde af overførsel af personoplysninger til tredjelande[36].

Når voldgiftssagen er i gang, bør ansvaret for overholdelse af persondatabeskyttelse tildeles tidligt for at minimere risici. Persondatabeskyttelse bør sættes på dagsordenen for den første procedurekonference, og voldgiftsdeltagerne bør forsøge at blive enige om, hvordan man håndterer overholdelse af persondatabeskyttelse så tidligt som muligt. Parterne, deres advokater og voldgiftsmændene bør overveje at indgå en protokol om beskyttelse af personoplysninger for at håndtere spørgsmål om overholdelse effektivt. Hvis dette ikke er muligt, er en alternativ mulighed, at voldgiftsretten inkluderer dem i Procedural Order Number One[37].

Princippet om minimering af persondata er særligt relevant i forbindelse med dokumentproduktion og -fremlæggelse. I henhold til GDPR vil dette sandsynligvis kræve:

  • Begrænsning af de udleverede personoplysninger til det, der er relevant og ikke-duplikativt;
  • identificere de persondata, der er indeholdt i det besvarede materiale; og
  • Redigering eller pseudonymisering af unødvendige personoplysninger.

Disse spørgsmål bør også overvejes tidligt i sagen, helst ved eller før den første proceduremæssige konference[38].

Når det drejer sig om at afsige kendelser, bør voldgiftsmænd og institutioner overveje grundlaget for og nødvendigheden af at inkludere personoplysninger i kendelser. Hvis en voldgiftssag er fortrolig, er der alligevel en risiko for, at en kendelse bliver offentliggjort, når den bliver fuldbyrdet. Selv om personoplysninger er redigeret, forbliver de typisk personoplysninger, da den registrerede kan identificeres ud fra resten af kendelsen eller relaterede materialer[39].

Opbevaring og sletning af data betragtes som behandling i henhold til GDPR, som foreskriver, at personoplysninger skal "opbevares på en måde, der gør det muligt at identificere den registrerede i et tidsrum, der ikke overstiger det tidsrum, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles."[40] Den dataansvarlige skal overveje, dokumentere og kunne begrunde varigheden af opbevaringen. Voldgiftsdeltagere skal overveje, hvilken datalagringsperiode der er rimelig, og bør anlægge en forholdsmæssig tilgang for at afbalancere deres behov med indvirkningen af datalagring på den registrerede[41].

Anvendelsen af GDPR på voldgiftssager uden for EU

Den generelle databeskyttelsesforordnings territoriale anvendelsesområde er relativt bredt. Udøvere bør være opmærksomme på dens anvendelse, uanset om de befinder sig i EU eller ej, eller om voldgiftssagen har sæde i EU eller ej. GDPR gælder for behandling af personoplysninger af dataansvarlige eller databehandlere, der er etableret i EU, uanset om selve behandlingen finder sted i EU (artikel 3, stk. 1). Når det drejer sig om at tilbyde varer eller tjenesteydelser til EU-borgere eller overvåge adfærd, der finder sted i EU, gælder GDPR desuden for behandling af personoplysninger, der foretages af en dataansvarlig eller databehandler, som ikke er etableret i EU (artikel 3, stk. 2).

Anvendt i voldgiftssammenhæng pålægger GDPR forpligtelser for dataansvarlige og databehandlere - voldgiftsmænd, advokater, parter og institutioner - der falder inden for dens materielle og territoriale anvendelsesområde, snarere end for voldgiftsproceduren direkte. Selv hvis det kun er én voldgiftsdeltager, der har en forbindelse til EU, vil de være forpligtet til at behandle personoplysninger i overensstemmelse med GDPR. Det kan få konsekvenser for hele proceduren[42].

Måske mest bemærkelsesværdigt i forbindelse med international voldgift, hvor overførsel af voldgiftsmateriale, der indeholder personoplysninger, er almindeligt, er de begrænsninger, der er lagt på overførslen af personoplysninger til "tredjelande" uden for Det Europæiske Økonomiske Samarbejdsområde (EØS). I et sådant scenarie kræves der et af fire lovlige grundlag for at tillade overførsel af personoplysninger. For det første er overførsel til et tredjeland tilladt, hvis tredjelandet er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (artikel 45, stk. 1)[43]. Hvis dette ikke er tilfældet, skal der indføres en af de fornødne garantier (artikel 46, stk. 1), hvis det er muligt.[44] Hvis der ikke foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, og en passende sikkerhedsforanstaltning ikke er mulig, kan der påberåbes en specifik undtagelse (artikel 49, stk. 1)[45]. Endelig kan en part i mangel af ovenstående påberåbe sig en tvingende legitim interesse (artikel 49, stk. 1)[46] som et lovligt grundlag for overførsel af personoplysninger til tredjepart.

Køreplanen beskriver ganske udførligt de nødvendige overvejelser, som voldgiftsdeltagere skal gøre sig. Det understreges ved flere lejligheder, at det er voldgiftsdeltagerne og ikke voldgiftssagen som sådan, som principperne om beskyttelse af personoplysninger og overførselsreglerne gælder for[47]. I tråd med dette er den formodede konklusion, at en EU-baseret voldgiftsmand i en voldgiftssag uden for EU, som ellers ikke er omfattet af GDPR, alligevel skal overholde GDPR's krav til behandling og overførsel af personoplysninger. Dette er faktisk generelt accepteret i kommercielle voldgiftssager,[48] men situationen er ikke så klar, når det drejer sig om investor-stat-voldgift.

Sagen om Tennant Energy, LLC mod Canadas regering

I 2019, i NAFTA Chapter 11-voldgiftssagen Tennant Energy, LLC v Government of Canada (Tennant),[49] rejste sagsøgeren Tennant spørgsmålet om, hvorvidt GDPR skulle finde anvendelse på sagen i lyset af et af tribunalets medlemmers britiske nationalitet og bopæl. Tribunalet udstedte imidlertid anvisninger til parterne om, at "en voldgift under NAFTA kapitel 11, en traktat, som hverken Den Europæiske Union eller dens medlemsstater er part i, formodentlig ikke falder ind under det materielle anvendelsesområde for GDPR"[50].

Det er vigtigt at skelne mellem traktatbaseret og kommerciel voldgift, hvor Tennant falder ind under førstnævnte kategori. Køreplanen beskæftiger sig med denne sondring og bemærker, at internationale organisationer kan være udelukket fra anvendelsesområdet for love om beskyttelse af personoplysninger[51]. Medlemmer af tribunalet i Tennant-voldgiftssagen kan være underlagt visse immuniteter, der stammer fra Den Permanente Voldgiftsdomstols (PCA) hovedsædeaftale med Holland. NAFTA-tribunalet overvejede dog ikke, om PCA som en international organisation ville være underlagt GDPR's overførselsregler, eller om tribunalets medlemmer ville være omfattet af visse immuniteter i henhold til aftalen.

Tennant-beslutningen rejser flere spørgsmål, end den giver svar på, hvad angår GDPR's anvendelighed i NAFTA-sager og i traktatbaserede voldgiftssager mere generelt, og en nuanceret diskussion af disse spørgsmål ligger uden for rammerne af denne artikel. Ikke desto mindre viser Tennant-retningslinjen, set i lyset af køreplanen, at dette emne fortsat er meget usikkert. Det er i bedste fald tvivlsomt, om køreplanen bringer nogen form for klarhed til voldgiftsdeltagere, der står over for et sådant spørgsmål, især i betragtning af, at køreplanen blev udsendt, efter at Tennant-retningslinjen blev afsagt, men ikke gav sidstnævnte nogen overvejelse.

Spørgsmålet om videokonferencer

Køreplanen anerkender vigtigheden af persondatasikkerhed. Men med den nylige brug af yderligere teknologi til at lette virtuelle høringer samt arbejde hjemmefra - hovedsageligt drevet af de nuværende omstændigheder, der er pålagt os af Covid-19-pandemien - har dette spørgsmål yderligere vægt. Cybersikkerhedsprotokollen[52] og IBA's retningslinjer for cybersikkerhed[53] har kastet et vist lys over spørgsmålet.

Ligesom køreplanen opstiller cybersikkerhedsprotokollen flere underliggende principper. Proportionalitetsprincippet gælder, retten har myndighed og skøn til at bestemme, hvilke sikkerhedsforanstaltninger der skal indføres, og informationssikkerhed er et spørgsmål, der bør drøftes på den første sagsbehandlingskonference. Bilag A til cybersikkerhedsprotokollen indeholder en tjekliste, som parterne i en voldgiftssag kan bruge til at beskytte sagen.

Efter det seneste skift i arbejdsmønstre og -miljøer på grund af Covid-19-pandemien bør disse spørgsmål tillægges større vægt. I en verden, der har været presset til at finde nye måder at drive forretning på og tilpasse sig tider med usikkerhed, er et af de problemer, som den juridiske sektor har stået over for, spørgsmålet om høringer kombineret med begrænsninger og behovet for social afstand. Derfor er videokonferencers popularitet og brugen af dem i internationale voldgiftssager noget, som køreplanen burde tage op, men ikke har gjort - eller i hvert fald ikke endnu.

Selvom mange har diskuteret og påpeget problemerne med videohøringer, har de fleste undladt at forholde sig til, hvordan lovgivningen om beskyttelse af personoplysninger skal anvendes på dem, ikke kun med hensyn til beskyttelse af personoplysninger, men også med hensyn til sikkerhed, da nogle platforme har været udsat for sikkerhedsangreb[54].

Som nævnt ovenfor er det vigtigt at forstå de forskellige roller, som de involverede parter har i en voldgiftssag om GDPR, nemlig hvem der er "dataansvarlige" og "databehandlere". Hvis videokonferencesoftwaren behandler personoplysninger, f.eks. brugernavn og e-mailadresse fra en parts brug af tjenesten, vil de blive betragtet som en "databehandler". Det betyder, at de skal overholde GDPR-reglerne, hvis nogen af deltagerne er bosiddende i EU. Da tribunalet er den "dataansvarlige", er det tribunalets ansvar at sikre, at reglerne overholdes.

Det Internationale Handelskammer (ICC) har udsendt en vejledning[55], som giver parterne forslag til klausuler for cybersikkerhedsprotokoller og virtuelle høringer. Den har til formål at behandle sikkerhedsaspektet, men den behandler ikke aspektet om beskyttelse af personoplysninger. Køreplanen bør diskutere mulighederne for, at persondatabeskyttelse gælder for høringer, der gennemføres virtuelt, og også hvordan man overholder det samme. Mens GDPR specificerer krav, der skal opfyldes med hensyn til videokonferencer, giver den ikke vejledning om, hvordan dens krav er direkte anvendelige.

Selvom køreplanen ikke giver anbefalinger om specifikke softwareudbydere, kunne den samle og give praktikere en liste over de nødvendige specifikationer for en ideel software til videohøringer, ligesom den giver tjeklister om forskellige andre emner i sine bilag.

Hvor passer tredjepartsfinansiører ind?

En tredjepartsfinansiør forstås som enhver ikke-part i voldgiftssagen, der indgår en aftale om at finansiere alle eller en del af omkostningerne ved sagen til gengæld for et beløb, der helt eller delvist afhænger af sagens udfald[56]. Tredjepartsfinansiører har adgang til forskellige personoplysninger i voldgiftssager, som de finansierer eller overvejer at finansiere. Selvom køreplanen udtrykkeligt kun henvender sig til voldgiftsdeltagere, anføres det, at vejledningen er relevant for tjenesteudbydere, som også er berørt af kravene til beskyttelse af persondata[57].

I køreplanen omfatter tjenesteudbydere "e-discovery-eksperter, professionelle inden for informationsteknologi, retsreferenter, oversættelsestjenester osv."[58], men tredjepartsfinansiører nævnes ikke udtrykkeligt. I henhold til GDPR er indsamling og opbevaring af persondata omfattet af behandling. Så hvis tredjepartsfinansiererne indsamler personoplysninger fra andre, vil persondatalovgivningen også gælde for dem[59].

GDPR tillader en part at behandle personoplysninger, hvis "behandlingen er nødvendig af hensyn til de legitime interesser, der forfølges af den dataansvarlige eller af en tredjepart",[60] hvilket potentielt kan nævnes af voldgiftsdeltagere som et gældende retsgrundlag for behandling af relevante personoplysninger. Der er begrænset vejledning om dette emne.[61] Køreplanen siger:

"Det første skridt i en vurdering af legitim interesse er at identificere en legitim interesse - hvad er formålet med at behandle personoplysningerne, og hvorfor er det vigtigt for dig som dataansvarlig? I forbindelse med voldgift kan den legitime interesse omfatte retspleje, sikring af, at parternes rettigheder respekteres, og hurtig og retfærdig afgørelse af krav i henhold til de gældende voldgiftsregler samt mange andre interesser."[62]

Inkluderingen af "også mange andre interesser" kunne muligvis omfatte tredjepartsfinansiørers legitime økonomiske interesser. I så fald ville de helt klart være forpligtet til at indgå databehandlingsaftaler med parterne i voldgiftssagen og være omfattet af reglerne og kravene om beskyttelse af personoplysninger. Det er interessant, at køreplanen ikke eksplicit beskriver, hvordan tredjepartsfinansiører passer ind i billedet, især i betragtning af den stigende inddragelse af dem i voldgiftssager.

Et skjold for hemmeligholdelse

Forpligtelser til beskyttelse af persondata giver mulighed for misbrug. Voldgiftsparter kan bruge GDPR som et skjold i ond tro for at forhindre videregivelse af oplysninger, der er relevante for sagen, eller som modparten har anmodet om. En part kan f.eks. gøre indsigelse mod en anmodning om offentliggørelse med den begrundelse, at dokumenterne indeholder personoplysninger, der ikke er relateret til tvisten, eller at det ville være urimeligt byrdefuldt at redigere personoplysninger[63].

Køreplanen adresserer potentialet for misbrug. Den foreslår, at man rejser og præciserer forpligtelser til beskyttelse af persondata så tidligt som muligt for at reducere risikoen for, at disse påvirker procedurerne. Deltagerne bør overveje at indgå en "databeskyttelsesprotokol" - en aftale om, hvordan persondatabeskyttelse vil blive anvendt i en bestemt sammenhæng. Alternativt, hvis det ikke er muligt at opnå en underskrevet databeskyttelsesprotokol, bør disse spørgsmål behandles i Procedure Order Number One[64].

Til sammenligning kan man se på overholdelse af GDPR under fremlæggelse i amerikanske retssager. Amerikanske forbundsdomstole har anvendt afvejningstests til at beslutte, om de skal beordre offentliggørelse eller overholdelse af stævninger eller påbud om fremlæggelse, der potentielt er i strid med udenlandske love, herunder love om beskyttelse af persondata[65]. En ikke-udtømmende liste over faktorer, som amerikanske forbundsdomstole har set på, er:

  • vigtigheden af de dokumenter eller andre oplysninger, der anmodes om, for retssagen;
  • graden af specificitet i anmodningen;
  • om oplysningerne stammer fra USA;
  • tilgængeligheden af alternative måder at sikre informationen på; og
  • i hvilket omfang manglende efterlevelse vil underminere USA's vigtige interesser[66].

Oftest kræver føderale domstole udlevering på trods af potentielle overtrædelser af udenlandske love om beskyttelse af persondata[67].

Voldgiftsmænd står over for andre overvejelser end domstole, når de skal beslutte, om de vil pålægge en part at videregive oplysninger. Det er korrekt, som det hævdes i litteraturen,[68] at tribunaler skal være opmærksomme på konkurrerende rettigheder og pligter i lyset af truslen om annullering eller nægtet fuldbyrdelse i henhold til 1958-konventionen om anerkendelse og fuldbyrdelse af udenlandske voldgiftskendelser (New York-konventionen). Dette synspunkt tager dog ikke højde for, at kendelser om offentliggørelse er underlagt minimal kontrol af statslige domstole i betragtning af princippet om retlig ikke-indblanding[69]. Der er mange eksempler på, at statslige domstole afholder sig fra at foretage en kontrol af kendelser om offentliggørelse[70].

I lyset af det skøn, som domstolene har i processuelle spørgsmål, er det usandsynligt, at truslen om annullering eller nægtet håndhævelse vil være en central overvejelse. Det uundgåelige i, at parter forsøger at misbruge GDPR's forpligtelser for at opnå en potentiel proceduremæssig fordel, vil sætte domstolene i en vanskelig situation, hvor de på den ene side skal afveje den registreredes interesser og på den anden side opretholde en robust bevisproces[71]. En afklaring af forpligtelserne til overholdelse af persondatabeskyttelse ved procedurens begyndelse - helst i en underskrevet databeskyttelsesprotokol - i overensstemmelse med køreplanens anbefalinger, synes at være et nødvendigt skridt for at kontrollere denne adfærd.

Manglende overholdelse af kravene til beskyttelse af personoplysninger som en vej til annullering og afvisning af anerkendelse og fuldbyrdelse

Køreplanen behandler ikke spørgsmålet om, hvorvidt manglende overholdelse af kravene til beskyttelse af personoplysninger kan bruges til at tilsidesætte en voldgiftskendelse eller til at nægte dens anerkendelse og fuldbyrdelse. Parterne har meget begrænsede muligheder for at klage over kendelser. Ikke desto mindre kan en part, der ikke får medhold, ønske at anfægte resultatet og bruge en af de vigtigste fælles grunde til at anfægte kendelsen eller forhindre dens anerkendelse eller fuldbyrdelse.

New York-konventionen har i øjeblikket 168 kontraherende stater, hvilket gør den til det primære retsgrundlag for anerkendelse og fuldbyrdelse af udenlandske kendelser i international handelsvoldgift. Konventionen indeholder i artikel V begrænsede grunde til at nægte anerkendelse og fuldbyrdelse af en voldgiftskendelse. Mest bemærkelsesværdigt i denne sammenhæng er, at artikel V(2)(b) anerkender muligheden for, at den kompetente myndighed i en signatarstat kan nægte anerkendelse eller fuldbyrdelse af en kendelse, der er i strid med grundlæggende retsprincipper[72].

Grundene til, at en voldgiftskendelse kan tilsidesættes, varierer mellem de forskellige jurisdiktioner. UNCITRAL's modellov om international handelsvoldgift, som er blevet vedtaget i vid udstrækning, indeholder en liste over grunde til annullering i artikel 34(2). Denne liste er nøje inspireret af New York-konventionens artikel V.[73] Artikel 34(2)(b)(ii) fastslår, at en voldgiftskendelse kan tilsidesættes af retten, hvis kendelsen er i strid med statens grundlæggende retsprincipper[74].

EU-Domstolen fastslog i Eco Swiss mod Benetton, at ufravigelige bestemmelser i EU-retten kan udgøre grundlæggende retsprincipper, hvis overtrædelse kan udgøre en grund til annullering af en voldgiftskendelse baseret på en sådan grund i national ret[75]. Hvorvidt en kendelse kan tilsidesættes eller dens anerkendelse eller fuldbyrdelse nægtes på grund af manglende overholdelse af kravene til beskyttelse af personoplysninger, vil derfor afhænge af, om reglerne i GDPR skal betragtes som ufravigelige bestemmelser, hvis overtrædelse er i strid med nationale retsprincipper[76].

Artikel 9, stk. 1, i Rom I-forordningen definerer ufravigelige bestemmelser som bestemmelser, "hvis overholdelse af et land anses for afgørende for at beskytte dets offentlige interesser ... i et sådant omfang, at de finder anvendelse på enhver situation, der falder inden for deres anvendelsesområde, uanset hvilken lov der i øvrigt finder anvendelse". Som Cervenka og Schwarz tidligere har erkendt, kan de fleste af reglerne i GDPR sandsynligvis betragtes som overordnede obligatoriske bestemmelser i henhold til EU-lovgivningen. Som sådan kan deres overtrædelse betragtes som en krænkelse af den offentlige orden[77].

Muligheden for, at manglende overholdelse af persondatabeskyttelseskrav kan føre til annullering eller manglende anerkendelse og håndhævelse af en voldgiftskendelse, giver anledning til forskellige bekymringer. For det første bør det defineres præcist, hvilke forpligtelser til beskyttelse af personoplysninger der vil udgøre ufravigelige bestemmelser, da ikke alle overtrædelser har samme vægt. I sidste ende vil EU-Domstolen sandsynligvis blive opfordret til at give yderligere afklaring. For det andet bør der også tages højde for det potentielle misbrug af muligheden for at anfægte eller bestride håndhævelsen af en kendelse på grundlag af en overtrædelse af GDPR for at forhindre parter i bevidst at overtræde reglerne om beskyttelse af personoplysninger for at få mulighed for at gøre indsigelse mod kendelsen på et senere tidspunkt. Endelig bør det defineres, om reglerne om beskyttelse af personoplysninger skal være en del af procesretten eller den materielle ret og på hvilken måde[78].

Selv om der er meget, der skal defineres, bør konsekvenserne af manglende overholdelse af kravene til beskyttelse af persondata for annullering samt anerkendelse og fuldbyrdelse af voldgiftskendelser behandles. Det er meget interessant, at dette ikke er nævnt i køreplanen.

Konklusion

Køreplanen har til formål at hjælpe fagfolk inden for voldgift med at identificere og forstå de forpligtelser til beskyttelse af personoplysninger og privatlivets fred, som de kan blive underlagt i en international voldgiftssammenhæng. Men som tidligere nævnt behandler den stadig ikke nogle specifikke spørgsmål, som er relevante og presserende i dag. De seks spørgsmål, der er identificeret og uddybet i dette dokument, er

  • Anvendelsen af GDPR på voldgiftssager, der afholdes uden for EU;
  • GDPR i forbindelse med NAFTA-voldgiftssager;
  • spørgsmålet om virtuelle voldgiftshøringer;
  • tredjepartsfinansiører og deres plads i køreplanen;
  • potentielt misbrug af GDPR; og
  • potentiel manglende overholdelse af GDPR som en vej til annullering eller afvisning af anerkendelse og fuldbyrdelse af voldgiftskendelsen.

Disse spørgsmål vil hver især kræve yderligere overvejelser, da de forventes kun at blive mere relevante i de kommende år. Håbet er, at det har vist sig, at de er værd at medtage i køreplanen.

Bilagene[79], der er føjet til køreplanen, har til formål at hjælpe fagfolk med at håndtere disse krav i praksis. Tilføjelsen af tjeklisten for databeskyttelse, tjeklisten for vurdering af legitime interesser, eksempler på privatlivsmeddelelser og EU's standardkontraktbestemmelser er alle ekstremt værdifulde ressourcer og bør bruges af fagfolk til at sikre, at de overholder GDPR.

Men i en konfliktsituation mellem forskellige jurisdiktioner kan forskellene mellem forskellige nationale lovgivninger om beskyttelse af persondata føre til tvetydighed. Selv om retningslinjerne i køreplanen er omfattende, er de stadig ikke bindende. Tidligere har UNCITRAL og IBA bestræbt sig på at skabe harmonisering inden for international voldgift gennem deres regler, retningslinjer og lignende; selv om de ikke er bindende, er de helt sikkert overbevisende. Som UNCITRAL og IBA har forsøgt at gøre med forskellige aspekter af international voldgift, er der også et stort behov for harmonisering af kravene til beskyttelse af persondata i forbindelse med voldgift; derfor bør de nødvendige retningslinjer indføres med henblik på harmonisering.

Mens der stadig mangler harmonisering, forståelse og bevidsthed om kravene til overholdelse af GDPR og dens konsekvenser i forbindelse med international voldgift, vil vi som voldgiftsprofessionelle fortsat nøjes med de nuværende juridiske rammer. På trods af sine mangler er køreplanen dog et tiltrængt og opmuntrende skridt i retning af en fælles forståelse af voldgiftsdeltagernes forpligtelser til beskyttelse af personoplysninger.

Ressourcer

  1. Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), EUT 2016 L 119/1.
  2. "Personoplysninger" er defineret i artikel 4 i GDPR som: (1) "personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for den pågældende fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet".
  3. Det territoriale anvendelsesområde for GDPR er defineret i artikel 3 som følger:
    1. "Denne forordning finder anvendelse på behandling af personoplysninger i forbindelse med aktiviteter, der udføres af en dataansvarligs eller en databehandlers etablering i Unionen, uanset om behandlingen finder sted i Unionen eller ej.

    2. Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der befinder sig i Unionen, som foretages af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne er relateret til:

      (a) udbud af varer eller tjenester, uanset om der kræves betaling fra den registrerede, til sådanne registrerede i Unionen, eller

      (b) overvågning af deres adfærd, for så vidt som deres adfærd finder sted inden for Unionen.

    3. Denne forordning finder anvendelse på behandling af personoplysninger, der foretages af en dataansvarlig, som ikke er etableret i Unionen, men et sted, hvor medlemsstaternes nationale ret finder anvendelse i henhold til folkeretten.
  4. Se definitionen af "databehandler" i artikel 4 i GDPR.
  5. Artikel 83, stk. 4, i GDPR.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22. januar 2019), se www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16. oktober 2020), se www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), se www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, besøgt 18. august 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, februar 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, besøgt 18. august 2021.
  9. Ibid, 1.
  10. PCA-sag nr. 2018-54.
  11. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, besøgt 18. august 2021.
  12. "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, besøgt 1. december 2020.
  13. "ICC Guidance Note on Possible Measures Aim" (Det Internationale Handelskammer, 9. april 2020), besøgt 18. august 2021.
  14. Køreplan, afsnit B.
  15. Ibid.
  16. Artikel 4, GDPR.
  17. Ibid.
  18. Artikel 4, GDPR
  19. Ibid, artikel 3, stk. 1.
  20. Køreplan, 7.
  21. Art. 4, GDPR.
  22. Køreplanen definerer "voldgiftsdeltagere" som "herunder parterne, deres juridiske rådgivere, voldgiftsmændene og voldgiftsinstitutioner (kun)". Se Køreplan (nr. 3), 2.
  23. Artikel 4 i GDPR.
  24. Se dom af 29. juli 2019, Fashion ID GmbH & Co KG mod Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, præmis 74, 85. Se også dom af 5. juni 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; dom af 10. juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Køreplan, 11
  26. Ibid, 12.
  27. Art. 5 og 12-22, GDPR; køreplan 14-15.
  28. I henhold til GDPR er behandling af personoplysninger i forbindelse med international voldgift f.eks. lovlig, når den er nødvendig af hensyn til den dataansvarliges legitime interesser - med forbehold af begrænsninger baseret på den registreredes interesser og grundlæggende rettigheder - og følsomme oplysninger kan behandles i henhold til undtagelsen vedrørende retskrav (artikel 9, stk. 2, litra f)) i forbindelse med voldgift.
  29. Køreplan, 19.
  30. Ibid, 20-21.
  31. Ibid, 30-31.
  32. Ibid, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. Artikel 5, stk. 1, litra e), GDPR.
  41. Køreplan, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. august 2019), se http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, besøgt 18. august 2021.
  43. EU-Kommissionen har vurderet, at landet yder tilstrækkelig databeskyttelse.
  44. I tilfælde af international voldgift vil dette sandsynligvis være en standardkontraktklausul.
  45. Undtagelsen for retskrav, der tillader overførsler, hvor det er "nødvendigt for at fastlægge, udøve eller forsvare retskrav", er den mest anvendelige i voldgiftssammenhæng.
  46. På grund af den høje tærskel og kravet om underretning har påberåbelse af tvingende legitime interesser kun ringe praktisk relevans. Se EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. februar 2018 (Data Transfer Guidance).
  47. Køreplan, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. august 2019), se http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [tilgået 18. august 2021].
  49. PCA-sag nr. 2018-54.
  50. Ibid, Tribunal's Communication to the Parties (Perm Ct Arb, 2019).
  51. Køreplan, 37.
  52. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, tilgået 18. august 2021.
  53. "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, besøgt 1. december 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18. juli 2020), se http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, besøgt 18. august 2021.
  55. "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9. april 2020), besøgt 18. august 2021.
  56. "Tredjepartsfinansiering i international voldgift: The ICCA-QMUL report", (ICCA, maj 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, besøgt 18. august 2018.
  57. Køreplan, 2.
  58. Ibid, 23-25.
  59. Artikel 4, stk. 2, GDPR, se nr. 1 ovenfor.
  60. Artikel 6, stk. 1, litra f), GDPR.
  61. Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, besøgt 18. august 2021.
  62. Køreplan, bilag 5.
  63. Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, besøgt 18. august 2021.
  64. Køreplan 40-41.
  65. Se f.eks: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6. februar 2020), se www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration besøgt 18. august 2021.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
  70. Ibid. Born citerer følgende domme for at underbygge dette argument: Dom af 22. januar 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" mod Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel de Paris): "Voldgiftsrettens beslutning om at beordre fremlæggelse af oplysninger ligger inden for dens proceduremæssige skøn og kan ikke efterprøves af domstolene"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Anmodninger om offentliggørelse er "inden for rammerne af en rimelig udøvelse af domstolens skøn".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. december 2019), se www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, besøgt 18. august 2021.
  72. New York-konventionen, art. V(2): "Anerkendelse og fuldbyrdelse af en voldgiftskendelse kan også nægtes, hvis den kompetente myndighed i det land, hvor der anmodes om anerkendelse og fuldbyrdelse, finder, at ... (b) anerkendelsen eller fuldbyrdelsen af kendelsen vil være i strid med grundlæggende retsprincipper i det pågældende land.
  73. FN's generalsekretær, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), art. 34, stk. 6.
  74. UNCITRAL's modellov om international handelsvoldgift, art. 34(2): "En voldgiftskendelse kan kun tilsidesættes af den domstol, der er angivet i artikel 6, hvis ...(b) domstolen finder, at ... (ii) kendelsen er i strid med denne stats grundlæggende retsprincipper".
  75. Dom af 1. juni 1999, Eco Swiss China Time Ltd mod Benetton International NV C-126/97 [1999] ECR I-03055, paras. 39 og 41. For en detaljeret diskussion af EU's offentlige politik, se: Sacha Prechal og Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka og Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. For en mere detaljeret diskussion af disse og andre spørgsmål, se: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" i José R Mata Dona og Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka og Schwarz, se n 76 ovenfor, 84-85.
  79. "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, februar 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, besøgt 18. august 2021.

Denne artikel blev først offentliggjort i Dispute Resolution International, Vol 15 No 2, October 2021, og er gengivet med venlig tilladelse fra International Bar Association, London, UK. © International Bar Association.

Tilbage til oversigt