Johdanto

Viime vuosina on herännyt kysymyksiä siitä, mitä käytännön vaikutuksia henkilötietojen yksityisyydensuojalla ja tietoverkkoturvallisuudella on kansainvälisten välimiesmenettelyjen toteuttamiseen - erityisesti kun otetaan huomioon teknologian jatkuva muutosvauhti.

Yleinen tietosuoja-asetus (GDPR)[i] juhlisti toista syntymäpäiväänsä toukokuussa 2020. Yleisen tietosuoja-asetuksen henkilötietojen suojakehyksen tavoitteena on varmistaa "tunnistettujen tai tunnistettavissa olevien luonnollisten henkilöiden" henkilötietojen vapaa liikkuvuus.[ii] Sitä sovelletaan Euroopan unionissa, ja sen soveltamisala voi ulottua myös EU:n ulkopuolelle;[iii] Yleinen tietosuoja-asetus voi vaikuttaa kaikkiin luonnollisiin henkilöihin ja oikeushenkilöihin, mutta myös viranomaisiin, virastoihin ja muihin elimiin - mahdollisesti myös kansainvälisiin järjestöihin - kohdistuu henkilötietojen suojaa koskevia velvoitteita.[iv] GDPR:n mukaiset seuraamukset voivat olla 4 prosenttia rikkomisen tehneen yksikön edellisen tilikauden maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa sen mukaan, kumpi näistä on suurempi.[v] Tarve suhtautua sen soveltamiseen vakavasti on jo todettu useilla lainkäyttöalueilla määrätyillä miljoonien eurojen sakoilla.[vi]

Vaikka henkilötietojen suojaa koskevien lakien soveltaminen välimiesmenettelyyn on vakiintunut, sitä, miten lakeja olisi sovellettava, ei ole vahvistettu. Tästä syystä Kansainvälinen kaupallisen välimiesmenettelyn neuvosto (International Council for Commercial Arbitration, ICCA) ja Kansainvälinen asianajajayhdistys (International Bar Association, IBA) perustivat helmikuussa 2019 tietosuojaa kansainvälisissä välimiesmenettelyissä käsittelevän yhteisen työryhmän, jonka tavoitteena on laatia opas, jossa annetaan käytännön ohjeita henkilötietojen suojaamisesta kansainvälisessä välimiesmenettelyssä. Työryhmä julkaisi maaliskuussa 2020 kuulemisluonnoksen tästä oppaasta.[vii] Tämä kommentti perustuu tähän etenemissuunnitelmaluonnokseen (jäljempänä 'etenemissuunnitelma'),[viii] Etenemissuunnitelman lopullinen, tarkistettu versio on tarkoitus julkaista syyskuussa 2021. Vaikka määräaika kuulemisluonnosta koskevien kommenttien esittämiselle on tätä kirjoitettaessa päättynyt, etenemissuunnitelman alustava versio on kuitenkin havainnollistava niistä kysymyksistä, joita tietosuoja-asetus herättää kansainvälisissä välimiesmenettelyissä. Siksi sitä käytetään keskustelun pohjana.

Useimmat henkilötietojen suojaa koskevat lait ovat välimiesmenettelyissä pakottavia, eli niissä määrätään:

• mitä henkilötietoja voidaan käsitellä;
• missä;
• millä keinoin;
• millä tietoturvatoimenpiteillä; ja
• kuinka kauan.[ix]

Niissä ei kuitenkaan käsitellä sitä, miten näitä sitovia velvoitteita olisi noudatettava välimiesmenettelyssä. Koska sääntelyviranomaiset eivät ole antaneet erityisiä ohjeita, etenemissuunnitelman tarkoituksena on auttaa välimiesmenettelyn ammattilaisia tunnistamaan ja ymmärtämään henkilötietojen suojaa ja yksityisyyden suojaa koskevat velvoitteet, joita heihin saattaa kohdistua kansainvälisen välimiesmenettelyn yhteydessä. Lisäksi GDPR-suojan laajuus on edelleen merkityksellinen kansainvälisissä välimiesmenettelyissä, lähinnä sen osalta, sovelletaanko GDPR-lainsäädäntöä välimiesmenettelyihin, joiden kotipaikka on EU:n ulkopuolella. Jos GDPR:n todetaan soveltuvan välimiesmenettelyyn, sillä on useita muita vaikutuksia: ensinnäkin se, onko henkilötietojen käsittely kielletty, ja toiseksi se, onko henkilötietojen siirtoa EU:n ulkopuolelle rajoitettu. Koska verkkohyökkäykset yleistyvät, välimiesmenettelyyn kohdistuvan hyökkäyksen seuraukset voivat aiheuttaa merkittäviä vahinkoja.

Tässä artikkelissa pyritään kommentoimaan etenemissuunnitelmaa ja tarkastelemaan käytännön toimenpiteitä, jotka olisi otettava huomioon henkilötietojen suojaa koskevien velvoitteiden osalta kansainvälisissä välimiesmenettelyissä. Etenemissuunnitelma on lupaava, vaikkakin epätäydellinen väline, jolla voidaan täydentää useita tähänastisia kansainvälisen välimiesmenettelyn yhdenmukaistamiseen tähtääviä ei-sitovia oikeudellisia toimia, erityisesti IBA:n ja Yhdistyneiden Kansakuntien kansainvälisen kauppaoikeuden toimikunnan (UNCITRAL) välineitä.

Aluksi esitetään lyhyt yhteenveto etenemissuunnitelmasta, jossa viitataan myös tietosuoja-asetuksen periaatteisiin. Tämän ei ole tarkoitus olla kattava yleiskatsaus, vaan pikemminkin esitellä etenemissuunnitelman pääkohdat, jotta lukija saa kontekstin myöhempää keskustelua varten. Toiseksi esitetään kommentti, jossa käsitellään kuutta asiaan liittyvää kysymystä:

• yleisen tietosuoja-asetuksen soveltaminen EU:n ulkopuolella pidettäviin välimiesmenettelyihin;
• GDPR Pohjois-Amerikan vapaakauppasopimusta (NAFTA) koskevien välimiesmenettelyjen yhteydessä, kuten asiassa Tennant Energy, LLC vastaan Kanadan hallitus;[x]
• videokonferensseja koskeva kysymys, jonka merkitys on kasvanut huomattavasti Covid-19-pandemian aikana, mukaan lukien viittaukset ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (Kyberturvallisuuspöytäkirja) -kokoelmaan.[xi] IBA:n kyberturvallisuutta koskevat suuntaviivat[xii] ja ICC:n ohjeet mahdollisista toimenpiteistä COVID-19-pandemian vaikutusten lieventämiseksi;[xiii]
• "kolmannet rahoittajat" ja miten ne otetaan huomioon etenemissuunnitelmassa;
• yleisen tietosuoja-asetuksen väärinkäyttö, erityisesti suojana tietojen salaamiselle; ja
• mahdollisuus käyttää henkilötietojen suojaa koskevien vaatimusten noudattamatta jättämistä välikätenä välitystuomion kumoamiselle tai tunnustamisen ja täytäntöönpanon epäämiselle.

Loppupäätelmät esitetään päätelmissä.

Tiekartta

Yksityishenkilöillä ja oikeussubjekteilla on velvollisuus suojella rekisteröityjen henkilötietoja. Välimiesmenettelyyn itsessään ei sovelleta henkilötietojen suojaa koskevia velvoitteita. Jos kuitenkin vain yhteen välimiesmenettelyn osanottajaan sovelletaan henkilötietojen suojaa koskevia velvoitteita, se voi vaikuttaa välimiesmenettelyyn kokonaisuudessaan. Se, kuuluuko henkilötietojen käsittely asiaankuuluvan lainsäädännön, aineellisen ja oikeudellisen soveltamisalan piiriin, ratkaisee, sovelletaanko henkilötietojen suojaa koskevia lakeja.[xiv]

Nykyaikaisia henkilötietolakeja sovelletaan aina, kun rekisteröidyn henkilötietoja käsitellään asianomaisen henkilötietolain lainkäyttöalueen piiriin kuuluvissa toimissa.[xv] Henkilötietoja ovat "kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot".[xvi] Tyypillisen välimiesmenettelyn aikana vaihdetaan huomattavia määriä tietoja, jotka koskevat muun muassa osapuolia, heidän avustajiaan, tuomioistuinta ja kolmansia osapuolia. Tällaisina ne todennäköisesti kuuluvat "henkilötietojen" määritelmän piiriin. "Rekisteröidyillä" tarkoitetaan edellä mainittuja yksilöityjä tai tunnistettavissa olevia henkilöitä.[xvii] Käsittelyyn sisältyy aktiivisia ja passiivisia toimia, jotka kattavat henkilötietojen käytön, levittämisen ja poistamisen sekä henkilötietojen vastaanottamisen, järjestämisen ja tallentamisen.[xviii] Soveltamisala kattaa toimet aina, kun henkilötietoja käsitellään rekisterinpitäjän tai henkilötietojen käsittelijän EU:ssa sijaitsevan toimipaikan toiminnan yhteydessä.[xix] ja ekstraterritoriaalisesti, esimerkiksi kun henkilötietoja siirretään EU:n ulkopuolelle yhteisöille tai henkilöille, jotka eivät muista syistä jo kuulu yleisen tietosuoja-asetuksen soveltamisalaan.[xx]

Välimiehiä pidetään rekisterinpitäjinä, mikä tarkoittaa, että he ovat vastuussa henkilötietojen suojaa koskevien lakien noudattamisesta. Rekisterinpitäjän määritelmän perusteella;[xxi] useimmat välimiesmenettelyn osanottajat[xxii] joita todennäköisesti pidetään sellaisina, mukaan lukien asianajajat, osapuolet ja toimielin. Rekisterinpitäjät voivat delegoida tietojenkäsittelyä henkilötietojen käsittelijöille,[xxiii] jotka ovat heidän valvonnassaan ja jotka edellyttävät tietojenkäsittelysopimuksia sovellettavan lainsäädännön mukaisin ehdoin. Näin ollen sihteereitä, puhtaaksikirjoittajia, kääntäjiä ja muita henkilöitä voidaan todennäköisesti pitää henkilötietojen käsittelijöinä. Lisäksi on kysymys yhteisrekisterinpitäjistä, jotka yhdessä määrittelevät tietojenkäsittelyn tarkoitukset ja keinot. Yhteistä rekisterinpitäjyyttä tulkitaan laajasti, mutta yhteisen rekisterinpitäjän vastuu rajoittuu vain rekisterinpitäjän määrittelemään käsittelyyn, sen tarkoitukseen ja keinoihin eikä koko käsittelyyn.[xxiv]

Kansainvälisissä välimiesmenettelyissä henkilötietojen siirtoa lainkäyttöalueiden välillä koskevat rajoitukset ovat ilmeinen tapa, jolla henkilötietojen suojaa koskevia lakeja sovelletaan. Välimiesmenettelyn eri osallistujien tausta määrittää erilaisten henkilötietosuojajärjestelmien soveltamisen. Nykyaikaiset henkilötietosuojalait rajoittavat henkilötietojen siirtoa kolmansiin maihin sen varmistamiseksi, että oikeudellisia velvoitteita ei kierretä siirtämällä henkilötietoja lainkäyttöalueille, joilla henkilötietojen suojaa koskevat normit ovat heikommat.[xxv] Yleinen tietosuoja-asetus sallii henkilötietojen siirrot kolmansiin maihin, jos jokin seuraavista tapahtuu:

• EU:n komissio on katsonut maan tarjoavan riittävän henkilötietojen suojan;
• jokin nimenomaisesti luetelluista suojatoimista otetaan käyttöön;
• poikkeus, joka sallii siirrot, jos ne ovat tarpeen oikeudellisten vaateiden laatimiseksi, esittämiseksi tai puolustamiseksi; tai
• osapuolen pakottava oikeutettu etu.[xxvi]

Näitä sääntöjä sovelletaan välimiesmenettelyn osallistujiin eikä välimiesmenettelyyn kokonaisuudessaan, joten jokaisen välimiesmenettelyn osallistujan on harkittava, mitä henkilötietojen siirtoa koskevia rajoituksia häneen sovelletaan.

Välimiesmenettelyssä sovellettaviin henkilötietojen suojaa koskeviin periaatteisiin kuuluvat oikeudenmukainen ja laillinen käsittely, suhteellisuus, tietojen minimointi, käyttötarkoituksen rajoittaminen, rekisteröidyn oikeudet, tarkkuus, tietoturva, avoimuus ja vastuuvelvollisuus.[xxvii]

Muutamia näistä periaatteista on syytä kommentoida tarkemmin. Oikeudenmukainen ja lainmukainen käsittely tarkoittaa, että henkilötietoja saa käsitellä vain tavalla, jota rekisteröidyt voivat kohtuudella odottaa, ja että käsittelylle on oltava oikeusperusta. Soveltaessaan kohtuullisuusperiaatetta osapuolen ja sen avustajan olisi kysyttävä itseltään, olisivatko henkilöt kaikkien tosiseikkojen valossa odottaneet, että heidän henkilötietojaan käsiteltäisiin tällaisella tavalla, aiheutuuko käsittelystä heille haitallisia seurauksia ja ovatko nämä seuraukset perusteltuja. Tämä periaate ei estä yrityssähköposteista löytyvien henkilötietojen hyväksymistä todisteiksi.

Laillisen käsittelyn käsite edellyttää oikeusperustaa, joka perustuu tosiseikkoihin ja on tapauskohtainen. Suostumuksen sijasta olisi vedottava tietosuoja-asetuksen erityisiin oikeusperustoihin.[xxviii]

Suhteellisuus edellyttää käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten tarkastelua suhteessa rekisteröityyn kohdistuviin riskeihin.[xxix] Tietojen minimointi edellyttää, että välimiesmenettelyn osallistujat rajoittavat käsittelyn henkilötietoihin, jotka ovat asianmukaisia, merkityksellisiä ja rajoitettuja välttämättömään.[xxx] Avoimuus edellyttää, että rekisteröidyille ilmoitetaan henkilötietojen käsittelystä ja käsittelyn tarkoituksesta joko yleisten ilmoitusten, erityisten ilmoitusten tai molempien avulla.[xxxi] Vastuullisuus liittyy henkilökohtaiseen vastuuseen tietosuojan noudattamisesta, mikä tarkoittaa, että välimiesmenettelyn osanottajien olisi dokumentoitava kaikki henkilötietojen suojaa koskevat toimenpiteet ja tehdyt päätökset osoittaakseen vaatimustenmukaisuuden.[xxxii]

Henkilötietojen suojan noudattaminen vaikuttaa kansainvälisen välimiesmenettelyn yksittäisiin vaiheisiin, ei ainoastaan itse välimiesmenettelyn aikana vaan myös sen valmistelujen aikana. Välimiesmenettelyn osanottajien olisi alusta alkaen harkittava, mitä henkilötietojen suojaa koskevia lakeja heihin ja muihin välimiesmenettelyn osanottajiin sovelletaan ja ketkä välimiesmenettelyn osanottajat käsittelevät henkilötietoja rekisterinpitäjinä, henkilötietojen käsittelijöinä tai yhteisrekisterinpitäjinä. Kolmansien maiden henkilötietojen siirtoa koskevat säännöt ja kolmansien osapuolten palveluntarjoajia koskevat henkilötietojen käsittelysopimukset olisi myös otettava huomioon. Asiakirjojen keruu- ja tarkasteluprosessin aikana osapuolet ja heidän oikeudelliset neuvonantajansa tarvitsevat laillisen perustan käsittelytoimille ja kolmansien maiden henkilötietojen siirroille.[xxxiii]

Välimiesmenettelyä koskeva pyyntö ja myöhemmät esitykset sisältävät henkilötietoja, jotka kuuluvat selkeästi käsittelyn piiriin. Jos sovellettava henkilötietojen suojaa koskeva lainsäädäntö sitoo välimiesmenettelystä vastaavaa laitosta, sen on otettava huomioon mahdolliset henkilötietojen suojaa koskevat velvoitteet, joita sovelletaan kussakin menettelyvaiheessa. Jos välityslaitokseen sovelletaan yleistä tietosuoja-asetusta, siitä tulee tyypillisesti henkilötietojen rekisterinpitäjä. Noudattaakseen yleisen tietosuoja-asetuksen 13 ja 14 artiklaa tällaisen laitoksen olisi sisällytettävä tietosuojailmoitukseensa tiedot turvatoimista, rekisteröidyn oikeuksien käyttämisestä, rekisterien ylläpidosta sekä tietomurto- ja tietojen säilyttämiskäytännöistä.[xxxiv] Sijoittajan ja valtion välitysmenettelyjä hoitavat kansainväliset järjestöt voivat kuitenkin jäädä henkilötietolainsäädännön soveltamisalan ulkopuolelle perustajavaltion erioikeuksien ja vapauksien tai isäntämaasopimuksen nojalla. Tässä yhteydessä on siis harkittava erikseen muun muassa sitä, sitovatko henkilötietojen suojaa koskevat lait järjestöä ja kuuluvatko välimiesmenettelyn osanottajat erioikeuksien ja vapauksien piiriin - ja missä määrin.[xxxv]

Kun välimiehiä nimitetään välimiesoikeuteen, vaihdetaan yleensä huomattavia määriä mahdollisten välimiesten henkilötietoja. Välimiesmenettelyn osanottajien olisi sisällytettävä näiden henkilötietojen käsittelyn oikeusperusta oikeudellisiin ilmoituksiinsa ja ilmoitettava nimenomaisesti nimitettäviksi harkituille välimiehille heidän henkilötietojensa käsittelystä, erityisesti silloin, kun henkilötietoja siirretään kolmansiin maihin.[xxxvi]

Kun välimiesmenettely on käynnissä, henkilötietojen suojaa koskevat vastuut olisi jaettava varhaisessa vaiheessa riskien minimoimiseksi. Henkilötietojen suoja olisi sisällytettävä ensimmäisen menettelykonferenssin esityslistalle, ja välimiesmenettelyn osanottajien olisi pyrittävä sopimaan mahdollisimman varhaisessa vaiheessa siitä, miten henkilötietojen suojan noudattamista käsitellään. Osapuolten, heidän asianajajiensa ja välimiesten olisi harkittava henkilötietojen suojaa koskevan pöytäkirjan tekemistä, jotta sääntöjen noudattamiseen liittyviä kysymyksiä voitaisiin käsitellä tehokkaasti. Jos tämä ei ole mahdollista, vaihtoehtona on, että välimiesoikeus sisällyttää ne menettelymääräykseen numero yksi.[xxxvii]

Asiakirjojen tuottamis- ja luovutusprosessissa henkilötietojen minimoinnin periaate on erityisen tärkeä. GDPR:n mukaan tämä todennäköisesti edellyttäisi:

• rajoitetaan luovutettavat henkilötiedot olennaisiin ja päällekkäisiin tietoihin;
• tunnistetaan vasta-aineiston sisältämät henkilötiedot; ja
• tarpeettomien henkilötietojen poistaminen tai pseudonymisointi.

Myös näitä kysymyksiä olisi tarkasteltava menettelyn alkuvaiheessa, mieluiten ensimmäisessä menettelyneuvottelussa tai sitä ennen.[xxxviii]

Välimiesten ja toimielinten olisi harkittava, mihin henkilötietojen sisällyttäminen palkintoihin perustuu ja onko se tarpeellista, kun kyse on palkintojen antamisesta. Jos välimiesmenettely on luottamuksellinen, on kuitenkin olemassa vaara, että tuomio tulee julkiseksi, kun se pannaan täytäntöön. Vaikka henkilötiedot on poistettu, ne ovat yleensä edelleen henkilötietoja, koska rekisteröity on tunnistettavissa tuomion muusta osasta tai siihen liittyvästä aineistosta.[xxxix]

Tietojen säilyttämistä ja poistamista pidetään tietosuoja-asetuksen mukaisena käsittelynä, jossa säädetään, että henkilötietoja on säilytettävä "rekisteröidyn tunnistamisen mahdollistavassa muodossa enintään niin kauan kuin on tarpeen henkilötietojen käsittelyn tarkoituksia varten".[xl] Rekisterinpitäjien on harkittava, dokumentoitava ja pystyttävä perustelemaan varastoinnin kesto. Välimiesmenettelyyn osallistujien on harkittava, mikä tietojen säilytysaika on kohtuullinen, ja heidän on käytettävä oikeasuhteista lähestymistapaa tasapainottaakseen tarpeitaan ja tietojen säilyttämisen vaikutuksia rekisteröidylle.[xli]

GDPR:n soveltaminen EU:n ulkopuolella pidettäviin välimiesmenettelyihin

Yleisen tietosuoja-asetuksen alueellinen soveltamisala on suhteellisen laaja. Asiantuntijoiden olisi oltava tietoisia sen soveltamisesta riippumatta siitä, sijaitseeko heidän kotipaikkansa tai onko välimiesmenettelyn kotipaikka EU:n alueella vai ei. Yleistä tietosuoja-asetusta sovelletaan EU:hun sijoittautuneiden rekisterinpitäjien tai henkilötietojen käsittelijöiden suorittamaan henkilötietojen käsittelyyn riippumatta siitä, tapahtuuko itse käsittely EU:ssa (3 artiklan 1 kohta). Kun on kyse tavaroiden tai palvelujen tarjoamisesta EU:n kansalaisille tai EU:n alueella tapahtuvan käyttäytymisen seurannasta, tietosuoja-asetusta sovelletaan myös henkilötietojen käsittelyyn, jota suorittaa rekisterinpitäjä tai henkilötietojen käsittelijä, joka ei ole sijoittautunut EU:hun (3 artiklan 2 kohta).

Sovellettuna välimiesmenettelyyn GDPR asettaa velvoitteita rekisterinpitäjille ja henkilötietojen käsittelijöille - välimiehille, asianajajille, osapuolille ja toimielimille - jotka kuuluvat sen aineelliseen ja alueelliseen soveltamisalaan, eikä niinkään suoraan välimiesmenettelylle. Vaikka vain yhdellä välimiesmenettelyn osallistujalla olisi yhteys EU:hun, hän on velvollinen käsittelemään henkilötietoja GDPR:n mukaisesti. Tästä voi aiheutua vaikutuksia koko menettelyyn.[xlii]

Kansainvälisessä välimiesmenettelyssä, jossa henkilötietoja sisältävän välimiesmenettelyaineiston siirto on yleistä, ehkä merkittävimpiä ovat rajoitukset, jotka koskevat henkilötietojen siirtoa Euroopan talousalueen (ETA) ulkopuolisiin "kolmansiin maihin". Tällaisessa tilanteessa henkilötietojen siirron salliminen edellyttää yhtä neljästä laillisesta perusteesta. Ensinnäkin siirto kolmanteen maahan on sallittua, jos kyseiseen kolmanteen maahan sovelletaan tietosuojan riittävyyttä koskevaa päätöstä (45 artiklan 1 kohta).[xliii] Jos näin ei ole, olisi mahdollisuuksien mukaan otettava käyttöön jokin asianmukaisista suojatoimista (46 artiklan 1 kohta).[xliv] Jos riittävyyspäätöstä ei ole tehty eikä asianmukainen suojatoimi ole toteutettavissa, voidaan vedota erityiseen poikkeukseen (49 artiklan 1 kohta).[xlv] Jos edellä mainittuja seikkoja ei ole, osapuoli voi vedota pakottavaan oikeutettuun etuun (49 artiklan 1 kohta).[xlvi] laillisena perusteena henkilötietojen siirtämiselle kolmannelle osapuolelle.

Etenemissuunnitelmassa esitetään varsin kattavasti ne tarpeelliset seikat, jotka välimiesmenettelyn osallistujien on otettava huomioon. Siinä korostetaan useaan otteeseen, että henkilötietojen suojaa koskevia periaatteita ja siirtosääntöjä sovelletaan välimiesmenettelyn osanottajiin eikä välimiesmenettelyyn sinänsä.[xlvii] Tämän mukaisesti oletettava johtopäätös on, että EU:hun sijoittautuneen välimiehen, joka osallistuu EU:n ulkopuoliseen välimiesmenettelyyn, joka ei muuten kuulu yleisen tietosuoja-asetuksen soveltamisalaan, on kuitenkin noudatettava yleisen tietosuoja-asetuksen henkilötietojen käsittelyä ja siirtoa koskevia vaatimuksia. Tämä on yleisesti hyväksytty kaupallisissa välimiesmenettelyissä,[xlviii] mutta tilanne ei ole yhtä selkeä sijoittajan ja valtion välisessä välimiesmenettelyssä.

Asia Tennant Energy, LLC v. Kanadan hallitus (Tennant Energy, LLC v. Government of Canada)

Vuonna 2019 NAFTAn 11 luvun mukaisessa välimiesmenettelyssä Tennant Energy, LLC vastaan Kanadan hallitus (Tennant),[xlix] Kantaja Tennant otti esille kysymyksen GDPR:n soveltamisesta menettelyyn, kun otetaan huomioon yhden tuomioistuimen jäsenen Yhdistyneen kuningaskunnan kansalaisuus ja kotipaikka. Tuomioistuin antoi kuitenkin osapuolille ohjeet, joissa se totesi, että "NAFTAn 11 luvun mukainen välimiesmenettely, joka on sopimus, jonka osapuolena ei ole Euroopan unioni eikä sen jäsenvaltiot, ei oletettavasti kuulu yleisen tietosuoja-asetuksen aineelliseen soveltamisalaan".[l]

On tärkeää erottaa toisistaan sopimusperusteinen ja kaupallinen välimiesmenettely, ja Tennant kuuluu edelliseen ryhmään. Etenemissuunnitelmassa käsitellään tätä eroa ja todetaan, että kansainväliset järjestöt voivat jäädä henkilötietolainsäädännön soveltamisalan ulkopuolelle.[li] Tennantin välimiesmenettelyssä välimiesoikeuden jäseniin saattaa kohdistua tiettyjä vapautuksia, jotka johtuvat pysyvän välimiesoikeuden ja Alankomaiden välisestä kotipaikkaa koskevasta sopimuksesta. NAFTA-tuomioistuin ei kuitenkaan pohtinut, sovelletaanko PCA:han kansainvälisenä järjestönä tietosuoja-asetuksen siirtosääntöjä tai johtuisivatko tuomioistuimen jäsenet tietyistä sopimuksesta johtuvista vapauksista.

The Tennant suunta herättää enemmän kysymyksiä kuin antaa vastauksia yleisen tietosuoja-asetuksen soveltuvuudesta NAFTA-menettelyihin ja yleisemmin sopimuksiin perustuviin välimiesmenettelyihin, joiden yksityiskohtainen tarkastelu ei kuulu tähän aiheeseen. Etenemissuunnitelman valossa tarkasteltuna Tennantin ohje osoittaa kuitenkin, että tämä aihe on edelleen hyvin epävarma. On parhaimmillaankin kyseenalaista, tuoko etenemissuunnitelma selvyyttä välimiesmenettelyn osallistujille, jotka joutuvat kohtaamaan tällaisen kysymyksen, kun otetaan huomioon erityisesti se, että etenemissuunnitelma annettiin sen jälkeen, kun Tennant ohje annettiin, mutta jälkimmäiselle ei myönnetty mitään vastiketta.

Videokonferensseja koskeva kysymys

Etenemissuunnitelmassa tunnustetaan henkilötietojen turvallisuuden merkitys. Kun viime aikoina on kuitenkin käytetty lisäteknologiaa virtuaalisten kuulemisten helpottamiseksi ja kotona työskentelyn helpottamiseksi - lähinnä Covid-19-pandemian aiheuttamien nykyisten olosuhteiden vuoksi - tällä kysymyksellä on lisäpainoa. Kyberturvallisuuspöytäkirja[lii] ja IBA:n kyberturvallisuutta koskevat suuntaviivat.[liii] ovat valottaneet asiaa.

Etenemissuunnitelman tavoin myös kyberturvallisuuspöytäkirjassa vahvistetaan useita perusperiaatteita. Suhteellisuusperiaatetta sovelletaan, virkamiestuomioistuimella on valtuudet ja harkintavalta määritellä käytössä olevat turvatoimenpiteet, ja tietoturva on asia, josta olisi keskusteltava ensimmäisessä asianhallintakokouksessa. Kyberturvallisuuspöytäkirjan liitteessä A on tarkistuslista, jota välimiesmenettelyn osapuolet voivat käyttää menettelyn turvaamiseksi.

Covid-19-pandemian aiheuttamien viimeaikaisten työtapojen ja -ympäristöjen muutosten vuoksi näille kysymyksille olisi annettava enemmän painoarvoa. Maailmassa, jossa on jouduttu etsimään uusia tapoja harjoittaa liiketoimintaa ja sopeutumaan epävarmuuden aikoihin, yksi oikeudellisen alan kohtaamista kysymyksistä on kuuleminen yhdistettynä rajoituksiin ja sosiaalisen etäisyyden ottamisen tarpeeseen. Videoneuvottelujen suosio ja niiden käyttö kansainvälisissä välimiesmenettelyissä on asia, jota etenemissuunnitelmassa olisi käsiteltävä, mutta näin ei ole tehty - tai ainakaan vielä.

Vaikka monet ovat keskustelleet videokuulemisiin liittyvistä kysymyksistä ja tuoneet niitä esiin, useimmat eivät ole käsitelleet sitä, miten henkilötietojen suojaa koskevia lakeja olisi sovellettava niihin, ei ainoastaan henkilötietojen suojan vaan myös turvallisuuden osalta, sillä joihinkin alustoihin on kohdistunut tietoturvahyökkäyksiä.[liv]

Kuten edellä on todettu, on tärkeää ymmärtää GDPR:ää koskevan välimiesmenettelyn osapuolten erilaiset roolit eli se, ketkä ovat "rekisterinpitäjiä" ja "henkilötietojen käsittelijöitä". Jos videoneuvotteluohjelmisto käsittelee henkilötietoja, kuten käyttäjänimeä ja sähköpostiosoitetta, jotka ovat peräisin osapuolen palvelun käytöstä, sitä pidetään "tietojen käsittelijänä". Tämä tarkoittaa, että niiden on noudatettava GDPR-sääntöjä, jos osallistujien kotipaikka on EU:ssa. Koska tuomioistuin on "rekisterinpitäjä", sen vastuulla on varmistaa, että näitä sääntöjä noudatetaan.

Kansainvälinen kauppakamari (ICC) on julkaissut ohjeen[lv] joka tarjoaa osapuolille ehdotettuja lausekkeita kyberturvallisuuspöytäkirjoja ja virtuaalisia kuulemisia varten. Siinä pyritään käsittelemään turvallisuusnäkökohtia, mutta siinä ei käsitellä henkilötietojen suojaa. Etenemissuunnitelmassa olisi keskusteltava mahdollisuuksista, joilla henkilötietojen suojaa voitaisiin soveltaa virtuaalisesti järjestettäviin kuulemisiin, ja myös siitä, miten sitä noudatetaan. Yleisessä tietosuoja-asetuksessa määritellään vaatimukset, jotka on täytettävä videoneuvottelujen osalta, mutta siinä ei anneta ohjeita siitä, miten sen vaatimuksia voidaan soveltaa suoraan.

Vaikka etenemissuunnitelmassa ei anneta suosituksia tietyistä ohjelmistotoimittajista, siinä voitaisiin koota ja tarjota alan ammattilaisille luettelo videokuulemisiin soveltuvan ihanteellisen ohjelmiston vaatimuksista, aivan kuten sen liitteissä on tarkistuslistoja monista muista asioista.

Mihin kolmannen osapuolen rahoittajat sopivat?

Kolmannen osapuolen rahoittajaksi katsotaan välimiesmenettelyn ulkopuolinen taho, joka tekee sopimuksen menettelyn kustannusten rahoittamisesta kokonaan tai osittain ja saa vastineeksi summan, joka on kokonaan tai osittain riippuvainen asian lopputuloksesta.[lvi] Kolmannen osapuolen rahoittajilla on pääsy erilaisiin henkilötietoihin välimiesmenettelyissä, joita ne rahoittavat tai harkitsevat rahoittavansa. Vaikka etenemissuunnitelma on nimenomaisesti suunnattu vain välimiesmenettelyn osallistujille, siinä todetaan, että ohjeet koskevat myös palveluntarjoajia, joita henkilötietojen suojaa koskevat vaatimukset koskevat.[lvii]

Etenemissuunnitelmassa palveluntarjoajia ovat muun muassa "sähköisen tiedonhankinnan asiantuntijat, tietotekniikan ammattilaiset, oikeudenkäyntipöytäkirjantarkastajat ja käännöspalvelut".[lviii] mutta kolmansien osapuolten rahoittajia ei mainita nimenomaisesti. Yleisen tietosuoja-asetuksen mukaan henkilötietojen kerääminen ja tallentaminen kuuluvat käsittelyyn. Näin ollen jos kolmannen osapuolen rahoittajat keräävät henkilötietoja muilta, henkilötietolainsäädäntöä sovelletaan myös heihin.[lix]

Yleinen tietosuoja-asetus sallii osapuolen käsitellä henkilötietoja, jos "käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi".[lx] johon välimiesmenettelyn osanottajat voivat mahdollisesti vedota sovellettavana oikeusperustana asiaankuuluvien henkilötietojen käsittelylle. Tästä aiheesta on vain vähän ohjeita.[lxi] Etenemissuunnitelmassa todetaan:

"Ensimmäinen vaihe oikeutetun edun arvioinnissa on tunnistaa oikeutettu etu - mikä on henkilötietojen käsittelyn tarkoitus ja miksi se on tärkeää sinulle rekisterinpitäjänä? Välimiesmenettelyn yhteydessä oikeutettu etu voi liittyä oikeudenhoitoon, osapuolten oikeuksien kunnioittamisen varmistamiseen ja vaateiden nopeaan ja oikeudenmukaiseen ratkaisemiseen sovellettavien välimiesmenettelysääntöjen mukaisesti sekä moniin muihin etuihin.[lxii]

Ilmaisu "myös monet muut edut" voisi mahdollisesti sisältää myös kolmansien osapuolten rahoittajien oikeutetut rahalliset edut. Jos näin on, ne olisivat tällöin selvästi velvollisia tekemään tietojenkäsittelysopimuksia välimiesmenettelyn osapuolten kanssa ja kuuluisivat henkilötietojen suojaa koskevien säännösten ja vaatimusten soveltamisalaan. Mielenkiintoista on, että etenemissuunnitelmassa ei nimenomaisesti eritellä, miten kolmannet rahoittajat sopivat kuvaan, erityisesti kun otetaan huomioon, että niiden sisällyttäminen välimiesmenettelyihin on lisääntynyt.

Suoja tietojen salaamiselle

Henkilötietojen suojaa koskevat velvoitteet johtavat väärinkäytösten mahdollisuuteen. Välimiesmenettelyn osapuolet voivat käyttää tietosuoja-asetusta suojakilpenä vilpillisessä mielessä estääkseen menettelyn kannalta merkityksellisten tai vastapuolen pyytämien tietojen luovuttamisen. Osapuoli voi esimerkiksi vastustaa luovutuspyyntöä väittäen, että asiakirjat sisältävät henkilötietoja, jotka eivät liity riitaan, tai että henkilötietojen poistaminen olisi kohtuuttoman työlästä.[lxiii]

Etenemissuunnitelmassa käsitellään väärinkäytösten mahdollisuutta. Siinä ehdotetaan, että henkilötietojen suojaa koskevat velvoitteet otetaan esille ja selkiytetään mahdollisimman varhaisessa vaiheessa, jotta voidaan vähentää niiden vaikutusta menettelyihin. Osallistujien olisi harkittava tietosuojapöytäkirjan tekemistä eli sopimusta siitä, miten henkilötietojen suojaa sovelletaan tietyssä yhteydessä. Jos allekirjoitettua tietosuojapöytäkirjaa ei ole mahdollista saada aikaan, nämä kysymykset olisi vaihtoehtoisesti käsiteltävä menettelymääräyksessä numero yksi.[lxiv]

Vertailun vuoksi voidaan tarkastella GDPR:n noudattamista Yhdysvaltojen oikeudenkäyntien aikana. Yhdysvaltain liittovaltion tuomioistuimet ovat käyttäneet tasapainotestiä päättäessään, onko tietojen luovuttamista tai noudattamista määrättävä sellaisten haasteiden tai tiedonhankintamääräysten perusteella, jotka mahdollisesti rikkovat ulkomaisia lakeja, mukaan lukien henkilötietojen suojaa koskevat lait, vai ei.[lxv] Yhdysvaltain liittovaltion tuomioistuinten tarkastelemien tekijöiden luettelo ei ole tyhjentävä:

• pyydettyjen asiakirjojen tai muiden tietojen merkitys oikeudenkäynnin kannalta;
• pyynnön tarkkuusaste;
• onko tieto peräisin Yhdysvalloista;
• vaihtoehtoisten keinojen saatavuus tietojen turvaamiseksi; ja
• missä määrin noudattamatta jättäminen heikentäisi Yhdysvaltojen tärkeitä etuja.[lxvi]

Useimmiten liittovaltion tuomioistuimet vaativat tietojen luovuttamista huolimatta siitä, että ulkomaisia henkilötietolakeja on mahdollisesti rikottu.[lxvii]

Välimiehet joutuvat ottamaan huomioon erilaiset näkökohdat kuin tuomioistuimet päättäessään, määräävätkö he asianosaisen julkistamaan tietoja. Kuten kirjallisuudessa on esitetty, se on oikein,[lxviii] että tuomioistuinten on oltava tietoisia kilpailevista oikeuksista ja velvollisuuksista, kun otetaan huomioon ulkomaisten välitystuomioiden tunnustamisesta ja täytäntöönpanosta vuonna 1958 tehdyn yleissopimuksen (New Yorkin yleissopimus) mukainen kumoamisen tai täytäntöönpanon epäämisen uhka. Tässä näkemyksessä ei kuitenkaan oteta huomioon sitä, että osavaltioiden tuomioistuimet tarkastelevat tiedonantomääräyksiä vain vähäisessä määrin, kun otetaan huomioon tuomioistuinten puuttumattomuuden periaate.[lxix] Esimerkkejä siitä, että osavaltioiden tuomioistuimet ovat pidättäytyneet tarkastelemasta tiedonantomääräyksiä, on runsaasti.[lxx]

Kun otetaan huomioon tuomioistuinten harkintavalta menettelyllisissä asioissa, kumoamisen tai täytäntöönpanon epäämisen uhka ei todennäköisesti ole keskeinen näkökohta. Jos osapuolet pyrkivät väistämättä väärinkäyttämään tietosuoja-asetuksen velvoitteita saadakseen mahdollisen menettelyllisen edun, tuomioistuimet joutuvat vaikeaan tilanteeseen, jossa ne joutuvat tasapainoilemaan toisaalta rekisteröidyn etujen ja toisaalta vankan todistusmenettelyn ylläpitämisen välillä.[lxxi] Henkilötietojen suojaa koskevien vaatimusten noudattamista koskevien velvoitteiden selventäminen menettelyn alussa - mieluiten allekirjoitetussa tietosuojapöytäkirjassa - etenemissuunnitelman suositusten mukaisesti näyttää olevan ennakkoedellytys tämän toiminnan tarkistamiseksi.

Henkilötietosuojavaatimusten noudattamatta jättäminen voi johtaa kumoamiseen sekä tunnustamisen ja täytäntöönpanon epäämiseen.

Etenemissuunnitelmassa ei käsitellä sitä, voidaanko henkilötietojen suojaa koskevien vaatimusten noudattamatta jättäminen käyttää perusteena välitystuomion kumoamiselle tai sen tunnustamisen ja täytäntöönpanon epäämiselle. Osapuolilla on hyvin rajalliset keinot hakea muutosta välitystuomioon. Hävinnyt osapuoli voi kuitenkin haluta kyseenalaistaa välimiesmenettelyn tuloksen ja käyttää jotakin tärkeimmistä yleisistä perusteista riitauttaakseen välimiesmenettelyn tai estääkseen sen tunnustamisen tai täytäntöönpanon.

New Yorkin yleissopimuksessa on tällä hetkellä 168 sopimusvaltiota, joten se on ensisijainen oikeusperusta ulkomaisten tuomioiden tunnustamiselle ja täytäntöönpanolle kansainvälisessä kaupallisessa välimiesmenettelyssä. Yleissopimuksen V artiklassa määrätään rajoitetuista perusteista, joiden nojalla välitystuomion tunnustamisesta ja täytäntöönpanosta voidaan kieltäytyä. Tässä yhteydessä on erityisen tärkeää, että V artiklan 2 kohdan b alakohdassa tunnustetaan allekirjoittajavaltion toimivaltaisen viranomaisen mahdollisuus kieltäytyä tunnustamasta tai panemasta täytäntöön sellaista ratkaisua, joka on vastoin oikeusjärjestyksen perusteita.[lxxii]

Perusteet, joiden perusteella välitystuomio voidaan kumota, vaihtelevat eri lainkäyttöalueilla. UNCITRALin kansainvälistä kaupallista välimiesmenettelyä koskevassa mallilaissa, joka on laajalti hyväksytty, on 34 artiklan 2 kohdassa luettelo kumoamisperusteista. Luettelo perustuu läheisesti New Yorkin yleissopimuksen V artiklaan.[lxxiii] 34 artiklan 2 kohdan b alakohdan ii alakohdassa todetaan, että tuomioistuin voi kumota välitystuomion, jos se on ristiriidassa valtion oikeusjärjestyksen perusteiden kanssa.[lxxiv]

Euroopan yhteisöjen tuomioistuin totesi asiassa Eco Swiss v. Benetton, että EU:n lainsäädännön pakottavat säännökset, joilla on etusija, voivat olla yleiseen järjestykseen liittyviä perussääntöjä, joiden rikkominen voi olla peruste kansallisen lainsäädännön tällaiseen perusteeseen perustuvan välitystuomion kumoamiselle.[lxxv] Se, voidaanko tuomio kumota tai sen tunnustaminen tai täytäntöönpano evätä henkilötietojen suojaa koskevien vaatimusten noudattamatta jättämisen vuoksi, riippuu siis siitä, onko tietosuoja-asetuksen sääntöjä pidettävä ensisijaisina pakottavina säännöksinä, joiden rikkominen on kansallisen oikeusjärjestyksen perusteiden vastaista.[lxxvi]

Rooma I -asetuksen 9 artiklan 1 kohdassa määritellään pakottavat säännökset säännöksiksi, "joiden noudattamista maa pitää ratkaisevana yleisten etujensa turvaamiseksi ... siinä määrin, että niitä sovelletaan kaikkiin niiden soveltamisalaan kuuluviin tilanteisiin riippumatta siitä, mitä lakia muutoin sovelletaan". Kuten Cervenka ja Schwarz ovat aiemmin todenneet, useimpia tietosuoja-asetuksen sääntöjä voidaan todennäköisesti pitää EU:n lainsäädännön mukaisina pakottavina säännöksinä. Sellaisenaan niiden rikkomista voidaan pitää oikeusjärjestyksen perusteiden vastaisena.[lxxvii]

Mahdollisuus, että henkilötietojen suojaa koskevien vaatimusten noudattamatta jättäminen voi johtaa välitystuomion mitätöintiin tai siihen, että välitystuomiota ei tunnusteta eikä panna täytäntöön, herättää monenlaisia huolenaiheita. Ensinnäkin olisi määriteltävä tarkasti, mitkä henkilötietojen suojaa koskevat velvoitteet ovat pakottavia säännöksiä, sillä kaikilla rikkomuksilla ei ole samaa painoarvoa. Viime kädessä Euroopan yhteisöjen tuomioistuinta pyydetään todennäköisesti antamaan lisäselvityksiä. Toiseksi olisi otettava huomioon myös mahdollinen väärinkäyttö, joka liittyy mahdollisuuteen riitauttaa tai kiistää tuomion täytäntöönpano tietosuoja-asetuksen rikkomisen perusteella, jotta estetään osapuolia rikkomasta henkilötietojen suojaa koskevia sääntöjä tarkoituksellisesti, jotta heillä olisi mahdollisuus vedota tuomioon myöhemmin. Lopuksi olisi määriteltävä, ovatko henkilötietojen suojaa koskevat säännökset osa prosessioikeutta vai aineellista oikeutta ja millä tavoin.[lxxviii]

Vaikka paljon on vielä määrittelemättä, olisi käsiteltävä henkilötietojen suojaa koskevien vaatimusten noudattamatta jättämisen seurauksia, jotka koskevat välimiestuomioiden kumoamista sekä tunnustamista ja täytäntöönpanoa. On erittäin mielenkiintoista, että etenemissuunnitelmassa ei mainita tästä mitään.

Päätelmä

Etenemissuunnitelman tarkoituksena on auttaa välimiesmenettelyn ammattilaisia tunnistamaan ja ymmärtämään henkilötietojen suojaa ja yksityisyyden suojaa koskevat velvoitteet, joita heihin voi kohdistua kansainvälisessä välimiesmenettelyssä. Kuten aiemmin todettiin, siinä ei kuitenkaan käsitellä joitakin nykyisin ajankohtaisia ja kiireellisiä kysymyksiä. Tässä asiakirjassa yksilöidyt ja käsitellyt kuusi kysymystä ovat seuraavat:

• yleisen tietosuoja-asetuksen soveltaminen EU:n ulkopuolella pidettäviin välimiesmenettelyihin;
• GDPR NAFTA-välimiesmenettelyjen yhteydessä;
• virtuaalisia välimieskäsittelyjä koskeva kysymys;
• ulkopuoliset rahoittajat ja niiden asema etenemissuunnitelmassa;
• GDPR:n mahdollinen väärinkäyttö; ja
• GDPR:n mahdollinen noudattamatta jättäminen voi johtaa välitystuomion kumoamiseen tai tunnustamisen ja täytäntöönpanon epäämiseen.

Näitä kysymyksiä on syytä pohtia tarkemmin, sillä niiden ennustetaan vain tulevan entistä ajankohtaisemmiksi tulevina vuosina. Toivottavasti on osoitettu, että ne on syytä sisällyttää etenemissuunnitelmaan.

Liitteet[lxxix] on tarkoitus auttaa ammattilaisia selviytymään näistä vaatimuksista käytännössä. Tietosuojan tarkistuslista, oikeutettujen etujen arvioinnin tarkistuslista, esimerkkejä tietosuojailmoituksista ja EU:n vakiosopimuslausekkeet ovat kaikki erittäin arvokkaita resursseja, ja ammattilaisten olisi käytettävä niitä varmistaakseen, että he noudattavat tietosuoja-asetusta.

Eri lainkäyttöalueiden välisessä konfliktitilanteessa henkilötietojen suojaa koskevien kansallisten lainsäädäntöjen erot voivat kuitenkin johtaa epäselvyyksiin. Vaikka etenemissuunnitelmassa esitetyt suuntaviivat ovat laaja-alaisia, ne eivät silti ole sitovia. UNCITRAL ja IBA ovat aiemmin pyrkineet yhdenmukaistamaan kansainvälisiä välimiesmenettelyjä sääntöjensä, ohjeidensa ja vastaaviensa avulla. Vaikka ne eivät olekaan sitovia, ne ovat varmasti vakuuttavia. Kuten UNCITRAL ja IBA ovat pyrkineet tekemään kansainvälisen välimiesmenettelyn eri osa-alueilla, myös välimiesmenettelyä koskevien henkilötietojen suojaa koskevien vaatimusten yhdenmukaistaminen on erittäin tarpeellista; näin ollen olisi laadittava tarvittavat suuntaviivat yhdenmukaistamista silmällä pitäen.

Vaikka GDPR:n vaatimusten noudattamista ja sen vaikutuksia kansainväliseen välimiesmenettelyyn ei ole vielä yhdenmukaistettu, ymmärretty ja tiedostettu, välimiesmenettelyn ammattilaiset tulevat jatkossakin tyytymään nykyiseen oikeudelliseen kehykseen. Etenemissuunnitelma on kuitenkin puutteistaan huolimatta erittäin tarpeellinen ja rohkaiseva askel kohti yhteisymmärrystä välimiesmenettelyn osallistujien henkilötietojen suojaa koskevista velvoitteista.

[i] Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), EUVL 2016 L 119/1.

[ii] "Henkilötiedot" määritellään tietosuoja-asetuksen 4 artiklassa seuraavasti:

(1) "henkilötiedoilla" tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ("rekisteröity") liittyviä tietoja; tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan suoraan tai välillisesti tunnistaa erityisesti tunnisteen, kuten nimen, henkilötunnuksen, sijaintitietojen, verkkotunnisteen tai yhden tai useamman kyseisen luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, henkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvän tekijän perusteella.

[iii] Yleisen tietosuoja-asetuksen alueellinen soveltamisala määritellään 3 artiklassa seuraavasti:

1. "Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka liittyy rekisterinpitäjän tai henkilötietojen käsittelijän unionissa sijaitsevan toimipaikan toimintaan, riippumatta siitä, tapahtuuko käsittely unionissa vai ei.
2. Tätä asetusta sovelletaan unioniin sijoittautumattoman rekisterinpitäjän tai henkilötietojen käsittelijän suorittamaan unionissa olevien rekisteröityjen henkilötietojen käsittelyyn, jos käsittelytoimet liittyvät seuraaviin seikkoihin:

(a) tavaroiden tai palvelujen tarjoaminen tällaisille rekisteröidyille unionissa riippumatta siitä, vaaditaanko rekisteröidyltä maksua; tai

(b) heidän käyttäytymisensä valvonta siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa.

3. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittaa rekisterinpitäjä, joka ei ole sijoittautunut unioniin vaan paikkaan, jossa sovelletaan jäsenvaltion lainsäädäntöä kansainvälisen julkisoikeuden nojalla.

[iv] Katso "henkilötietojen käsittelijän" määritelmä tietosuoja-asetuksen 4 artiklassa.

[v] Yleisen tietosuoja-asetuksen 83 artiklan 4 kohta.

[vi] "Googlen saama suurin GDPR:n mukainen sakko" (Simmons + Simmons, 22. tammikuuta 2019), ks. www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways sakotti 20 miljoonaa puntaa tietomurrosta" (BBC, 16. lokakuuta 2020), ks. www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), ks. www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, saatavilla 18. elokuuta 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, helmikuu 2020), ks. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, saatavilla 18. elokuuta 2021.

[ix] Ibid, 1.

[x] PCA:n asia nro 2018-54.

[xi] ICCA ja New York City Bar ja International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", ks. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, saatavilla 18. elokuuta 2021.

[xii] "Cybersecurity Guidelines" (IBA, lokakuu 2018), ks. www.ibanet.org/LPRU/Cybersecurity, saatavilla 1. joulukuuta 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Kansainvälinen kauppakamari, 9.4.2020), saatavilla 18.8.2021.

[xiv] Etenemissuunnitelma, jakso B.

[xv] Ibid.

[xvi] GDPR:n 4 artikla.

[xvii] Ibid.

[xviii] GDPR 4 artikla

[xix] Ibid, 3 artiklan 1 kohta.

[xx] Tiekartta, 7.

[xxi] GDPR:n 4 artikla.

[xxii] Etenemissuunnitelmassa "välimiesmenettelyn osanottajat" määritellään seuraavasti: "mukaan luettuina (vain) osapuolet, heidän oikeudelliset neuvonantajansa, välimiehet ja välimieslaitokset". Ks. etenemissuunnitelma (n:o 3), kohta 2.

[xxiii] GDPR:n 4 artikla.

[xxiv] Ks. tuomio 29.7.2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, 74 ja 85 kohta. Ks. myös tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; tuomio 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Tiekartta, 11

[xxvi] Ibid, 12.

[xxvii] Yleisen tietosuoja-asetuksen 5 ja 12-22 artikla; etenemissuunnitelma 14-15.

[xxviii] Esimerkiksi yleisen tietosuoja-asetuksen mukaan henkilötietojen käsittely kansainvälisen välimiesmenettelyn yhteydessä on laillista, kun se on tarpeen rekisterinpitäjän oikeutettujen etujen toteuttamiseksi - jollei rekisteröidyn etuihin ja perusoikeuksiin perustuvista rajoituksista muuta johdu - ja arkaluonteisia tietoja voidaan käsitellä oikeudellisia vaatimuksia koskevan poikkeuksen nojalla (9 artiklan 2 kohdan f alakohta) välimiesmenettelyn yhteydessä.

[xxix] Tiekartta, 19.

[xxx] Ibid, 20-21.

[xxxi] Ibid, 30-31.

[xxxii] Ibid, 32.

[xxxiii] Ibid, 33-36.

[xxxiv] Ibid, 37-39.

[xxxv] Ibid, 37.

[xxxvi] Ibid, 39.

[xxxvii] Ibid, 40-41.

[xxxviii] Ibid, 42.

[xxxix] Ibid, 43.

[xl] Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohta.

[xli] Tiekartta, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] EU:n komissio on katsonut maan tarjoavan riittävän tietosuojan.

[xliv] Kansainvälisessä välimiesmenettelyssä tämä olisi todennäköisesti tavanomainen sopimuslauseke.

[xlv] Oikeudellisia vaatimuksia koskeva poikkeus, joka sallii siirrot, jos ne ovat "välttämättömiä oikeudellisten vaatimusten laatimiseksi, esittämiseksi tai puolustamiseksi", on parhaiten sovellettavissa välimiesmenettelyyn.

[xlvi] Koska kynnysarvo on korkea ja ilmoitusvelvollisuus on korkea, pakottaviin oikeutettuihin etuihin vetoaminen on käytännössä vain vähän merkityksellistä. Katso EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. helmikuuta 2018 (tiedonsiirto-ohjeet).

[xlvii] Tiekartta, 8, 13.

[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away? (Kluwer Arbitration Blog, 29. elokuuta 2019), ks. http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [viitattu 18. elokuuta 2021].

[xlix] PCA Asia nro 2018-54.

[l] Ibid, Tribunal's Communication to the Parties (Perm Ct Arb, 2019).

[li] Tiekartta, 37.

[lii] ICCA ja New York City Bar ja International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), ks. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, saatavilla 18. elokuuta 2021.

[liii] "Cybersecurity Guidelines" (IBA, lokakuu 2018), ks. www.ibanet.org/LPRU/Cybersecurity, saatavilla 1. joulukuuta 2020.

[liv] Andreas Respondek, Tasha Lim, "Pitäisikö ICCA/IBA:n tietosuojaa käsittelevän työryhmän "etenemissuunnitelmassa" käsitellä GDPR:n vaikutusta videokonferensseihin kansainvälisissä välimiesmenettelyissä?". (Kluwer Arbitration Blog, 18. heinäkuuta 2020), ks. http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, saatavilla 18. elokuuta 2021.

[lv] "ICC Guidance Note on Possible Measures Aired at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9.4.2020), saatavilla 18.8.2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Tiekartta, 2.

[lviii] Ibid, 23-25.

[lix] Yleisen tietosuoja-asetuksen 4 artiklan 2 kohta, ks. edellä n:o 1.

[lx] Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta.

[lxi] Allan J Arffa ym., "GDPR Issues in International Arbitration" (Lexology, 10.8.2020), ks. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, saatavilla 18.8.2021.

[lxii] Etenemissuunnitelma, liite 5.

[lxiii] Allan J Arffa ym., "GDPR Issues in International Arbitration" (Lexology, 10.8.2020), ks. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> luettavissa 18.8.2021.

[lxiv] Tiekartta 40-41.

[lxv] Ks. esimerkiksi: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp v. Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6.2.2020), ks. www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> saatavilla 18.8.2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2. painos, Kluwer Law International 2014), 2335.

[lxx] Ibid. Born viittaa seuraaviin tuomioihin vahvistaakseen tätä väitettä: tuomio 22.1.2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" v. Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "Välimiesoikeuden päätös määrätä tiedonhankinnasta kuuluu sen menettelylliseen harkintavaltaan, eivätkä tuomioistuimet voi tarkistaa sitä"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Julkistamispyynnöt ovat "tuomioistuimen harkintavallan kohtuullisen käytön piirissä".

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. joulukuuta 2019), ks. www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, saatavilla 18. elokuuta 2021.

[lxxii] New Yorkin yleissopimuksen V artiklan 2 kohta: "Välimiestuomion tunnustamisesta ja täytäntöönpanosta voidaan kieltäytyä myös, jos sen maan toimivaltainen viranomainen, jossa tunnustamista ja täytäntöönpanoa haetaan, toteaa, että... b) tuomion tunnustaminen tai täytäntöönpano olisi kyseisen maan oikeusjärjestyksen perusteiden vastaista.".

[lxxiii] YK:n pääsihteeri, Analyyttinen kommentti kansainvälistä kaupallista välimiesmenettelyä koskevan mallilain luonnostekstiin, A/CN.9/264 (1985), 34 artikla, 6 kohta.

[lxxiv] UNCITRALin kansainvälistä kaupallista välimiesmenettelyä koskevan mallilain 34 artiklan 2 kohta: "6 artiklassa tarkoitettu tuomioistuin voi kumota välitystuomion vain, jos...(b) tuomioistuin toteaa, että...(ii) välitystuomio on ristiriidassa tämän valtion oikeusjärjestyksen perusteiden kanssa".

[lxxv] Tuomio 1.6.1999, Eco Swiss China Time Ltd v. Benetton International NV C-126/97, Kok. 1999, s. I-03055, kohta. 39 ja 41 kohta. Yksityiskohtaista keskustelua EU:n julkisesta politiikasta, ks: Sacha Prechal ja Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka ja Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] Yksityiskohtaisempaa keskustelua näistä ja muista kysymyksistä on esitetty seuraavassa: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration", teoksessa José R Mata Dona ja Nikos Lavranos (toim.), International Arbitration and EU Law (Edward Elgar Publishing, 2021), 5.63 kohta ja sitä seuraavat kohdat; Cervenka ja Schwarz, ks. edellä n:o 76, 84-85.

[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, helmikuu 2020), ks. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, saatavilla 18. elokuuta 2021.

Tämä artikkeli julkaistiin ensimmäisen kerran julkaisussa Dispute Resolution International, Vol 15 No 2, lokakuu 2021, ja se on julkaistu International Bar Associationin (Lontoo, Yhdistynyt kuningaskunta) luvalla. © International Bar Association.