Rahvusvahelise Advokatuuri Logo

Titaanide kokkupõrge: GDPR ja rahvusvaheline arbitraaž - pilk tulevikku

Autor: Neva Cirkveni ja Per Neuburger

Sissejuhatus

Viimastel aastatel on tekkinud küsimused isikuandmete kaitse ja küberturvalisuse praktilise mõju kohta rahvusvaheliste vahekohtumenetluste tegelikule läbiviimisele, eriti kui võtta arvesse tehnoloogiliste muutuste pidevat tempot.

Üldine andmekaitse määrus (GDPR)[i] tähistas oma teist sünnipäeva 2020. aasta mais. GDPRi isikuandmete kaitse raamistiku eesmärk on tagada "tuvastatud või tuvastatava(te) füüsilise(te) isiku(te)" isikuandmete vaba liikumine.[ii] Seda kohaldatakse Euroopa Liidus ja selle kohaldamisala võib ulatuda ka väljapoole ELi;[iii] GDPR võib mõjutada mitte ainult kõiki füüsilisi või juriidilisi isikuid, vaid ka riigiasutusi, ametkondi ja muid asutusi - võimalik, et ka rahvusvahelisi organisatsioone -, kelle suhtes kohaldatakse isikuandmete kaitse kohustusi.[iv] GDPRi sanktsioonid võivad ulatuda 4 protsendini rikkuja eelmise majandusaasta ülemaailmsest aastakäibest või 20 miljoni euroni, olenevalt sellest, kumb on suurem.[v] Vajadus võtta selle kohaldamist tõsiselt on juba kindlaks tehtud mitmetes jurisdiktsioonides määratud mitme miljoni euro suuruste trahvide kaudu.[vi]

Kuigi isikuandmete kaitset käsitlevate õigusaktide kohaldamine vahekohtumenetluste suhtes on kindlaks määratud, ei ole kindlaks määratud, kuidas neid õigusakte tuleks kohaldada. Seetõttu asutasid Rahvusvaheline kaubandusarbitraažinõukogu (ICCA) ja Rahvusvaheline Advokatuur (IBA) 2019. aasta veebruaris ühise töörühma "Andmekaitse rahvusvahelistes vahekohtumenetlustes", mille eesmärk on koostada juhend, mis annab praktilisi juhiseid isikuandmete kaitse kohta rahvusvahelises vahekohtumenetluses. Töörühm avaldas selle juhendi konsultatsiooniprojekti 2020. aasta märtsis.[vii] Käesolev kommentaar põhineb sellel teekaardi projektil (edaspidi "teekaart"),[viii] ning tegevuskava lõplik, läbivaadatud versioon avaldatakse eeldatavasti 2021. aasta septembris. Kuigi konsultatsiooniprojekti kohta märkuste esitamise tähtaeg on käesoleva artikli kirjutamise ajal möödunud, on tegevuskava esialgne versioon siiski illustreeriv GDPRi poolt rahvusvahelistes vahekohtumenetlustes tõstatatud küsimuste kohta. Seetõttu kasutatakse seda arutelude aluseks.

Enamik isikuandmete kaitset käsitlevaid õigusakte on vahekohtumenetluses kohustuslikud, mis tähendab, et need näevad ette:

  • milliseid isikuandmeid võib töödelda;
  • kus;
  • milliste vahenditega;
  • milliste infoturbemeetmetega; ja
  • kui kaua.[ix]

Nad ei käsitle siiski seda, kuidas neid siduvaid kohustusi tuleks järgida vahekohtumenetluses. Reguleerivate asutuste konkreetsete juhiste puudumisel on tegevuskava eesmärk aidata vahekohtu spetsialistidel tuvastada ja mõista isikuandmete kaitse ja eraelu puutumatuse kaitse kohustusi, mida nad võivad rahvusvahelise vahekohtumenetluse raames täita. Lisaks sellele on GDPRi kaitse ulatus jätkuvalt asjakohane rahvusvahelistes vahekohtumenetlustes, eelkõige seoses sellega, kas GDPRi õigusakte kohaldatakse väljaspool ELi toimuvate vahekohtumenetluste suhtes. Kui leitakse, et GDPRi kohaldatakse vahekohtumenetluse suhtes, on veel mitmeid tagajärgi: esiteks, kas isikuandmete töötlemine on keelatud, ja teiseks, kas isikuandmete edastamisele väljaspool ELi on kehtestatud piirangud. Lõpuks, kuna küberrünnakud on üha sagedasemad, võivad sellise rünnaku tagajärjed vahekohtule kaasa tuua märkimisväärse kahju.

Käesoleva artikli eesmärk on kommenteerida tegevuskava ja uurida praktilisi meetmeid, mida tuleks arvesse võtta seoses isikuandmete kaitse kohustustega rahvusvahelistes vahekohtumenetlustes. Selles määratletakse teekaart kui paljulubav, kuigi ebatäielik vahend, mis täiendab mitmesuguseid seniseid mittesiduvaid õigusakte, eelkõige IBA ja ÜRO rahvusvahelise kaubandusõiguse komisjoni (UNCITRAL) vahendeid rahvusvahelise vahekohtumenetluse ühtlustamiseks.

Kõigepealt antakse lühikokkuvõte tegevuskava kohta, mis sisaldab viiteid GDPRi põhimõtetele. See ei ole mõeldud põhjalikuks ülevaateks, vaid pigem tutvustab tegevuskava põhipunkte, et anda lugejale konteksti järgnevaks aruteluks. Teiseks esitatakse kommentaar, milles käsitletakse kuut asjakohast küsimust:

  • GDPRi kohaldatavus väljaspool ELi toimuvate vahekohtumenetluste suhtes;
  • GDPR Põhja-Ameerika vabakaubanduslepingu (NAFTA) vahekohtumenetluste kontekstis, nagu on näidatud kohtuasjas Tennant Energy, LLC vs. Kanada valitsus;[x]
  • videokonverentside küsimus, mille tähtsus on kogu Covid-19 pandeemia ajal oluliselt suurenenud, sealhulgas viited "ICCA-NYC Bar-CPR protokollile küberturvalisuse kohta rahvusvahelises vahekohtumenetluses" (küberturvalisuse protokoll).[xi] IBA küberturvalisuse suunised[xii] ja Rahvusvahelise Kriminaalkohtu suunised võimalike meetmete kohta, mis on suunatud COVID-19 pandeemia mõjude leevendamisele;[xiii]
  • "kolmandatest isikutest rahastajad" ja nende arvessevõtmine tegevuskavas;
  • GDPRi kuritarvitamine, eriti kui kaitsekilp andmete avaldamata jätmise eest; ja
  • võimalus kasutada isikuandmete kaitse nõuete täitmata jätmist vahekohtu otsuse tühistamiseks või selle tunnustamisest ja täitmisest keeldumiseks.

Lõplikud mõtted esitatakse kokkuvõttes.

Teekaart

Eraisikutel ja juriidilistel isikutel on kohustus kaitsta andmesubjektide isikuandmeid. Arbitraaži enda suhtes ei kehti isikuandmete kaitse kohustused. Kui aga ainult ühe vahekohtu osaleja suhtes kohaldatakse isikuandmete kaitse kohustusi, võib see mõjutada vahekohtu kui terviku tegevust. See, kas isikuandmete töötlemine kuulub asjakohaste seaduste, materiaalse ja jurisdiktsiooni kohaldamisalasse, määrab, kas isikuandmete kaitset käsitlevad õigusaktid on kohaldatavad.[xiv]

Kaasaegseid isikuandmete kaitse seadusi kohaldatakse alati, kui andmesubjekti isikuandmeid töödeldakse asjaomaste isikuandmete kaitse seaduste reguleerimisalasse kuuluvate tegevuste käigus.[xv] Isikuandmed hõlmavad "mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta".[xvi] Tüüpiliste vahekohtumenetluste käigus vahetatakse märkimisväärset osa teabest, mis on muu hulgas seotud poolte, nende kaitsjate, kohtu ja kolmandate isikutega. Seega on tõenäoline, et need kuuluvad "isikuandmete" määratluse alla. "Andmesubjektid" viitab eespool nimetatud isikutele, kes on tuvastatud või tuvastatavad.[xvii] Töötlemine hõlmab aktiivseid ja passiivseid toiminguid, seega hõlmab isikuandmete kasutamist, levitamist ja kustutamist ning isikuandmete vastuvõtmist, korraldamist ja säilitamist.[xviii] Kohaldamisala hõlmab toiminguid, kui isikuandmeid töödeldakse vastutava töötleja või volitatud töötleja ELis asuva tegevuskoha tegevuse raames.[xix] ja eksterritoriaalselt, näiteks kui isikuandmeid edastatakse väljaspool ELi üksustele või üksikisikutele, kelle suhtes ei kohaldata muudel põhjustel juba GDPRi.[xx]

Vahekohtunikud kvalifitseeruvad vastutavateks andmetöötlejateks, mis tähendab, et nad vastutavad isikuandmete kaitse seaduste järgimise eest. Siiski, lähtudes "vastutava töötleja" määratlusest;[xxi] enamik vahekohtu osalisi[xxii] on tõenäoline, et neid peetakse selliseks, sealhulgas kaitsjad, pooled ja institutsioon. Vastutavad töötlejad võivad delegeerida andmete töötlemise volitatud töötlejatele,[xxiii] kes on nende kontrolli all ja nõuavad andmetöötluslepinguid kohaldatavas õiguses sätestatud tingimustel. Seega peetakse tõenäoliselt andmetöötlejateks sekretäre, transkripteerijaid, tõlkijad ja teisi. Lisaks sellele on veel ühine vastutavate töötlejate küsimus, kes määravad ühiselt kindlaks andmete töötlemise eesmärgid ja vahendid. Ühist vastutavat töötlejat tõlgendatakse laialt, kuid ühise vastutava töötleja vastutus piirdub ainult vastutava töötleja määratud töötlemise, selle eesmärgi ja vahenditega, mitte aga kogu töötlemisega.[xxiv]

Rahvusvahelistes vahekohtumenetlustes on isikuandmete edastamise piirangud jurisdiktsioonide vahel ilmselge viis, kuidas kohaldatakse isikuandmete kaitse seadusi. Erinevate vahekohtu osaliste taust määrab erinevate isikuandmete kaitse režiimide kohaldamise. Kaasaegsed isikuandmete kaitse seadused piiravad isikuandmete edastamist kolmandatesse riikidesse, et tagada, et õiguslikest kohustustest ei hoitaks kõrvale isikuandmete edastamisega jurisdiktsioonidesse, kus isikuandmete kaitse standardid on madalamad.[xxv] GDPR lubab isikuandmete edastamist kolmandatele riikidele, kui esineb üks järgmistest juhtudest:

  • ELi komisjon on leidnud, et riik pakub piisavat isikuandmete kaitset;
  • võetakse kasutusele üks selgesõnaliselt loetletud kaitsemeetmetest;
  • erand, mis võimaldab edastamist, kui see on vajalik õigusnõuete esitamiseks, täitmiseks või kaitsmiseks, või
  • osapoole kaalukas õigustatud huvi.[xxvi]

Neid eeskirju kohaldatakse vahekohtu osaliste, mitte vahekohtu kui terviku suhtes, mis tähendab, et iga vahekohtu osaline peab kaaluma, milliseid isikuandmete edastamise piiranguid tema suhtes kohaldatakse.

Vahekohtumenetluses kohaldatavad isikuandmete kaitse põhimõtted hõlmavad õiglast ja seaduslikku töötlemist, proportsionaalsust, andmete minimeerimist, eesmärgi piiramist, andmesubjekti õigusi, täpsust, andmete turvalisust, läbipaistvust ja vastutust.[xxvii]

Mõned neist põhimõtetest vajavad täiendavaid kommentaare. Õiglane ja seaduslik töötlemine tähendab, et isikuandmeid tuleks töödelda ainult sellisel viisil, mida andmesubjektid mõistlikult ootavad, ja et töötlemisel peab olema õiguslik alus. Õigluse põhimõtet kohaldades peaksid pool ja tema kaitsja küsima, kas kõigi asjaolude kontekstis oleksid isikud oodanud, et nende isikuandmeid töödeldakse sellisel viisil, kas sellel on neile kahjulikud tagajärjed ja kas need tagajärjed on õigustatud. See põhimõte ei takista ärilistes e-kirjades leiduvate isikuandmete tunnistamist tõendina.

Õiguspärase töötlemise mõiste hõlmab õiguslikku alust, mis on faktidel põhinev ja juhtumipõhine. Nõusolekule tuginemise asemel tuleks kasutada GDPRi konkreetseid õiguslikke aluseid.[xxviii]

Proportsionaalsus eeldab, et kaalutakse töötlemise laadi, ulatust, konteksti ja eesmärke seoses andmesubjektile tekkivate riskidega.[xxix] Andmete minimeerimine nõuab, et vahekohtu osalised piirduksid isikuandmete töötlemisega, mis on piisav, asjakohane ja vajalikuga piiratud.[xxx] Läbipaistvus nõuab, et andmesubjekte teavitatakse isikuandmete töötlemisest ja töötlemise eesmärgist kas üldiste teadete, konkreetsete teadete või mõlema kaudu.[xxxi] Vastutus on seotud isikliku vastutusega andmekaitse järgimise eest, mis tähendab, et vahekohtu osalised peaksid dokumenteerima kõik isikuandmete kaitse meetmed ja otsused, mis on võetud, et tõendada vastavust.[xxxii]

Isikuandmete kaitse nõuetele vastavus mõjutab rahvusvahelise vahekohtumenetluse üksikuid etappe, mitte ainult vahekohtumenetluse enda, vaid ka selle ettevalmistamise ajal. Arbitraažis osalejad peaksid algusest peale kaaluma, milliseid isikuandmete kaitse õigusakte kohaldatakse nende ja teiste vahekohtus osalejate suhtes ning millised vahekohtus osalejad töötlevad isikuandmeid vastutavate töötlejate, volitatud töötlejate või ühiste vastutavate töötlejatena. Samuti tuleks kaaluda kolmandate riikide isikuandmete edastamise eeskirju ja isikuandmete töötlemise lepinguid kolmandate isikute teenusepakkujate suhtes. Dokumentide kogumise ja läbivaatamise käigus vajavad pooled ja nende õigusnõustajad seaduslikku alust töötlemistegevuseks ja isikuandmete edastamiseks kolmandatele riikidele.[xxxiii]

Vahekohtu taotlus ja sellele järgnevad avaldused sisaldavad isikuandmeid, mis kuuluvad otseselt töötlemise valdkonda. Kui vahekohtu institutsioon on seotud kohaldatavate isikuandmete kaitse seadustega, peab ta arvestama võimalike isikuandmete kaitse kohustustega, mida kohaldatakse iga menetlusetapi ajal. Kui vahekohtuasutusele kohaldatakse GDPRi, muutub ta tavaliselt isikuandmete vastutavaks töötlejaks. GDPR artiklite 13 ja 14 täitmiseks peaks selline institutsioon lisama oma isikuandmete kaitse teatisesse teabe turvameetmete, andmesubjekti õiguste kasutamise, andmete säilitamise ning andmete rikkumise ja säilitamise poliitika kohta.[xxxiv] Rahvusvahelised organisatsioonid, kes haldavad investori ja riigi vahelisi vahekohtumenetlusi, võivad aga olla välistatud isikuandmete kaitset käsitlevate õigusaktide kohaldamisalast tulenevalt asutajariigi privileegidest ja immuniteetidest või vastuvõtva riigi lepingust. Seega tuleb siinkohal teha eraldi kaalutlused, sealhulgas muu hulgas selle kohta, kas organisatsioon on seotud isikuandmete kaitset käsitlevate õigusaktidega ning kas - ja millises ulatuses - vahekohtus osalejad on hõlmatud privileegide ja immuniteetidega.[xxxv]

Vahekohtu vahekohtunike määramisel vahetatakse üldiselt märkimisväärne hulk potentsiaalsete vahekohtunike isikuandmeid. Vahekohtu osalised peaksid lisama nende isikuandmete töötlemise õigusliku aluse oma õiguslikesse teatistesse ja teavitama selgesõnaliselt vahekohtunikke, kelle nimetamist kaalutakse, nende isikuandmete töötlemisest, eelkõige isikuandmete edastamise korral kolmandatele riikidele.[xxxvi]

Kui vahekohtumenetlus on käimas, tuleks riskide minimeerimiseks varakult määrata isikuandmete kaitse nõuetele vastavus. Isikuandmete kaitse tuleks lisada esimese menetluskonverentsi päevakorda ja vahekohtu osalised peaksid püüdma võimalikult varakult kokku leppida, kuidas lahendada isikuandmete kaitse nõuetega vastavust. Pooled, nende kaitsjad ja vahekohtunikud peaksid kaaluma isikuandmete kaitse protokolli sõlmimist, et tõhusalt lahendada nõuetele vastavusega seotud küsimusi. Kui see ei ole võimalik, on alternatiivne võimalus, et vahekohus lisab need menetluskorda nr 1.[xxxvii]

Dokumentide koostamise ja avalikustamise protsessis on isikuandmete minimeerimise põhimõte eriti oluline. GDPRi kohaselt on selleks tõenäoliselt vaja:

  • piirata avalikustatud isikuandmeid asjakohaste ja mittekorduvate andmetega;
  • vastavas materjalis sisalduvate isikuandmete tuvastamine ja
  • ebavajalike isikuandmete redigeerimine või pseudonümiseerimine.

Neid küsimusi tuleks samuti kaaluda menetluse alguses, eelistatavalt esimesel menetluskonverentsil või enne seda.[xxxviii]

Vahekohtunikud ja institutsioonid peaksid vahekohtu otsuste tegemisel kaaluma, kas ja millised on isikuandmete lisamise alused ja vajalikkus. Kui vahekohtumenetlus on konfidentsiaalne, on siiski oht, et kohtuotsus muutub täitmisel avalikuks. Isegi kui isikuandmed on redigeeritud, jäävad need tavaliselt isikuandmeteks, kuna andmesubjekt on tuvastatav ülejäänud kohtuotsuse või sellega seotud materjalide põhjal.[xxxix]

Andmete säilitamist ja kustutamist loetakse isikuandmete töötlemise alla kuuluvaks GDPRi kohaselt, mis näeb ette, et isikuandmeid "säilitatakse sellisel kujul, mis võimaldab andmesubjektide tuvastamist mitte kauem, kui on vajalik isikuandmete töötlemise eesmärkidel".[xl] Kontrollijad peavad kaaluma, dokumenteerima ja suutma põhjendada ladustamise kestust. Vahekorras osalejad peavad kaaluma, milline andmete säilitamise aeg on mõistlik, ja peaksid kasutama proportsionaalset lähenemisviisi, et tasakaalustada oma vajadusi ja andmete säilitamise mõju andmesubjektile.[xli]

GDPRi kohaldatavus väljaspool ELi toimuvate vahekohtumenetluste suhtes

Üldise andmekaitsemääruse territoriaalne kohaldamisala on suhteliselt lai. Praktikud peaksid olema teadlikud selle kohaldamisest olenemata sellest, kas nad asuvad või kas vahekohtu asukoht on ELis või mitte. Üldist isikuandmete kaitse määrust kohaldatakse isikuandmete töötlemise suhtes ELis asuvate vastutavate töötlejate või volitatud töötlejate poolt, olenemata sellest, kas töötlemine ise toimub ELis (artikli 3 lõige 1). Kui tegemist on kaupade või teenuste pakkumisega ELi kodanikele või ELis toimuva käitumise jälgimisega, kohaldatakse GDPRi ka isikuandmete töötlemise suhtes vastutava töötleja või volitatud töötleja poolt, kes ei ole asutatud ELis (artikli 3 lõige 2).

Vahekohtu kontekstis kohaldades paneb GDPR kohustusi vastutavatele töötlejatele ja volitatud töötlejatele - vahekohtunikele, nõustajatele, pooltele ja institutsioonidele -, mis kuuluvad selle materiaalse ja territoriaalse kohaldamisala alla, mitte aga otseselt vahekohtumenetlusele. Isegi kui vaid üks vahekohtu osaline on seotud ELiga, on ta kohustatud töötlema isikuandmeid kooskõlas GDPRiga. See võib avaldada mõju menetlusele tervikuna.[xlii]

Rahvusvaheliste vahekohtumenetluste kontekstis, kus isikuandmeid sisaldavate vahekohtumaterjalide edastamine on tavapärane, on ehk kõige märkimisväärsemad piirangud isikuandmete edastamisele "kolmandatele riikidele" väljaspool Euroopa Majanduspiirkonda (EMP). Sellise stsenaariumi puhul on isikuandmete edastamise lubamiseks vaja ühte neljast seaduslikust alusest. Esiteks on andmete edastamine kolmandale riigile lubatud, kui selle kolmanda riigi kohta on tehtud piisavuse otsus (artikli 45 lõige 1).[xliii] Kui see ei ole nii, tuleks võimaluse korral kehtestada üks asjakohastest kaitsemeetmetest (artikli 46 lõige 1).[xliv] Kui puudub piisavuse otsus ja asjakohane kaitsemeede ei ole teostatav, võib tugineda konkreetsele erandile (artikli 49 lõige 1).[xlv] Lõpuks, kui eespool nimetatud asjaolusid ei ole, võib pool tugineda kaalukale õigustatud huvile (artikli 49 lõige 1).[xlvi] isikuandmete edastamise seadusliku alusena kolmandale isikule.

Tegevuskavas on üsna põhjalikult esitatud vajalikud kaalutlused, mida vahekohtu osalised peavad tegema. Selles rõhutatakse mitmel korral, et isikuandmete kaitse põhimõtted ja edastamise eeskirjad kehtivad vahekohtu osalistele, mitte vahekohtule kui sellisele.[xlvii] Sellega kooskõlas on eeldatavalt järeldus, et ELis asuv vahekohtunik, kes osaleb ELi-välises vahekohtumenetluses, mis muidu ei kuulu GDPRi kohaldamisalasse, peab siiski täitma GDPRi nõudeid isikuandmete töötlemise ja edastamise kohta. See on tõepoolest üldtunnustatud kaubanduslike vahekohtumenetluste puhul,[xlviii] kuid olukord ei ole nii selge, kui tegemist on investori ja riigi vaheliste vahekohtumenetlustega.

Kohtuasi Tennant Energy, LLC v. Kanada valitsus

2019. aastal, NAFTA 11. peatüki kohases vahekohtumenetluses Tennant Energy, LLC vs. Kanada valitsus (Tennant),[xlix] Hageja Tennant tõstatas küsimuse, kas GDPRi kohaldatakse menetluse suhtes, võttes arvesse ühe kohtu liikme Ühendkuningriigi kodakondsust ja elukohat. Avaliku Teenistuse Kohus andis pooltele siiski juhised, milles märkis, et "NAFTA 11. peatüki alusel toimuv vahekohtumenetlus, mille osaliseks ei ole Euroopa Liit ega selle liikmesriigid, ei kuulu eeldatavalt GDPRi materiaalsesse kohaldamisalasse".[l]

Oluline on eristada lepingupõhist ja kaubanduslikku vahekohtumenetlust, kusjuures Tennant kuulub esimesse kategooriasse. Tegevuskavas käsitletakse seda vahet, märkides, et rahvusvahelised organisatsioonid võivad jääda isikuandmete kaitse seaduste reguleerimisalast välja.[li] Tennanti vahekohtu liikmete suhtes võivad kehtida teatavad immuniteedid, mis tulenevad alalise vahekohtu ja Madalmaade vahelisest peakorterilepingust. NAFTA tribunal ei kaalunud siiski, kas rahvusvahelise organisatsioonina kohaldatakse PKL-i üleandmise eeskirju PKL-i suhtes või kas tribunali liikmetele tulenevad lepingust teatavad immuniteedid.

The Tennant suunas tekitab rohkem küsimusi kui annab vastuseid seoses GDPRi kohaldatavusega NAFTA menetlustele ja lepingupõhistele vahekohtumenetlustele üldisemalt, mille nüansseeritud arutamine ei ole siinkohal võimalik. Sellest hoolimata näitab Tennanti suund, vaadatuna tegevuskava valguses, et see teema on endiselt väga ebakindel. Parimal juhul on küsitav, kas teekaart toob sellise küsimusega silmitsi seisvatele vahekohtu osalistele mingit selgust, arvestades eelkõige seda, et teekaart anti välja pärast seda, kui Tennant suund anti välja, kuid ei andnud viimasele mingit tasu.

Videokonverentsi küsimus

Tegevuskavas tunnistatakse isikuandmete turvalisuse tähtsust. Kuid kuna viimasel ajal kasutatakse täiendavat tehnoloogiat, mis hõlbustab virtuaalseid ärakuulamisi, samuti kodus töötamist, mida enamasti soodustab praegune olukord, mille on meile pannud paika pandeemia Covid-19, siis on see küsimus veelgi kaalukam. Küberturvalisuse protokoll[lii] ja IBA küberturvalisuse suunised[liii] on valgustanud seda küsimust.

Nagu teekaardis, on ka küberturvalisuse protokollis sätestatud mitu aluspõhimõtet. Kohaldatakse proportsionaalsuse põhimõtet, Avaliku Teenistuse Kohtul on volitused ja kaalutlusõigus olemasolevate turvameetmete kindlaksmääramiseks ning infoturve on küsimus, mida tuleks arutada esimesel juhtumi korraldamise konverentsil. Küberturvalisuse protokolli lisas A on esitatud kontrollnimekiri, mida vahekohtu pooled saavad kasutada menetluse kaitsmiseks.

Pärast hiljutist muutust töökorralduses ja -keskkonnas, mis on tingitud Covid-19 pandeemiast, tuleks nendele küsimustele suuremat tähelepanu pöörata. Maailmas, mis on sunnitud leidma uusi äritegevuse viise ja kohanema ebakindla ajaga, on üks probleem, millega õigussektor on silmitsi seisnud, kuulamiste küsimus koos piirangute ja sotsiaalse distantseerumise vajadusega. Seega on videokonverentside populaarsus ja nende kasutamine rahvusvahelistes vahekohtumenetlustes midagi sellist, mida tegevuskava peaks käsitlema, kuid ei ole seda teinud - või vähemalt ei ole seda veel teinud.

Kuigi paljud on arutanud ja rõhutanud videokõnede probleeme, ei ole enamik neist käsitlenud seda, kuidas isikuandmete kaitse seadusi tuleks nende suhtes kohaldada, mitte ainult isikuandmete kaitse, vaid ka turvalisuse osas, sest mõned platvormid on olnud turvarünnakute objektiks.[liv]

Nagu eespool öeldud, on oluline mõista vahekohtumenetluse osapoolte erinevaid rolle seoses GDPRiga, nimelt seda, kes on "vastutavad töötlejad" ja "volitatud töötlejad". Kui videokonverentsitarkvara töötleb isikuandmeid, näiteks kasutajanime ja e-posti aadressi, mis tulenevad poole poolt teenuse kasutamisest, loetakse neid "andmete töötlejaks". See tähendab, et nad peavad järgima GDPRi eeskirju, kui mõni osalejatest asub ELis. Kuna Avaliku Teenistuse Kohus on "vastutav töötleja", siis on Avaliku Teenistuse Kohus kohustatud tagama sellise vastavuse.

Rahvusvaheline Kaubanduskoda (ICC) on välja andnud juhendi[lv] mis pakub pooltele soovituslikke klausleid küberturvalisuse protokollideks ja virtuaalseteks ärakuulamisteks. Selle eesmärk on käsitleda turvalisuse aspekti, kuid see ei käsitle isikuandmete kaitse aspekti. Tegevuskavas tuleks arutada võimalusi, kuidas isikuandmete kaitset saaks kohaldada virtuaalsete ärakuulamiste suhtes, ning samuti seda, kuidas seda järgida. Kuigi üldises isikuandmete kaitse määruses on sätestatud nõuded, mida tuleb täita seoses videokonverentsidega, ei anta juhiseid selle kohta, kuidas selle nõudeid otseselt kohaldada.

Kuigi teekaart ei anna soovitusi konkreetsete tarkvarapakkujate kohta, võiks ta koostada ja anda praktikutele nimekirja videokõnede jaoks ideaalse tarkvara vajalikest spetsifikatsioonidest, nagu ta pakub oma lisades kontrollnimekirju mitmete muude küsimuste kohta.

Kuidas sobivad siia kolmandatest isikutest rahastajad?

Kolmandaks rahastajaks loetakse kõiki vahekohtumenetluses mitteosalevaid isikuid, kes sõlmivad kokkuleppe rahastada menetluskulusid täielikult või osaliselt, saades vastutasuks summa, mis sõltub täielikult või osaliselt kohtuasja tulemusest.[lvi] Kolmandatel rahastajatel on juurdepääs erinevatele isikuandmetele vahekohtumenetlustes, mida nad rahastavad või mille rahastamist nad kaaluvad. Kuigi tegevuskava on sõnaselgelt suunatud ainult vahekohtu osalistele, märgitakse selles, et suunised on asjakohased ka teenuseosutajatele, keda isikuandmete kaitse nõuded samuti puudutavad.[lvii]

Tegevuskavas on teenuseosutajate hulka arvatud "e-avastamise eksperdid, infotehnoloogia spetsialistid, kohtutoimetaja, tõlketeenused jne".[lviii] kuid kolmandatest isikutest rahastajad ei ole selgesõnaliselt mainitud. GDPRi kohaselt kuulub isikuandmete kogumine ja säilitamine töötlemise alla. Seega, kui kolmandatest isikutest rahastajad koguvad isikuandmeid teistelt isikutelt, kohaldatakse isikuandmete seadusi ka nende suhtes.[lix]

GDPR lubab poolel töödelda isikuandmeid, kui "töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvide saavutamiseks".[lx] millele vahekohtu osalised võivad potentsiaalselt viidata kui asjakohase isikuandmete töötlemise kohaldatavale õiguslikule alusele. Selle teema kohta on olemas piiratud juhised.[lxi] Tegevuskavas on märgitud:

"Esimene samm õigustatud huvi hindamisel on õigustatud huvi tuvastamine - mis on isikuandmete töötlemise eesmärk ja miks on see teile kui vastutavale töötlejale oluline? Vahekohtu kontekstis võib õigustatud huvi hõlmata õigusemõistmist, poolte õiguste austamise tagamist ning nõuete kiiret ja õiglast lahendamist vastavalt kohaldatavatele vahekohtueeskirjadele, aga ka paljusid muid huve.[lxii]

"Ka paljude muude huvide" lisamine võib hõlmata ka kolmandate isikute rahastajate õigustatud rahalisi huve. Kui see on nii, siis oleksid nad ilmselgelt kohustatud sõlmima vahekohtumenetluse osapooltega andmetöötluslepinguid ning kuuluksid isikuandmete kaitse eeskirjade ja nõuete kohaldamisalasse. Huvitaval kombel ei ole tegevuskavas selgesõnaliselt täpsustatud, kuidas kolmandatest isikutest rahastajad sellesse pildi sisse sobivad, eriti arvestades nende kaasamise suurenemist vahekohtumenetlustesse.

Kaitse mitteteatamise eest

Isikuandmete kaitse kohustused toovad kaasa kuritarvitamise võimaluse. Vahekohtu pooled võivad kasutada GDPRi pahauskselt kaitsekilbina, et takistada menetluse jaoks olulise või vastaspoole poolt nõutava teabe avalikustamist. Näiteks võib pool esitada vastuväiteid avalikustamisnõude kohta, väites, et dokumendid sisaldavad isikuandmeid, mis ei ole vaidlusega seotud, või et isikuandmete redigeerimine oleks põhjendamatult koormav.[lxiii]

Tegevuskavas käsitletakse kuritarvitamise võimalust. Selles tehakse ettepanek tõsta ja selgitada isikuandmete kaitse kohustusi nii varakult kui võimalik, et vähendada ohtu, et need mõjutavad menetlusi. Osalejad peaksid kaaluma andmekaitseprotokolli sõlmimist - kokkulepet selle kohta, kuidas isikuandmete kaitset konkreetses kontekstis kohaldatakse. Kui allkirjastatud andmekaitseprotokolli ei ole võimalik sõlmida, tuleks neid küsimusi käsitleda ka menetluskorras nr 1.[lxiv]

Võrdluseks võib vaadata GDPRi järgimist USA kohtuvaidluste avastamise ajal. USA föderaalsed kohtud on kasutanud tasakaalustavaid teste, et otsustada, kas anda korraldus avalikustada või täita kohtukutseid või avastamiskorraldusi, mis on potentsiaalselt vastuolus välisriigi seadustega, sealhulgas isikuandmete kaitse seadustega.[lxv] USA föderaalkohtute poolt vaadeldavate tegurite mittetäielik loetelu on järgmine:

  • taotletud dokumentide või muu teabe tähtsus kohtuvaidluse jaoks;
  • taotluse täpsusaste;
  • kas teave pärineb USAst;
  • alternatiivsete vahendite kättesaadavus teabe tagamiseks ja
  • millisel määral kahjustaks nõuete täitmata jätmine USA olulisi huve.[lxvi]

Enamasti nõuavad föderaalsed kohtud andmete avalikustamist, hoolimata välisriikide isikuandmete kaitse seaduste võimalikest rikkumistest.[lxvii]

Vahekohtunikud peavad otsustamisel, kas nõuda poolelt teabe avalikustamist, lähtuma teistsugustest kaalutlustest kui kohtud. See on õige, nagu kirjanduses väidetakse,[lxviii] et kohtud peavad olema teadlikud konkureerivatest õigustest ja kohustustest, pidades silmas 1958. aasta välisriigi vahekohtuotsuste tunnustamise ja täitmise konventsiooni (New Yorgi konventsioon) kohast tühistamise või täitmisest keeldumise ohtu. See seisukoht ei arvesta siiski asjaoluga, et avalikustamisotsused kuuluvad minimaalse kontrolli alla riigi kohtute poolt, arvestades kohtulikku mittesekkumise põhimõtet.[lxix] Näiteid sellest, kuidas riiklikud kohtud hoiduvad avalikustamismääruste läbivaatamisest, on palju.[lxx]

Arvestades kohtutele menetlusküsimustes antud kaalutlusõigust, ei ole tühistamise või täitmisest keeldumise oht tõenäoliselt keskne kaalutlus. Asjaolu, et pooled üritavad GDPRi kohustusi kuritarvitada, et saada potentsiaalset menetlusalast eelist, paneb kohtud raskesse olukorda, kus nad peavad ühelt poolt tasakaalustama andmesubjekti huve ja teiselt poolt säilitama kindla tõendamisprotsessi.[lxxi] Sellise käitumise kontrollimiseks näib olevat hädavajalik isikuandmete kaitse kohustuste selgitamine menetluse alguses - eelistatavalt allkirjastatud andmekaitseprotokollis - kooskõlas tegevuskavas esitatud soovitustega.

Isikuandmete kaitse nõuete täitmata jätmine kui tee tühistamiseks ning tunnustamisest ja täitmisest keeldumiseks

Tegevuskavas ei käsitleta, kas isikuandmete kaitse nõuete täitmata jätmist võib kasutada vahekohtu otsuse tühistamiseks või selle tunnustamisest ja täitmisest keeldumiseks. Pooltel on väga piiratud vahendid vahekohtu otsuste vaidlustamiseks. Sellegipoolest võib ebaõnnestunud pool soovida vaidlustada vahekohtu tulemust ja kasutada ühte peamistest ühistest alustest, et vaidlustada vahekohtuotsus või takistada selle tunnustamist või täitmist.

New Yorgi konventsiooniga on praegu ühinenud 168 riiki, mistõttu on see peamine õiguslik alus välisriigi kohtuotsuste tunnustamiseks ja täitmiseks rahvusvahelises kaubanduslikus vahekohtumenetluses. Konventsiooni V artiklis on sätestatud piiratud alused, mille alusel võib keelduda vahekohtu otsuse tunnustamisest ja täitmisest. Praegusel juhul on artikli V lõike 2 punktis b sätestatud, et allakirjutanud riigi pädev asutus võib keelduda sellise kohtuotsuse tunnustamisest või täitmisest, mis rikub avalikku korda.[lxxii]

Põhjused, mille alusel võib vahekohtu otsuse tühistada, on eri jurisdiktsioonides erinevad. UNCITRALi rahvusvahelise kaubandusliku vahekohtu mudelseadus, mis on laialdaselt vastu võetud, sätestab artikli 34 lõikes 2 tühistamise aluste loetelu. See loetelu on koostatud New Yorgi konventsiooni V artikli põhjal.[lxxiii] Artikli 34 lõike 2 punkti b alapunktis ii on sätestatud, et kohus võib vahekohtu otsuse tühistada, kui see on vastuolus riigi avaliku korraga.[lxxiv]

Euroopa Kohus otsustas kohtuasjas Eco Swiss vs. Benetton, et ELi õiguse ülimuslikud kohustuslikud sätted võivad kujutada endast avaliku korra põhireegleid, mille rikkumine võib olla siseriikliku õiguse sellisel alusel tehtud vahekohtuotsuse tühistamise aluseks.[lxxv] See, kas kohtuotsuse võib tühistada või selle tunnustamisest või täitmisest keelduda isikuandmete kaitse nõuete mittejärgimise tõttu, sõltub seega sellest, kas GDPRi eeskirju tuleb käsitleda kui ülimalt kohustuslikke sätteid, mille rikkumine on vastuolus siseriikliku avaliku korraga.[lxxvi]

Rooma I määruse artikli 9 lõikes 1 määratletakse ülimalt kohustuslikke sätteid kui sätteid, "mille järgimist riik peab oma avalike huvide kaitsmiseks oluliseks ... sellisel määral, et need on kohaldatavad igas nende kohaldamisalasse kuuluvas olukorras, sõltumata muidu kohaldatavast õigusest". Nagu Cervenka ja Schwarz on varem tunnistanud, võib enamikku GDPRi eeskirjadest tõenäoliselt pidada ELi õiguse kohaselt ülimuslikeks kohustuslikeks säteteks. Sellisena võib nende rikkumist pidada avaliku korra rikkumiseks.[lxxvii]

Võimalus, et isikuandmete kaitse nõuete mittetäitmine võib viia vahekohtu otsuse tühistamiseni või mittetunnustamiseni ja mittetäitmiseni, tekitab mitmesuguseid probleeme. Esiteks tuleks täpselt määratleda, millised isikuandmete kaitse kohustused kujutavad endast ülimalt kohustuslikke sätteid, sest kõik rikkumised ei ole võrdse kaaluga. Lõppkokkuvõttes tuleb tõenäoliselt Euroopa Kohtul anda täiendavaid selgitusi. Teiseks tuleks arvesse võtta ka võimalikku kuritarvitamist võimalusega vaidlustada või vaidlustada kohtuotsuse täitmist GDPRi rikkumise alusel, et vältida poolte tahtlikku isikuandmete kaitse eeskirjade rikkumist, et hiljem oleks võimalik kohtuotsuse vastu pöörduda. Lõpuks tuleks määratleda, kas isikuandmete kaitse eeskirjad oleksid osa menetlusõigusest või materiaalõigusest ja mil viisil.[lxxviii]

Kuigi palju on määratleda, tuleks käsitleda isikuandmete kaitse nõuete mittetäitmise tagajärgi tühistamisele ning vahekohtu otsuste tunnustamisele ja täitmisele pööramisele. On väga huvitav, et seda ei ole tegevuskavas mainitud.

Kokkuvõte

Teekaardi eesmärk on aidata vahekohtu spetsialistidel tuvastada ja mõista isikuandmete kaitse ja eraelu puutumatuse kaitse kohustusi, mida nad võivad rahvusvahelises vahekohtumenetluses täita. Nagu eespool mainitud, ei käsitle see siiski veel mõningaid konkreetseid küsimusi, mis on praegu asjakohased ja pakilised. Käesolevas dokumendis on kindlaks määratud ja käsitletud kuus küsimust:

  • GDPRi kohaldatavus väljaspool ELi toimuvate vahekohtumenetluste suhtes;
  • GDPR NAFTA vahekohtumenetluste kontekstis;
  • virtuaalsete vahekohtuistungite küsimus;
  • kolmandatest isikutest rahastajad ja nende koht tegevuskavas;
  • GDPRi võimalik kuritarvitamine ja
  • võimalik mittevastavus GDPRile kui võimalus vahekohtu otsuse tühistamiseks või tunnustamisest ja täitmisest keeldumiseks.

Kõik need küsimused vajavad edasist kaalumist, sest prognooside kohaselt muutuvad need lähiaastatel veelgi olulisemaks. Loodame, et on näidatud, et need on väärt, et need lisatakse tegevuskavasse.

Lisad[lxxix] mis on lisatud teekaardile, on mõeldud selleks, et aidata spetsialistidel nende nõuetega praktiliselt toime tulla. Andmekaitse kontrollnimekirja, õigustatud huvide hindamise kontrollnimekirja, näidisprivaatsusteadete ja ELi lepingu tüüptingimuste lisamine on äärmiselt väärtuslikud vahendid, mida spetsialistid peaksid kasutama, et tagada GDPRi nõuete täitmine.

Erinevate jurisdiktsioonide vahelises konfliktiolukorras võivad aga isikuandmete kaitset käsitlevate siseriiklike õigusaktide erinevused põhjustada mitmetähenduslikkust. Kuigi tegevuskavas esitatud suunised on laiaulatuslikud, ei ole need siiski siduvad. Varem on UNCITRAL ja IBA oma eeskirjade, suuniste ja muu sarnase kaudu püüdnud tagada ühtlustamist rahvusvahelises vahekohtumenetluses; kuigi need ei ole siduvad, on need kindlasti veenvad. Nagu UNCITRAL ja IBA on püüdnud teha seda rahvusvahelise vahekohtumenetluse eri aspektide puhul, on ka vahekohtumenetlusega seotud isikuandmete kaitse nõuete ühtlustamine hädavajalik; seega tuleks kehtestada vajalikud suunised, pidades silmas ühtlustamist.

Kuigi GDPRi nõuete ja selle mõju ühtlustamine, mõistmine ja teadvustamine rahvusvahelise vahekohtu kontekstis on endiselt puudulik, jätkame me vahekohtu spetsialistidena praegu kehtiva õigusraamistikuga. Vaatamata oma puudustele on tegevuskava siiski väga vajalik ja julgustav samm selles suunas, et saavutada ühine arusaam vahekohtu osaliste isikuandmete kaitse kohustustest.

[i] Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus), ELT 2016 L 119/1.

[ii] "Isikuandmed" on määratletud GDPRi artiklis 4 järgmiselt:

(1) "isikuandmed" - igasugune teave tuvastatud või tuvastatava füüsilise isiku ("andmesubjekt") kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada eelkõige tunnuse, näiteks nime, isikukoodi, asukohaandmete, veebitunnuse või ühe või mitme füüsilise isiku füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse identiteedi tunnuse alusel.

[iii] GDPRi territoriaalne kohaldamisala on määratletud artiklis 3 järgmiselt:

  1. "Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes seoses vastutava töötleja või volitatud töötleja liidus asuva tegevuskoha tegevusega, olenemata sellest, kas töötlemine toimub liidus või mitte.
  2. Käesolevat määrust kohaldatakse liidus asuvate andmesubjektide isikuandmete töötlemise suhtes liidus asuva vastutava töötleja või volitatud töötleja poolt, kui töötlemistoimingud on seotud:

(a) kaupade või teenuste pakkumine liidus asuvatele andmesubjektidele, olenemata sellest, kas andmesubjektilt nõutakse makseid, või

(b) nende käitumise jälgimine, kuivõrd nende käitumine toimub liidus.

  1. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kes ei ole asutatud liidus, vaid kohas, kus rahvusvahelise avaliku õiguse alusel kohaldatakse liikmesriigi õigust.

[iv] Vt "volitatud töötleja" määratlus GDPRi artiklis 4.

[v] GDPR artikli 83 lõige 4.

[vi] "Google'ile määratud suurim GDPRi kohane trahv" (Simmons + Simmons, 22. jaanuar 2019), vt www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways trahvitud 20 miljoni naelsterlingi suuruse trahviga andmete rikkumise tõttu" (BBC, 16. oktoober 2020), vt www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA ühine töörühm andmekaitse kohta rahvusvahelises vahekohtumenetluses" (ICCA), vt www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, vaadatud 18. august 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, veebruar 2020), vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, vaadatud 18. august 2021.

[ix] Ibid, 1.

[x] PCA juhtum nr 2018-54.

[xi] ICCA ja New Yorgi advokatuur ning rahvusvaheline konfliktide ennetamise ja lahendamise instituut, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, vaadatud 18. augustil 2021.

[xii] "Cybersecurity Guidelines" (IBA, oktoober 2018), vt www.ibanet.org/LPRU/Cybersecurity, vaadatud 1. detsembril 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Rahvusvaheline Kaubanduskoda, 9. aprill 2020), vaadatud 18. august 2021.

[xiv] Teekaart, B jagu.

[xv] Ibid.

[xvi] GDPR artikkel 4.

[xvii] Ibid.

[xviii] GDPR artikkel 4

[xix] Ibid, artikli 3 lõige 1.

[xx] Teekaart, 7.

[xxi] GDPR artikkel 4.

[xxii] Tegevuskavas on "vahekohtu osalised" määratletud kui "sealhulgas pooled, nende õigusnõustajad, vahekohtunikud ja vahekohtu institutsioonid (ainult)". Vt teekaart (nr 3), 2.

[xxiii] GDPR artikkel 4.

[xxiv] Vt 29. juuli 2019. aasta otsus, Fashion ID GmbH & Co KG vs. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punktid 74, 85. Vt ka 5. juuni 2018. aasta otsus, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; 10. juuli 2018. aasta otsus, Jehovan tunnistajat, C-25/17, EU:C:2018:551.

[xxv] Teekaart, 11

[xxvi] Ibid, 12.

[xxvii] GDPR artiklid 5 ja 12-22; tegevuskava 14-15.

[xxviii] Näiteks on isikuandmete kaitse üldmääruse kohaselt isikuandmete töötlemine rahvusvahelise vahekohtumenetluse raames seaduslik, kui see on vajalik vastutava töötleja õigustatud huvide kaitseks - arvestades andmesubjekti huvidest ja põhiõigustest tulenevaid piiranguid - ning tundlikke andmeid võib vahekohtumenetluse raames töödelda õiguslikke nõudeid käsitleva erandi alusel (artikli 9 lõike 2 punkt f).

[xxix] Teekaart, 19.

[xxx] Ibid, 20-21.

[xxxi] Ibid, 30-31.

[xxxii] Ibid, 32.

[xxxiii] Ibid, 33-36.

[xxxiv] Ibid, 37-39.

[xxxv] Ibid, 37.

[xxxvi] Ibid, 39.

[xxxvii] Ibid, 40-41.

[xxxviii] Ibid, 42.

[xxxix] Ibid, 43.

[xl] GDPR artikli 5 lõike 1 punkt e.

[xli] Teekaart, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] ELi komisjon on leidnud, et riik pakub piisavat andmekaitset.

[xliv] Rahvusvahelise vahekohtu puhul oleks see tõenäoliselt standardne lepinguline klausel.

[xlv] Vahekohtu kontekstis on kõige enam kohaldatav erand, mis lubab edastamist, kui see on "vajalik õiguslike nõuete esitamiseks, esitamiseks või kaitsmiseks".

[xlvi] Kõrge künnise ja teavitamisnõude tõttu on tuginemine kaalukatele õigustatud huvidele praktiliselt vähe asjakohane. Vt EDPB, "Suunised 2/2018 artikli 49 erandite kohta määruse (EL) 2016/679 alusel", 6. veebruar 2018 (andmeedastuse suunised).

[xlvii] Teekaart, 8, 13.

[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away? (Kluwer Arbitration Blog, 29. august 2019), vt http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [vaadatud 18. august 2021].

[xlix] PKL juhtum nr 2018-54.

[l] Ibid, Avaliku Teenistuse Kohtu teatis pooltele (Perm Ct Arb, 2019).

[li] Teekaart, 37.

[lii] ICCA ja New Yorgi advokatuur ning rahvusvaheline konfliktide ennetamise ja lahendamise instituut, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, vaadatud 18. august 2021.

[liii] "Cybersecurity Guidelines" (IBA, oktoober 2018), vt www.ibanet.org/LPRU/Cybersecurity, vaadatud 1. detsembril 2020.

[liv] Andreas Respondek, Tasha Lim, "Kas ICCA/IBA andmekaitse töörühm peaks käsitlema GDPRi mõju videokonverentsidele rahvusvahelistes vahekohtumenetlustes?". (Kluwer Arbitration Blog, 18. juuli 2020), vt http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, vaadatud 18. august 2021.

[lv] "ICC suunised võimalike meetmete kohta, mis on suunatud COVID-19 pandeemia mõjude leevendamisele" (ICC, 9. aprill 2020), vaadatud 18. august 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Teekaart, 2.

[lviii] Ibid, 23-25.

[lix] GDPR artikli 4 lõige 2, vt punkt 1 eespool.

[lx] GDPR artikli 6 lõike 1 punkt f.

[lxi] Allan J Arffa jt, "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), vt www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, vaadatud 18. august 2021.

[lxii] Tegevuskava, 5. lisa.

[lxiii] Allan J Arffa jt, "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), vt www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> vaadatud 18. august 2021.

[lxiv] Teekaart 40-41.

[lxv] Vt näiteks: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6. veebruar 2020), vt www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> vaadatud 18. august 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2. trükk, Kluwer Law International 2014), 2335.

[lxx] Ibid. Born toob selle argumendi kinnitamiseks järgmised kohtuotsused: jaanuari 2004. aasta otsus, Société Nat'l Cie for Fishing & Marketing "Nafimco" versus Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel Paris): "vahekohtu otsus nõuda avastamist kuulub tema menetlusliku kaalutlusõiguse hulka ja seda ei saa kohtud üle vaadata"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Avalikustamisnõuded on "kohtu mõistliku kaalutlusõiguse piires".

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. detsember 2019), vt www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, vaadatud 18. august 2021.

[lxxii] New Yorgi konventsiooni artikli V lõige 2: "Vahekohtu otsuse tunnustamisest ja täitmisest võib keelduda ka siis, kui selle riigi pädev asutus, kus tunnustamist ja täitmist taotletakse, leiab, et... b) otsuse tunnustamine või täitmine oleks vastuolus selle riigi avaliku korraga".

[lxxiii] ÜRO peasekretär, analüütiline kommentaar rahvusvahelise kaubandusarbitraaži näidisseaduse eelnõu teksti kohta, A/CN.9/264 (1985), artikkel 34, lõige 6.

[lxxiv] UNCITRALi rahvusvahelise kaubandusarbitraaži mudelseadus, artikkel 34(2): "Artiklis 6 nimetatud kohus võib vahekohtu otsuse tühistada ainult juhul, kui...(b) kohus leiab, et...(ii) otsus on vastuolus selle riigi avaliku korraga".

[lxxv] 1. juuni 1999. aasta otsus kohtuasjas Eco Swiss China Time Ltd v. Benetton International NV C-126/97, EKL 1999, lk I-03055, punktid. 39 ja 41. Üksikasjalik arutelu ELi avaliku korra kohta vt: Sacha Prechal ja Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka ja Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] Nende ja muude küsimuste üksikasjalikumat käsitlemist vt: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration", José R Mata Dona ja Nikos Lavranos (toim), International Arbitration and EU Law (Edward Elgar Publishing, 2021), punktid 5.63 jj; Cervenka ja Schwarz, vt eespool n 76, 84-85.

[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, veebruar 2020), vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, vaadatud 18. august 2021.

See artikkel avaldati esmakordselt ajakirjas Dispute Resolution International, Vol 15 nr 2, oktoober 2021, ja see on avaldatud Rahvusvahelise Advokatuuri (International Bar Association, London, Ühendkuningriik) lahksel loal. © International Bar Association.