Keeled

Titaanide kokkupõrge: GDPR ja rahvusvaheline arbitraaž - pilk tulevikku

Väljaanded: november 10, 2021

Tagasi ülevaatesse

Autorid

Katharina Raudaschl

Seotud ekspertide juhendid

Sissejuhatus

Viimastel aastatel on tekkinud küsimused isikuandmete kaitse ja küberturvalisuse praktilise mõju kohta rahvusvaheliste vahekohtumenetluste tegelikule läbiviimisele, eriti kui võtta arvesse tehnoloogiliste muutuste pidevat tempot.

Üldine andmekaitsemäärus (GDPR)[1] tähistas 2020. aasta mais oma teist sünnipäeva. GDPRi isikuandmete kaitse raamistiku eesmärk on tagada "tuvastatud või tuvastatavate füüsiliste isikute"[2 ] isikuandmete vaba liikumine.[3] Seda kohaldatakse Euroopa Liidus ja sellel on eksterritoriaalne kohaldamisala, mis võib laieneda ka väljapoole ELi;[4] GDPR võib mõjutada mitte ainult kõiki füüsilisi või juriidilisi isikuid, vaid allutab ka riigiasutusi, ametkondi ja muid asutusi - võimalik, et ka rahvusvahelisi organisatsioone - isikuandmete kaitse kohustustele.[4] GDPRi sanktsioonid võivad ulatuda 4 protsendini rikkuja eelmise majandusaasta ülemaailmsest aastakäibest või 20 miljoni euroni, olenevalt sellest, kumb on suurem.[5 ] Vajadus võtta selle kohaldamist tõsiselt on juba kindlaks tehtud mitmetes jurisdiktsioonides määratud mitme miljoni euro suuruste trahvide kaudu[6].

Kuigi isikuandmete kaitse seaduste kohaldamine vahekohtu suhtes on kindlaks tehtud, ei ole kindlaks tehtud, kuidas neid seadusi tuleks kohaldada. Seetõttu asutasid Rahvusvaheline kaubandusarbitraažinõukogu (ICCA) ja Rahvusvaheline Advokatuur (IBA) 2019. aasta veebruaris ühise töörühma "Andmekaitse rahvusvahelistes vahekohtumenetlustes", mille eesmärk on koostada juhend, mis annab praktilisi juhiseid isikuandmete kaitse kohta rahvusvahelises vahekohtumenetluses. Töörühm avaldas selle juhendi konsultatsiooniprojekti 2020. aasta märtsis. 2020. aasta märtsis[7] Käesolev kommentaar põhineb sellel juhendi eelnõul (edaspidi "juhend"),[8] juhendi lõplik, läbivaadatud versioon avaldatakse eeldatavasti 2021. aasta septembris. Kuigi konsultatsiooniprojekti kohta märkuste esitamise tähtaeg on käesoleva dokumendi koostamise ajaks möödunud, on tegevuskava esialgne versioon siiski illustreeriv GDPRi poolt rahvusvahelistes vahekohtumenetlustes tõstatatud küsimuste kohta. Seetõttu kasutatakse seda arutelude aluseks.

Enamik isikuandmete kaitset käsitlevaid õigusakte on vahekohtumenetlustes kohustuslikud, mis tähendab, et need näevad ette:

  • milliseid isikuandmeid võib töödelda;
  • kus;
  • milliste vahenditega;
  • milliste infoturbemeetmetega; ja
  • kui kaua.[9]

Neis ei käsitleta siiski seda, kuidas neid siduvaid kohustusi tuleks täita vahekohtumenetluses. Kuna reguleerivatelt asutustelt puuduvad konkreetsed juhised, on tegevuskava eesmärk aidata vahekohtu spetsialistidel tuvastada ja mõista isikuandmete kaitse ja eraelu puutumatuse kaitse kohustusi, mida nad võivad rahvusvahelise vahekohtumenetluse raames täita. Lisaks sellele on GDPRi kaitse ulatus jätkuvalt asjakohane rahvusvahelistes vahekohtumenetlustes, eelkõige seoses sellega, kas GDPRi õigusakte kohaldatakse väljaspool ELi toimuvatele vahekohtumenetlustele. Kui leitakse, et GDPRi kohaldatakse vahekohtumenetluse suhtes, on veel mitmeid tagajärgi: esiteks, kas isikuandmete töötlemine on keelatud, ja teiseks, kas isikuandmete edastamisele väljaspool ELi kehtivad piirangud. Küberrünnakute kasvava sageduse tõttu võivad sellise rünnaku tagajärjed vahekohtule kaasa tuua märkimisväärse kahju.

Käesoleva artikli eesmärk on kommenteerida tegevuskava ja uurida praktilisi meetmeid, mida tuleks arvesse võtta seoses isikuandmete kaitse kohustustega rahvusvahelistes vahekohtumenetlustes. Selles määratletakse teekaart kui paljulubav, kuigi ebatäielik vahend, mis täiendab mitmesuguseid seniseid rahvusvahelise vahekohtumenetluse ühtlustamise katseid, eelkõige IBA ja ÜRO rahvusvahelise kaubandusõiguse komisjoni (UNCITRAL) vahendeid.

Esmalt esitatakse lühikokkuvõte teekaardist, milles viidatakse ka üldiste rakendussätete põhimõtetele. See ei ole mõeldud põhjalikuks ülevaateks, vaid pigem tutvustab tegevuskava põhipunkte, et anda lugejale konteksti järgnevaks aruteluks. Teiseks esitatakse kommentaar, milles käsitletakse kuut asjakohast küsimust:

  • GDPRi kohaldatavus väljaspool ELi toimuvate vahekohtumenetluste suhtes;
  • GDPR Põhja-Ameerika vabakaubanduslepingu (NAFTA) raames toimuvate vahekohtumenetluste kontekstis, nagu on näidatud kohtuasjas Tennant Energy, LLC vs. Kanada valitsus[10].
  • videokonverentside küsimus, mille tähtsus on oluliselt suurenenud kogu Covid-19 pandeemia ajal, sealhulgas viited "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Cybersecurity Protocol)[11] IBA küberturvalisuse suunistele[12] ja ICC juhendile võimalike meetmete kohta, mis on suunatud COVID-19 pandeemia mõju leevendamisele;[13]
  • "kolmandatest isikutest rahastajad" ja kuidas neid on teekaardis arvesse võetud;
  • isikuandmete kaitse üldmääruse kuritarvitamine, eelkõige kui varjend andmete avaldamata jätmise eest; ja
  • võimalus kasutada isikuandmete kaitse nõuete mittetäitmist viisina vahekohtu otsuse tühistamiseks või selle tunnustamisest ja täitmisest keeldumiseks.

Kokkuvõttes esitatakse lõplikud mõtted.

Tegevuskava

Füüsilistel ja juriidilistel isikutel on kohustus kaitsta andmesubjektide isikuandmeid. Vahekohtu enda suhtes ei kehti isikuandmete kaitse kohustused. Kui aga vaid ühe vahekohtu osaleja suhtes kohaldatakse isikuandmete kaitse kohustusi, võib see mõjutada vahekohtu kui terviku tegevust. See, kas isikuandmete töötlemine kuulub asjakohaste seaduste, materiaalse ja jurisdiktsiooni kohaldamisalasse, määrab, kas isikuandmete kaitse seadused on kohaldatavad[14].

Kaasaegseid isikuandmete kaitse seadusi kohaldatakse alati, kui andmesubjekti isikuandmeid töödeldakse asjaomaste isikuandmete kaitse seaduste reguleerimisalasse kuuluvate toimingute käigus[15].[16] Isikuandmed hõlmavad "mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta"[17].[18] Tüüpiliste vahekohtumenetluste käigus vahetatakse märkimisväärseid andmeid, mis on muu hulgas seotud poolte, nende nõustajate, kohtu ja kolmandate isikutega. Seega võib neid tõenäoliselt pidada "isikuandmete" määratluse alla kuuluvaks. "Andmesubjektid" viitavad eespool nimetatud isikutele, kes on tuvastatud või tuvastatavad.[17] Töötlemine hõlmab aktiivseid ja passiivseid toiminguid, seega hõlmab nii isikuandmete kasutamist, levitamist ja kustutamist kui ka isikuandmete vastuvõtmist, korraldamist ja säilitamist.[18] Kohaldamisala hõlmab toiminguid alati, kui isikuandmeid töödeldakse vastutava töötleja või volitatud töötleja ELis asuva asutuse tegevuse raames[19] ja eksterritoriaalselt, näiteks kui isikuandmeid edastatakse väljaspool ELi üksustele või isikutele, kelle suhtes ei kohaldata muudel põhjustel juba GDPRi[20].

Vahekohtunikud kvalifitseeruvad vastutavateks töötlejateks, mis tähendab, et nad vastutavad isikuandmete kaitse seaduste järgimise eest. Kuid "vastutava andmetöötleja"[21 ] määratluse alusel[22 ] peetakse tõenäoliselt enamikku vahekohtu osalisi, sealhulgas advokaate, pooli ja institutsiooni, sellisteks. Andmetöötlejad võivad delegeerida andmetöötluse andmetöötlejatele,[23] kes on nende kontrolli all ja nõuavad andmetöötluslepinguid kohaldatavas õiguses sätestatud tingimustel. Seega peetakse tõenäoliselt andmetöötlejateks sekretäre, transkripteerijaid, tõlkijad ja teisi. Lisaks sellele on veel ühine vastutavate töötlejate küsimus, kes määravad ühiselt kindlaks andmetöötluse eesmärgid ja vahendid. Ühist vastutavat töötlejat tõlgendatakse laialt, kuid ühise vastutava töötleja vastutus piirdub ainult vastutava töötleja määratud töötlemise, selle eesmärgi ja vahenditega, mitte aga kogu töötlemisega[24].

Rahvusvahelistes vahekohtumenetlustes on isikuandmete edastamise piirangud jurisdiktsioonide vahel ilmselge viis, kuidas kohaldatakse isikuandmete kaitse seadusi. Erinevate vahekohtu osaliste taust määrab erinevate isikuandmete kaitse režiimide kohaldamise. Kaasaegsed isikuandmete kaitse seadused piiravad isikuandmete edastamist kolmandatesse riikidesse, et tagada, et õiguslikest kohustustest ei hoitaks kõrvale isikuandmete edastamisega jurisdiktsioonidesse, kus isikuandmete kaitse standardid on madalamad[25]. isikuandmete kaitse üldmäärus lubab isikuandmete edastamist kolmandatele riikidele, kui esineb üks järgmistest asjaoludest:

  • ELi komisjon on leidnud, et riik pakub piisavat isikuandmete kaitset;
  • võetakse kasutusele üks selgesõnaliselt loetletud kaitsemeetmetest;
  • erand, mis lubab andmete edastamist, kui see on vajalik õigusnõuete esitamiseks, esitamiseks või kaitsmiseks; või
  • osapoole kaalukas õigustatud huvi[26].

Neid eeskirju kohaldatakse vahekohtu osaliste, mitte vahekohtu kui terviku suhtes, mis tähendab, et iga vahekohtu osaline peab kaaluma, milliseid isikuandmete edastamise piiranguid tema suhtes kohaldatakse.

Vahekohtumenetluses kohaldatavad isikuandmete kaitse põhimõtted hõlmavad õiglast ja seaduslikku töötlemist, proportsionaalsust, andmete minimeerimist, eesmärgi piiramist, andmesubjekti õigusi, täpsust, andmete turvalisust, läbipaistvust ja vastutust[27].

Mõned neist põhimõtetest vajavad täiendavaid kommentaare. Õiglane ja seaduslik töötlemine tähendab, et isikuandmeid tuleks töödelda ainult sellisel viisil, mida andmesubjektid mõistlikult ootavad, ja et töötlemisel peab olema õiguslik alus. Õigluse põhimõtet kohaldades peaksid pool ja tema kaitsja küsima, kas kõigi asjaolude kontekstis oleksid isikud oodanud, et nende isikuandmeid töödeldakse sellisel viisil, kas sellel on neile kahjulikud tagajärjed ja kas need tagajärjed on õigustatud. See põhimõte ei takista ärilistes e-kirjades leiduvate isikuandmete tunnistamist tõendina.

Õiguspärase töötlemise mõiste hõlmab õiguslikku alust, mis on faktidel põhinev ja juhtumipõhine. Nõusolekule tuginemise asemel tuleks tugineda GDPRi konkreetsetele õiguslikele alustele[28].

Proportsionaalsus nõuab, et kaalutaks töötlemise laadi, ulatust, konteksti ja eesmärke seoses andmesubjektile tekkivate riskidega[29]. andmete minimeerimine nõuab, et arbitraažis osalejad piirduksid isikuandmete töötlemisega, mis on piisav, asjakohane ja piirdub vajalikuga.[30] Läbipaistvus nõuab, et andmesubjekte teavitatakse isikuandmete töötlemisest ja töötlemise eesmärgist kas üldiste teadete, konkreetsete teadete või mõlema kaudu.[31] Vastutus on seotud isikliku vastutusega andmekaitse nõuete täitmise eest, mis tähendab, et vahekohtu osalised peaksid dokumenteerima kõik isikuandmete kaitse meetmed ja otsused, mis on tehtud nõuete täitmise tõendamiseks.[32]

Isikuandmete kaitse nõuetele vastavus mõjutab rahvusvahelise vahekohtumenetluse üksikuid etappe, mitte ainult vahekohtumenetluse enda, vaid ka ettevalmistuste ajal. Arbitraažis osalejad peaksid algusest peale kaaluma, milliseid isikuandmete kaitse õigusakte kohaldatakse nende ja teiste vahekohtus osalejate suhtes ning millised vahekohtus osalejad töötlevad isikuandmeid vastutavate töötlejate, volitatud töötlejate või ühiste vastutavate töötlejatena. Samuti tuleks kaaluda kolmandate riikide isikuandmete edastamise eeskirju ja isikuandmete töötlemise lepinguid kolmandate isikute teenusepakkujate suhtes. Dokumentide kogumise ja läbivaatamise käigus vajavad pooled ja nende õigusnõustajad seaduslikku alust töötlemistoimingute ja kolmandate riikide isikuandmete edastamise kohta[33].

Vahekohtu taotlus ja ka hilisemad avaldused sisaldavad isikuandmeid, mis kuuluvad otseselt töötlemise valdkonda. Kui vahekohtuasutus on seotud kohaldatavate isikuandmete kaitse seadustega, peab ta arvestama võimalikke isikuandmete kaitse kohustusi, mida kohaldatakse iga menetlusetapi ajal. Kui vahekohtuasutusele kohaldatakse GDPRi, muutub ta tavaliselt isikuandmete vastutavaks töötlejaks. GDPRi artiklite 13 ja 14 täitmiseks peaks selline institutsioon lisama oma privaatsusteatesse teabe turvameetmete, andmesubjekti õiguste kasutamise, andmete säilitamise ja andmete rikkumise ja säilitamise poliitika kohta.[34] Rahvusvahelised organisatsioonid, kes haldavad investori ja riigi vahelisi vahekohtumenetlusi, võivad aga jääda isikuandmete kaitse seaduste kohaldamisalast välja, tulenevalt asutajariigi privileegidest ja immuniteetidest või vastuvõtva riigi lepingust. Seega tuleb siinkohal teha eraldi kaalutlused, sealhulgas muu hulgas selle kohta, kas organisatsioon on seotud isikuandmete kaitset käsitlevate õigusaktidega ning kas - ja millises ulatuses - vahekohtu osalised oleksid hõlmatud privileegide ja immuniteetidega[35].

Vahekohtu vahekohtunike määramise käigus vahetatakse üldiselt märkimisväärses koguses potentsiaalsete vahekohtunike isikuandmeid. Vahekohtu osalised peaksid lisama nende isikuandmete töötlemise õigusliku aluse oma juriidilistesse teatistesse ja teavitama selgesõnaliselt vahekohtunikke, kelle nimetamist kaalutakse, nende isikuandmete töötlemisest, eriti isikuandmete edastamise korral kolmandatele riikidele[36].

Kui vahekohtumenetlus on käimas, tuleks riskide minimeerimiseks varakult määrata isikuandmete kaitse nõuetele vastavuse kohustused. Isikuandmete kaitse tuleks lisada esimese menetluskonverentsi päevakorda ja vahekohtu osalised peaksid püüdma võimalikult varakult kokku leppida, kuidas käsitleda isikuandmete kaitse vastavust. Pooled, nende kaitsjad ja vahekohtunikud peaksid kaaluma isikuandmete kaitse protokolli sõlmimist, et tõhusalt lahendada nõuetele vastavusega seotud küsimusi. Kui see ei ole võimalik, on alternatiivne võimalus, et vahekohus lisab need menetluskorda nr 1.[37].

Dokumentide esitamise ja avalikustamise protsessis on isikuandmete minimeerimise põhimõte eriti oluline. GDPRi kohaselt eeldaks see tõenäoliselt:

  • avalikustatavate isikuandmete piiramist sellega, mis on asjakohane ja mitte dubleeriv;
  • tuvastada vastavas materjalis sisalduvad isikuandmed; ja
  • ebavajalike isikuandmete redigeerimine või pseudonümiseerimine.

Neid küsimusi tuleks samuti kaaluda menetluse alguses, eelistatavalt esimesel menetluskonverentsil või enne seda[38].

Vahekohtunikud ja institutsioonid peaksid kohtuotsuste tegemisel kaaluma, mis alusel ja kas isikuandmete lisamine kohtuotsustesse on vajalik. Kui vahekohtumenetlus on konfidentsiaalne, on siiski oht, et kohtuotsus muutub täitmisel avalikuks. Isegi kui isikuandmed on redigeeritud, jäävad need tavaliselt isikuandmeteks, kuna andmesubjekt on tuvastatav ülejäänud kohtuotsuse või sellega seotud materjalide põhjal[39].

Andmete säilitamist ja kustutamist käsitatakse isikuandmete kaitse üldmääruse kohaselt töötlemisena, milles on sätestatud, et isikuandmeid "säilitatakse kujul, mis võimaldab andmesubjektide tuvastamist mitte kauem, kui on vajalik isikuandmete töötlemise eesmärkidel."[40] Vastutavad töötlejad peavad kaaluma, dokumenteerima ja suutma põhjendada säilitamise kestust. Vahekohtunikud peavad kaaluma, milline andmete säilitamise kestus on mõistlik, ja peaksid kasutama proportsionaalset lähenemisviisi, et tasakaalustada oma vajadusi ja andmete säilitamise mõju andmesubjektile[41].

GDPRi kohaldatavus väljaspool ELi toimuvate vahekohtumenetluste suhtes

Üldise andmekaitsemääruse territoriaalne kohaldamisala on suhteliselt lai. Praktikud peaksid olema teadlikud selle kohaldamisest olenemata sellest, kas nad asuvad või kas vahekohtu asukoht on ELis või mitte. GDPRi kohaldatakse isikuandmete töötlemise suhtes ELis asuvate vastutavate töötlejate või volitatud töötlejate poolt, olenemata sellest, kas töötlemine toimub ELis (artikli 3 lõige 1). Kui tegemist on kaupade või teenuste pakkumisega ELi kodanikele või ELis toimuva käitumise jälgimisega, kohaldatakse GDPRi ka isikuandmete töötlemise suhtes vastutava töötleja või volitatud töötleja poolt, kes ei ole asutatud ELis (artikli 3 lõige 2).

Vahekohtu kontekstis kohaldades paneb GDPR kohustusi pigem vastutavatele töötlejatele ja volitatud töötlejatele - vahekohtunikele, advokaatidele, pooltele ja institutsioonidele -, kes kuuluvad selle materiaalse ja territoriaalse kohaldamisala alla, mitte aga otseselt vahekohtumenetlusele. Isegi kui vaid üks vahekohtu osaline on seotud ELiga, on ta kohustatud töötlema isikuandmeid kooskõlas GDPRiga. See võib avaldada mõju menetlusele tervikuna[42].

Rahvusvaheliste vahekohtumenetluste kontekstis, kus isikuandmeid sisaldavate vahekohtumaterjalide edastamine on tavapärane, on ehk kõige märkimisväärsemad piirangud isikuandmete edastamisele "kolmandatele riikidele" väljaspool Euroopa Majanduspiirkonda (EMP). Sellise stsenaariumi puhul on isikuandmete edastamise lubamiseks vaja ühte neljast seaduslikust alusest. Esiteks on andmete edastamine kolmandale riigile lubatud, kui selle kolmanda riigi kohta on tehtud piisavuse otsus (artikli 45 lõige 1)[43]. Kui see ei ole nii, tuleb võimaluse korral kehtestada üks asjakohastest kaitsemeetmetest (artikli 46 lõige 1).[44] Kui adekvaatsuse otsust ei ole tehtud ja asjakohane kaitsemeede ei ole teostatav, võib tugineda konkreetsele erandile (artikli 49 lõige 1).[45] Lõpuks, kui eespool nimetatut ei ole, võib pool tugineda kolmandale isikule isikuandmete edastamise seadusliku alusena kaalukale õigustatud huvile (artikli 49 lõige 1)[46].

Tegevuskavas on üsna põhjalikult esitatud vajalikud kaalutlused, mida vahekohtu osalised peavad tegema. Selles rõhutatakse mitmel korral, et isikuandmete kaitse põhimõtted ja edastamise eeskirjad kehtivad vahekohtu osalistele, mitte vahekohtule kui sellisele[47].[47] Sellest tulenevalt on eeldatav järeldus, et ELis asuv vahekohtunik, kes osaleb ELi-välises vahekohtumenetluses, mille suhtes muidu ei kohaldata GDPRi, peab siiski järgima GDPRi nõudeid isikuandmete töötlemise ja edastamise kohta. See on tõepoolest üldtunnustatud kaubanduslike vahekohtumenetluste puhul[48], kuid olukord ei ole nii selge, kui tegemist on investori ja riigi vaheliste vahekohtumenetlustega.

Kohtuasjas Tennant Energy, LLC vs. Kanada valitsus

2019. aastal tõstatas hageja Tennant Energy, LLC vs. Government of Canada (Tennant) NAFTA 11. peatüki kohases vahekohtumenetluses[49] küsimuse, kas GDPRi kohaldatakse menetluse suhtes, arvestades ühe vahekohtu liikme Ühendkuningriigi kodakondsust ja alalist elukoha aadressi. Avaliku Teenistuse Kohus andis siiski pooltele juhised, milles märkis, et "NAFTA 11. peatüki alusel toimuv vahekohtumenetlus, mille osaliseks ei ole Euroopa Liit ega selle liikmesriigid, ei kuulu eeldatavalt GDPRi materiaalsesse kohaldamisalasse"[50].

Oluline on eristada lepingupõhist ja kaubanduslikku vahekohtumenetlust, kusjuures Tennant kuulub esimesse kategooriasse. Teekaardis käsitletakse seda eristamist, märkides, et rahvusvahelised organisatsioonid võivad jääda isikuandmete kaitset käsitlevate õigusaktide reguleerimisalast välja.[51] Tennanti vahekohtu liikmete suhtes võivad kehtida teatavad immuniteedid, mis tulenevad alalise vahekohtu ja Madalmaade vahelisest peakorterilepingust. NAFTA tribunal ei kaalunud siiski, kas rahvusvahelise organisatsioonina kohaldatakse PKLi kui rahvusvahelise organisatsiooni suhtes GDPRi edastamise eeskirju või kas tribunali liikmetele tulenevad lepingust teatavad immuniteedid.

Tennanti suund tõstatab rohkem küsimusi kui annab vastuseid seoses GDPRi kohaldatavusega NAFTA menetlustele ja üldisemalt lepingupõhistele vahekohtumenetlustele, mille nüansseeritud arutamine ei ole siinkohal võimalik. Sellest hoolimata näitab Tennant'i suunis teekaardi valguses, et see teema on endiselt väga ebakindel. Parimal juhul on küsitav, kas teekaart toob sellise küsimusega silmitsi seisvatele vahekohtu osalistele mingit selgust, arvestades eelkõige seda, et teekaart anti välja pärast Tennant'i suunise andmist, kuid ei andnud viimasele mingit kaalutlust.

Videokonverentsi küsimus

Tegevuskavas tunnistatakse isikuandmete turvalisuse tähtsust. Kuid kuna viimasel ajal kasutatakse täiendavat tehnoloogiat virtuaalsete kohtuistungite hõlbustamiseks, samuti kodus töötamist - mida enamasti soodustavad praegused asjaolud, mis on meile peale surutud Covid-19 pandeemia tõttu -, siis on sellel küsimusel täiendav kaalukus. Küberturvalisuse protokoll[52] ja IBA küberturvalisuse suunised[53] on valgustanud seda küsimust.

Sarnaselt teekaardiga on ka küberturvalisuse protokollis sätestatud mitu aluspõhimõtet. Kohaldatakse proportsionaalsuse põhimõtet, kohtul on volitused ja kaalutlusõigus kehtivate turvameetmete kindlaksmääramiseks ning infoturve on küsimus, mida tuleks arutada esimesel kohtuasja lahendamise konverentsil. Küberturvalisuse protokolli lisas A on esitatud kontrollnimekiri, mida vahekohtu pooled saavad kasutada menetluse kaitsmiseks.

Pärast hiljutist Covid-19-pandeemiast tingitud muutust töömudelites ja -keskkondades tuleks nendele küsimustele suuremat tähelepanu pöörata. Maailmas, mis on sunnitud leidma uusi äritegevuse viise ja kohanema ebakindlate aegadega, on üks õigussektori ees seisvatest probleemidest kohtuistungite küsimus koos piirangute ja sotsiaalse distantsi vajadusega. Seega on videokonverentside populaarsus ja nende kasutamine rahvusvahelistes vahekohtumenetlustes midagi sellist, millega tegevuskava peaks tegelema, kuid ei ole seda teinud - või vähemalt ei ole seda veel teinud.

Kuigi paljud on arutanud ja toonud välja videokohtumiste probleeme, ei ole enamik neist käsitlenud, kuidas tuleks nende suhtes kohaldada isikuandmete kaitset käsitlevaid õigusakte, mitte ainult isikuandmete kaitse, vaid ka turvalisuse osas, sest mõned platvormid on olnud turvarünnakute objektiks[54].

Nagu eespool käsitletud, on oluline mõista vahekohtu poolte erinevaid rolle seoses GDPRiga, nimelt seda, kes on "vastutavad töötlejad" ja "volitatud töötlejad". Kui videokonverentsitarkvara töötleb isikuandmeid, näiteks kasutajanime ja e-posti aadressi, mis tulenevad poole poolt teenuse kasutamisest, loetakse neid "andmete töötlejaks". See tähendab, et nad peavad järgima GDPRi eeskirju, kui mõni osalejatest asub ELis. Kuna Avaliku Teenistuse Kohus on "vastutav töötleja", siis on Avaliku Teenistuse Kohus kohustatud tagama sellise vastavuse.

Rahvusvaheline Kaubanduskoda (ICC) on välja andnud juhendi[55], milles antakse pooltele soovituslikud klauslid küberturvalisuse protokollide ja virtuaalsete kohtuistungite kohta. Selle eesmärk on käsitleda turvalisuse aspekti, kuid selles ei käsitleta isikuandmete kaitse aspekti. Tegevuskavas tuleks arutada võimalusi, mille puhul kohaldatakse isikuandmete kaitset virtuaalsete ärakuulamiste suhtes, ning samuti seda, kuidas seda järgida. Kuigi üldises isikuandmete kaitse määruses on sätestatud nõuded, mida tuleb täita seoses videokonverentsidega, ei anta juhiseid selle kohta, kuidas selle nõudeid otseselt kohaldada.

Kuigi tegevuskavas ei anta soovitusi konkreetsete tarkvarapakkujate kohta, võiks see koostada ja anda praktikutele nimekirja videokõnede jaoks ideaalse tarkvara vajalikest spetsifikatsioonidest, nii nagu see pakub oma lisades kontrollnimekirju mitmete muude küsimuste kohta.

Kuidas sobivad siia kolmandatest isikutest rahastajad?

Kolmandaks rahastajaks peetakse kõiki vahekohtumenetluses mitteosalevaid isikuid, kes sõlmivad kokkuleppe rahastada menetluskulusid täielikult või osaliselt, saades vastutasuks summa, mis sõltub täielikult või osaliselt kohtuasja tulemusest.[56] Kolmandatel rahastajatel on juurdepääs erinevatele isikuandmetele vahekohtumenetlustes, mida nad rahastavad või mille rahastamist nad kaaluvad. Kuigi tegevuskava on sõnaselgelt suunatud ainult vahekohtu osalistele, märgitakse selles, et suunised on asjakohased ka teenuseosutajatele, keda isikuandmete kaitse nõuded samuti puudutavad[57].

Tegevuskavas on teenuseosutajate hulka arvatud "e-avastuse eksperdid, infotehnoloogia spetsialistid, kohtutoimetaja, tõlketeenused jne"[58], kuid kolmandatest isikutest rahastajad ei ole selgesõnaliselt nimetatud. GDPRi kohaselt kuulub isikuandmete kogumine ja säilitamine töötlemise alla. Seega, kui kolmandatest isikutest rahastajad koguvad isikuandmeid teistelt, kohaldataks ka nende suhtes isikuandmete seadusi[59].

GDPR lubab poolel töödelda isikuandmeid, kui "töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvide saavutamiseks"[60 ], millele vahekohtu osalised võivad potentsiaalselt viidata kui asjakohase isikuandmete töötlemise kohaldatavale õiguslikule alusele. Selle teema kohta on olemas piiratud juhised[61]:

"Esimene samm õigustatud huvi hindamisel on õigustatud huvi tuvastamine - mis on isikuandmete töötlemise eesmärk ja miks on see teile kui vastutavale töötlejale oluline? Vahekohtumenetluse kontekstis võib õigustatud huvi hõlmata õigusemõistmist, poolte õiguste austamise tagamist ning nõuete kiiret ja õiglast lahendamist vastavalt kohaldatavatele vahekohtueeskirjadele, aga ka paljusid muid huve."[62]

"Ka paljude muude huvide" hulka võib kuuluda ka kolmandate isikute rahastajate õigustatud rahaline huvi. Kui see on nii, siis oleksid nad ilmselgelt kohustatud sõlmima vahekohtumenetluse osapooltega andmetöötluslepinguid ning kuuluksid isikuandmete kaitse regulatsioonide ja nõuete kohaldamisalasse. Huvitaval kombel ei ole tegevuskavas selgesõnaliselt täpsustatud, kuidas kolmandatest isikutest rahastajad sellesse pilti sobivad, eriti arvestades nende kaasamise suurenemist vahekohtumenetlustesse.

Andmete avaldamata jätmise kaitse

Isikuandmete kaitse kohustused toovad kaasa kuritarvitamise võimaluse. Vahekohtu pooled võivad kasutada GDPRi varjendina pahauskselt, et takistada menetluse jaoks olulise või vastaspoole nõutud teabe avalikustamist. Näiteks võib pool esitada vastuväiteid avalikustamisnõude kohta, väites, et dokumendid sisaldavad isikuandmeid, mis ei ole vaidlusega seotud, või et isikuandmete redigeerimine oleks põhjendamatult koormav[63].

Tegevuskavas käsitletakse kuritarvitamise võimalust. Selles soovitatakse võimalikult varakult tõstatada ja selgitada isikuandmete kaitse kohustusi, et vähendada ohtu, et need mõjutavad menetlusi. Osalejad peaksid kaaluma andmekaitseprotokolli sõlmimist - kokkulepet selle kohta, kuidas isikuandmete kaitset konkreetses kontekstis kohaldatakse. Kui allkirjastatud andmekaitseprotokolli ei ole võimalik sõlmida, tuleks neid küsimusi käsitleda ka menetluskorras nr 1.[64].

Võrdluseks võib vaadata GDPRi järgimist USA kohtuvaidluste avastamise ajal. USA föderaalsed kohtud on kasutanud tasakaalustavaid teste, et otsustada, kas anda korraldus avalikustada või täita kohtukutseid või avastamiskorraldusi, mis on potentsiaalselt vastuolus välisriigi seadustega, sealhulgas isikuandmete kaitse seadustega[65].[65] Mitteammendav loetelu teguritest, mida USA föderaalsed kohtud on vaadelnud, on järgmine:

  • taotletud dokumentide või muu teabe tähtsus kohtuvaidluse jaoks;
  • taotluse spetsiifilisus;
  • kas teave on pärit USAst;
  • alternatiivsete vahendite kättesaadavus teabe hankimiseks ja
  • millisel määral kahjustaks nõuete täitmata jätmine USA olulisi huve[66].

Enamasti nõuavad föderaalkohtud andmete avalikustamist vaatamata välisriigi isikuandmete kaitse seaduste võimalikule rikkumisele[67].

Vahekohtunikud peavad otsustamisel, kas poolelt nõuda andmete avalikustamist, lähtuma teistsugustest kaalutlustest kui kohtud. Nagu kirjanduses väidetakse,[68] on õige, et kohtud peavad olema teadlikud konkureerivatest õigustest ja kohustustest, pidades silmas 1958. aasta välisriigi vahekohtuotsuste tunnustamise ja täitmise konventsiooni (New Yorgi konventsioon) kohast tühistamise või täitmisest keeldumise ohtu. See seisukoht ei arvesta siiski asjaoluga, et avalikustamisotsused kuuluvad riigi kohtute poolt minimaalsele kontrollile, arvestades kohtu mittesekkumise põhimõtet[69].[70] Näiteid sellest, kuidas riigi kohtud hoiduvad avalikustamisotsuste kontrollimisest, on palju.[70].

Arvestades kohtutele menetlusküsimustes antud kaalutlusõigust, ei ole tühistamise või täitmisest keeldumise oht tõenäoliselt keskne kaalutlus. Asjaolu, et pooled püüavad võimalike menetluslike eeliste saamiseks kuritarvitada GDPRi kohustusi, paneb kohtud raskesse olukorda, kus nad peavad ühelt poolt tasakaalustama andmesubjekti huve ja teiselt poolt säilitama kindla tõendamisprotsessi.[71] Isikuandmete kaitse nõuete täitmise kohustuste selgitamine menetluse alguses - eelistatavalt allkirjastatud andmekaitseprotokollis - kooskõlas tegevuskava soovitustega näib olevat eeltingimus sellise käitumise kontrollimiseks.

Isikuandmete kaitse nõuete täitmata jätmine kui tee tühistamise ning tunnustamisest ja täitmisest keeldumise viis.

Tegevuskavas ei käsitleta, kas isikuandmete kaitse nõuete täitmata jätmist võib kasutada vahekohtuotsuse tühistamiseks või selle tunnustamisest ja täitmisest keeldumiseks. Pooltel on väga piiratud vahendid vahekohtu otsuste vaidlustamiseks. Siiski võib ebaõnnestunud pool soovida vaidlustada vahekohtu tulemust ja kasutada ühte peamistest ühistest alustest, et vaidlustada vahekohtuotsus või takistada selle tunnustamist või täitmist.

New Yorgi konventsiooniga on praegu ühinenud 168 riiki, mistõttu on see peamine õiguslik alus välisriigi kohtuotsuste tunnustamiseks ja täitmiseks rahvusvahelises kaubanduslikus vahekohtumenetluses. Konventsiooni V artiklis on sätestatud piiratud alused, mille alusel võib keelduda vahekohtu otsuse tunnustamisest ja täitmisest. Praegusel juhul on artikli V lõike 2 punktis b sätestatud, et allakirjutanud riigi pädev asutus võib keelduda sellise kohtuotsuse tunnustamisest või täitmisest, mis rikub avalikku korda[72].

Põhjused, mille alusel võib vahekohtu otsuse tühistada, on eri jurisdiktsioonides erinevad. UNCITRALi rahvusvahelise kaubandusliku vahekohtumenetluse mudelseadus, mis on laialdaselt vastu võetud, sätestab artikli 34 lõikes 2 tühistamise aluste loetelu. See loetelu on võetud tihedalt eeskujuks New Yorgi konventsiooni V artiklist.[73] Artikli 34 lõike 2 punkti b alapunktis ii on sätestatud, et kohus võib vahekohtu otsuse tühistada, kui see on vastuolus riigi avaliku korraga[74].

Euroopa Kohus otsustas kohtuasjas Eco Swiss vs. Benetton, et ELi õiguse ülimuslikud kohustuslikud sätted võivad olla avaliku korra põhireeglid, mille rikkumine võib olla siseriikliku õiguse sellisel alusel tehtud vahekohtuotsuse tühistamise aluseks[75].[76 ] Seega sõltub see, kas kohtuotsuse võib tühistada või selle tunnustamisest või täitmisest keelduda isikuandmete kaitse nõuete mittetäitmise tõttu, sellest, kas GDPRi eeskirju tuleb käsitleda kui ülimuslikke kohustuslikke sätteid, mille rikkumine on vastuolus siseriikliku avaliku korraga[76].

Rooma I määruse artikli 9 lõige 1 määratleb ülimalt kohustuslikke sätteid kui sätteid, "mille järgimist riik peab oma avalike huvide kaitsmiseks ... oluliseks sellisel määral, et need on kohaldatavad igas nende kohaldamisalasse kuuluvas olukorras, sõltumata muidu kohaldatavast õigusest". Nagu Cervenka ja Schwarz on varem tunnistanud, võib enamikku GDPRi eeskirjadest tõenäoliselt pidada ELi õiguse kohaselt ülimuslikeks kohustuslikeks säteteks. Sellisena võib nende rikkumist pidada avaliku korra rikkumiseks[77].

Võimalus, et isikuandmete kaitse nõuete täitmata jätmine võib viia vahekohtu otsuse tühistamiseni või mittetunnustamiseni ja mittetäitmiseni, tekitab mitmesuguseid probleeme. Esiteks tuleks täpselt määratleda, millised isikuandmete kaitse kohustused kujutavad endast ülimalt kohustuslikke sätteid, sest kõik rikkumised ei oma ühesugust kaalu. Lõppkokkuvõttes tuleb tõenäoliselt Euroopa Kohtul anda täiendavaid selgitusi. Teiseks tuleks arvesse võtta ka võimalikku kuritarvitamist võimalusega vaidlustada või vaidlustada kohtuotsuse täitmist GDPRi rikkumise alusel, et vältida poolte tahtlikku isikuandmete kaitse eeskirjade rikkumist, et hiljem oleks võimalik kohtuotsuse vastu pöörduda. Lõpuks tuleks määratleda, kas ja mil viisil moodustaksid isikuandmete kaitse eeskirjad osa menetlus- või materiaalõigusest[78].

Kuigi palju on veel määratleda, tuleks käsitleda isikuandmete kaitse nõuete mittetäitmise tagajärgi tühistamisele ning vahekohtu otsuste tunnustamisele ja täitmisele. On väga huvitav, et seda ei ole teekaardis mainitud.

Kokkuvõte

Tegevuskava eesmärk on aidata vahekohtu spetsialistidel tuvastada ja mõista isikuandmete kaitse ja eraelu puutumatuse kaitse kohustusi, mida nad võivad rahvusvahelises vahekohtumenetluses täita. Nagu eespool mainitud, ei käsitleta selles siiski mõningaid konkreetseid küsimusi, mis on praegu olulised ja pakilised. Käesolevas dokumendis on kindlaks määratud ja käsitletud kuus küsimust:

  • GDPRi kohaldatavus väljaspool ELi toimuvate vahekohtumenetluste suhtes;
  • GDPR NAFTA vahekohtute kontekstis;
  • virtuaalsete vahekohtuistungite küsimus;
  • kolmandatest isikutest rahastajad ja nende koht teekaardis;
  • GDPRi võimalik kuritarvitamine ja
  • võimalik mittevastavus GDPRile kui võimalus vahekohtu otsuse tühistamiseks või tunnustamisest ja täitmisest keeldumiseks.

Kõik need küsimused vajavad edasist arutelu, sest prognooside kohaselt muutuvad need lähiaastatel veelgi olulisemaks. Loodetavasti on näidatud, et need väärivad tegevuskavasse lisamist.

Tegevuskavale lisatud lisad[79] on mõeldud selleks, et aidata spetsialistidel nende nõuetega praktiliselt toime tulla. Andmekaitse kontrollnimekirja, õigustatud huvide hindamise kontrollnimekirja, eraelu puutumatuse näidisteatiste ja ELi lepingu tüüptingimuste lisamine on äärmiselt väärtuslikud vahendid ja spetsialistid peaksid neid kasutama, et tagada GDPRi nõuete täitmine.

Erinevate jurisdiktsioonide vahelises konfliktiolukorras võivad aga isikuandmete kaitset käsitlevate siseriiklike õigusaktide erinevused põhjustada ebaselgust. Kuigi tegevuskavas esitatud suunised on laiaulatuslikud, ei ole need siiski siduvad. Varem on UNCITRAL ja IBA oma eeskirjade, suuniste ja muu sarnase kaudu püüdnud tagada ühtlustamist rahvusvahelises vahekohtumenetluses; kuigi need ei ole siduvad, on need kindlasti veenvad. Nagu UNCITRAL ja IBA on püüdnud teha seda rahvusvahelise vahekohtumenetluse eri aspektide puhul, on ka vahekohtumenetlusega seotud isikuandmete kaitse nõuete ühtlustamine hädavajalik; seega tuleks kehtestada vajalikud suunised, pidades silmas ühtlustamist.

Kuigi ühtlustamine, arusaamine ja teadlikkus GDPRi nõuete täitmisest ja selle mõjudest rahvusvahelise vahekohtu kontekstis on endiselt puudulik, jätkame me vahekohtu spetsialistidena praegu kehtiva õigusraamistikuga leppimist. Vaatamata oma puudustele on tegevuskava siiski hädavajalik ja julgustav samm selles suunas, et saavutada ühine arusaam vahekohtu osaliste isikuandmete kaitse kohustustest.

Ressursid

  1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus), ELT 2016 L 119/1.
  2. "Isikuandmed" on üldmääruse artiklis 4 määratletud järgmiselt: (1) "isikuandmed" - igasugune teave tuvastatud või tuvastatava füüsilise isiku ("andmesubjekt") kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada eelkõige tunnuse, näiteks nime, identifitseerimisnumbri, asukohaandmete, veebitunnuse või ühe või mitme füüsilise isiku füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse identiteedi tunnuse alusel.
  3. GDPRi territoriaalne kohaldamisala on artiklis 3 määratletud järgmiselt:
    1. "Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes, mis toimub vastutava töötleja või volitatud töötleja liidus asuva tegevuskoha tegevuse raames, olenemata sellest, kas töötlemine toimub liidus või mitte.

    2. Käesolevat määrust kohaldatakse liidus asuvate andmesubjektide isikuandmete töötlemise suhtes vastutava töötleja või volitatud töötleja poolt, kes ei ole asutatud liidus, kui töötlemistoimingud on seotud:

      (a) kaupade või teenuste pakkumisega liidus asuvatele andmesubjektidele, olenemata sellest, kas andmesubjektilt nõutakse makseid, või

      (b) nende käitumise jälgimisega, kui nende käitumine toimub liidus.

    3. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kes ei ole asutatud liidus, vaid kohas, kus rahvusvahelise avaliku õiguse alusel kohaldatakse liikmesriigi õigust.
  4. Vt "volitatud töötleja" määratlus GDPRi artiklis 4.
  5. GDPR artikli 83 lõige 4.
  6. "Largest fine under GDPR leviedud Google'ile" (Simmons + Simmons, 22. jaanuar 2019), vt www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16. oktoober 2020), vt www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), vt www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, vaadatud 18. august 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, veebruar 2020), vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, vaadatud 18. august 2021.
  9. Ibid, 1.
  10. PCA juhtum nr 2018-54.
  11. ICCA ja New Yorgi advokatuur ning rahvusvaheline konfliktide ennetamise ja lahendamise instituut, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, vaadatud 18. august 2021.
  12. 'Cybersecurity Guidelines' (IBA, oktoober 2018), vt www.ibanet.org/LPRU/Cybersecurity, vaadatud 1. detsembril 2020.
  13. 'ICC suunised võimalike meetmete eesmärgi kohta' (Rahvusvaheline Kaubanduskoda, 9. aprill 2020), vaadatud 18. august 2021.
  14. Tegevuskava, jagu B.
  15. Ibid.
  16. GDPR artikkel 4.
  17. Ibid.
  18. GDPR artikkel 4.
  19. Ibid, artikli 3 lõige 1.
  20. Teekaart, 7.
  21. GDPR artikkel 4.
  22. Tegevuskavas on "vahekohtu osalised" määratletud kui "sealhulgas pooled, nende õigusnõustajad, vahekohtunikud ja vahekohtuasutused (ainult)". Vt teekaart (nr 3), 2.
  23. GDPR artikkel 4.
  24. Vt 29. juuli 2019. aasta otsus, Fashion ID GmbH & Co KG vs. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punktid 74, 85. Vt ka 5. juuni 2018. aasta otsus, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; 10. juuli 2018. aasta otsus, Jehovan tunnistajat, C-25/17, EU:C:2018:551.
  25. Teekaart, 11
  26. Ibid, 12.
  27. GDPR, art 5 ja 12-22; teekaart, 14-15.
  28. Näiteks GDPRi kohaselt on isikuandmete töötlemine rahvusvahelise vahekohtumenetluse raames seaduslik, kui see on vajalik vastutava töötleja õigustatud huvide seisukohast - arvestades andmesubjekti huvidest ja põhiõigustest tulenevaid piiranguid - ning tundlikke andmeid võib vahekohtumenetluse raames töödelda õigusnõuete erandi alusel (artikli 9 lõike 2 punkt f).
  29. Teekaart, 19.
  30. Ibid, 20-21.
  31. Ibid, 30-31.
  32. Ibid, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. GDPR artikli 5 lõike 1 punkt e.
  41. Teekaart, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. august 2019), vt http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, vaadatud 18. august 2021.
  43. ELi komisjon on leidnud, et riik pakub piisavat andmekaitset.
  44. Rahvusvahelise vahekohtu puhul oleks see tõenäoliselt standardne lepinguline klausel.
  45. Vahekohtu kontekstis on kõige kohaldatavam õiguslike nõuete erand, mis lubab andmete edastamist, kui see on "vajalik õiguslike nõuete esitamiseks, esitamiseks või kaitsmiseks".
  46. Selle kõrge künnise ja teavitamisnõude tõttu on tuginemine kaalukatele õigustatud huvidele praktiliselt vähe asjakohane. Vt EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. veebruar 2018 (andmeedastuse suunised).
  47. Teekaart, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. august 2019), vt http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [vaadatud 18. august 2021].
  49. PCA juhtum nr 2018-54.
  50. Ibid, Tribunal's Communication to the Parties (Perm Ct Arb, 2019).
  51. Teekaart, 37.
  52. ICCA ja New Yorgi advokatuur ning rahvusvaheline konfliktide ennetamise ja lahendamise instituut, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, vaadatud 18. august 2021.
  53. 'Cybersecurity Guidelines' (IBA, oktoober 2018), vt www.ibanet.org/LPRU/Cybersecurity, vaadatud 1. detsembril 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18. juuli 2020), vt http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, vaadatud 18. august 2021.
  55. "ICC suunised võimalike meetmete kohta, mis on suunatud COVID-19 pandeemia mõju leevendamisele" (ICC, 9. aprill 2020), vaadatud 18. august 2021.
  56. 'Kolmandate isikute rahastamine rahvusvahelises vahekohtumenetluses: The ICCA-QMUL report", (ICCA, mai 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, vaadatud 18. august 2018.
  57. Teekaart, 2.
  58. Ibid, 23-25.
  59. GDPR artikli 4 lõige 2, vt eespool n 1.
  60. GDPR artikli 6 lõike 1 punkt f.
  61. Allan J Arffa jt, "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), vt www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, vaadatud 18. august 2021.
  62. Teekaart, lisa 5.
  63. Allan J Arffa jt, "GDPR Issues in International Arbitration" (Lexology, 10. august 2020), vt www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, vaadatud 18. august 2021.
  64. Teekaart 40-41.
  65. Vt nt: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp vs. Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6. veebruar 2020), vt www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, vaadatud 18. august 2021.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2. trükk, Kluwer Law International 2014), 2335.
  70. Ibid. Born tsiteerib selle argumendi kinnituseks järgmisi kohtuotsuseid: 22. jaanuari 2004. aasta otsus, Société Nat'l Cie for Fishing & Marketing "Nafimco" vs. Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel Paris): "arbitraažikohtu otsus nõuda avastamist kuulub tema menetlusliku kaalutlusõiguse hulka ja seda ei saa kohtud kontrollida"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Avalikustamisnõuded on "kohtu mõistliku kaalutlusõiguse piires".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. detsember 2019), vt www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, vaadatud 18. august 2021.
  72. New Yorgi konventsioon, artikli V lõige 2: "Vahekohtu otsuse tunnustamisest ja täitmisest võib keelduda ka siis, kui selle riigi pädev asutus, kus tunnustamist ja täitmist taotletakse, leiab, et... b) otsuse tunnustamine või täitmine oleks vastuolus selle riigi avaliku korraga.
  73. ÜRO peasekretär, analüütiline kommentaar rahvusvahelise kaubandusarbitraaži näidisseaduse eelnõu teksti kohta, A/CN.9/264 (1985), artikkel 34, lõige 6.
  74. UNCITRALi rahvusvahelise kaubandusarbitraaži mudelseadus, art 34(2): "Artiklis 6 nimetatud kohus võib vahekohtu otsuse tühistada ainult juhul, kui... b) kohus leiab, et... ii) vahekohtu otsus on vastuolus selle riigi avaliku korraga".
  75. juuni 1999. aasta otsus, Eco Swiss China Time Ltd vs. Benetton International NV C-126/97, EKL 1999, lk I-03055, punktid. 39 ja 41. ELi avaliku korra üksikasjalik arutelu vt: Sacha Prechal ja Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka ja Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Nende ja muude küsimuste üksikasjalikuma käsitluse kohta vt: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration", teoses José R Mata Dona ja Nikos Lavranos (toim), International Arbitration and EU Law (Edward Elgar Publishing, 2021), punktid 5.63 jj; Cervenka ja Schwarz, vt eespool n 76, 84-85.
  79. "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, veebruar 2020), vt https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, vaadatud 18. august 2021.

See artikkel avaldati esmakordselt ajakirjas Dispute Resolution International, Vol 15 nr 2, oktoober 2021, ja see on reprodutseeritud Rahvusvahelise Advokatuuri (International Bar Association, London, Ühendkuningriik) lahksel loal. © International Bar Association.

Tagasi ülevaatesse