Kielet

Titaanien yhteenotto: GDPR ja kansainvälinen välimiesmenettely - katsaus tulevaisuuteen

Julkaisut: marraskuuta 10, 2021

Takaisin yleiskatsaukseen

Kirjoittajat

Catherine Raudaschl

Aiheeseen liittyvät asiantuntijaoppaat

Johdanto

Viime vuosina on herännyt kysymyksiä siitä, mitä käytännön vaikutuksia henkilötietojen yksityisyydensuojalla ja tietoverkkoturvallisuudella on kansainvälisten välimiesmenettelyjen toteuttamiseen - erityisesti kun otetaan huomioon teknologian jatkuva muutosvauhti.

Yleinen tietosuoja-asetus (GDPR)[1] vietti toista syntymäpäiväänsä toukokuussa 2020. GDPR:n henkilötietojen suojakehyksen tavoitteena on varmistaa "tunnistettujen tai tunnistettavissa olevien luonnollisten henkilöiden"[2 ] henkilötietojen vapaa liikkuvuus.[3 ] Sitä sovelletaan Euroopan unionissa, ja sen soveltamisala voi ulottua myös EU:n ulkopuolelle;[4 ] GDPR voi koskea kaikkien luonnollisten henkilöiden tai oikeushenkilöiden lisäksi myös viranomaisia, virastoja ja muita elimiä - mahdollisesti kansainväliset järjestöt mukaan lukien - henkilötietojen suojaa koskevien velvoitteiden piiriin.[4] GDPR:n seuraamukset voivat olla 4 prosenttia rikkoneen yksikön edellisen tilikauden maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa sen mukaan, kumpi on suurempi.[5 ] Tarve suhtautua GDPR:n soveltamiseen vakavasti on jo todettu useilla lainkäyttöalueilla määrätyillä useiden miljoonien eurojen sakoilla[6].

Vaikka henkilötietojen suojaa koskevien lakien soveltaminen välimiesmenettelyyn on vakiintunutta, ei kuitenkaan ole vakiintunutta tapaa, jolla lakeja olisi sovellettava. Tästä syystä International Council for Commercial Arbitration (ICCA) ja International Bar Association (IBA) perustivat helmikuussa 2019 kansainvälisen välimiesmenettelyn tietosuojaa käsittelevän yhteisen työryhmän (Joint Task Force on Data Protection in International Arbitration Proceedings), jonka tavoitteena on laatia opas, jossa annetaan käytännön ohjeita henkilötietojen suojaamisesta kansainvälisessä välimiesmenettelyssä. Työryhmä julkaisi kuulemisluonnoksen tästä oppaasta maaliskuussa 2020.[7] Tämä kommentti perustuu tähän tiekarttaluonnokseen (jäljempänä 'tiekartta'),[8] ja lopullinen, tarkistettu versio tiekartasta on tarkoitus julkaista syyskuussa 2021. Vaikka määräaika kuulemisluonnosta koskevien kommenttien esittämiselle on tätä kirjoitettaessa kulunut umpeen, tiekartan alustava versio on kuitenkin havainnollistava niistä kysymyksistä, joita GDPR herättää kansainvälisissä välimiesmenettelyissä. Siksi sitä käytetään keskustelun pohjana.

Useimmat henkilötietojen suojaa koskevat lait ovat pakottavia välimiesmenettelyissä, eli niissä säädetään:

  • mitä henkilötietoja voidaan käsitellä;
  • missä;
  • millä keinoin;
  • millä tietoturvatoimenpiteillä; ja
  • kuinka kauan[9].

Niissä ei kuitenkaan käsitellä sitä, miten näitä sitovia velvoitteita olisi noudatettava välimiesmenettelyissä. Koska sääntelyviranomaiset eivät ole antaneet erityisiä ohjeita, etenemissuunnitelman tarkoituksena on auttaa välimiesmenettelyn ammattilaisia tunnistamaan ja ymmärtämään henkilötietojen suojaa ja yksityisyyden suojaa koskevat velvoitteet, joita heihin saattaa kohdistua kansainvälisen välimiesmenettelyn yhteydessä. Lisäksi GDPR-suojan laajuus on edelleen merkityksellinen kansainvälisissä välimiesmenettelyissä, lähinnä sen osalta, sovelletaanko GDPR-lainsäädäntöä välimiesmenettelyihin, joiden kotipaikka on EU:n ulkopuolella. Jos GDPR:n todetaan soveltuvan välimiesmenettelyyn, sillä on useita muita vaikutuksia: ensinnäkin se, onko henkilötietojen käsittely kielletty, ja toiseksi se, onko henkilötietojen siirtoa EU:n ulkopuolelle rajoitettu. Koska verkkohyökkäykset yleistyvät, välimiesmenettelyyn kohdistuvan hyökkäyksen seuraukset voivat aiheuttaa merkittäviä vahinkoja.

Tässä artikkelissa pyritään kommentoimaan etenemissuunnitelmaa ja tarkastelemaan käytännön toimenpiteitä, jotka olisi otettava huomioon henkilötietojen suojaa koskevien velvoitteiden osalta kansainvälisissä välimiesmenettelyissä. Etenemissuunnitelma on lupaava, vaikkakin epätäydellinen väline, jolla voidaan täydentää erilaisia ei-sitovia oikeudellisia toimia, joilla on tähän mennessä pyritty yhdenmukaistamaan kansainvälistä välimiesmenettelyä, erityisesti IBA:n ja Yhdistyneiden Kansakuntien kansainvälisen kauppaoikeuden toimikunnan (UNCITRAL) välineitä.

Aluksi esitetään lyhyt yhteenveto etenemissuunnitelmasta, jossa viitataan myös yleisen tietosuoja-asetuksen periaatteisiin. Tämän ei ole tarkoitus olla kattava yleiskatsaus, vaan pikemminkin esitellä etenemissuunnitelman pääkohdat, jotta lukija saa kontekstin myöhempää keskustelua varten. Toiseksi esitetään kommentti, jossa käsitellään kuutta asiaan liittyvää kysymystä:

  • GDPR:n sovellettavuus EU:n ulkopuolella pidettäviin välimiesmenettelyihin;
  • yleinen tietosuoja-asetus Pohjois-Amerikan vapaakauppasopimuksen (NAFTA) mukaisissa välimiesmenettelyissä, kuten Tennant Energy, LLC v. Kanadan hallitus[10] osoittaa.
  • kysymys videokonferensseista, joiden merkitys on kasvanut huomattavasti Covid-19-pandemian aikana, mukaan lukien viittaukset "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Cybersecurity Protocol)[11], IBA:n Cybersecurity Guidelines[12] ja ICC:n Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic[13];[14]
  • "kolmannen osapuolen rahoittajat" ja miten ne otetaan huomioon etenemissuunnitelmassa;
  • yleisen tietosuoja-asetuksen väärinkäyttö, erityisesti suojana tietojen salaamiselle; ja
  • mahdollisuus käyttää henkilötietojen suojaa koskevien vaatimusten noudattamatta jättämistä väylänä välitystuomion kumoamiseen tai tunnustamisen ja täytäntöönpanon epäämiseen.

Lopuksi esitetään loppupohdintoja.

Etenemissuunnitelma

Yksityishenkilöillä ja oikeussubjekteilla on velvollisuus suojella rekisteröityjen henkilötietoja. Välimiesmenettelyyn itsessään ei sovelleta henkilötietojen suojaa koskevia velvoitteita. Jos kuitenkin vain yhteen välimiesmenettelyn osallistujaan sovelletaan henkilötietojen suojaa koskevia velvoitteita, se voi vaikuttaa välimiesmenettelyyn kokonaisuudessaan. Se, kuuluuko henkilötietojen käsittely asiaankuuluvien lakien, aineellisen ja oikeudellisen soveltamisalan piiriin, ratkaisee, sovelletaanko henkilötietojen suojaa koskevia lakeja[14].

Nykyaikaisia henkilötietosuojalakeja sovelletaan aina, kun rekisteröidyn henkilötietoja käsitellään asianomaisen henkilötietosuojalain lainkäyttövallan piiriin kuuluvissa toimissa[15].[16] Henkilötietoihin kuuluvat "kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot"[17].[18 ] Tyypillisen välimiesmenettelyn aikana vaihdetaan huomattavia määriä tietoja, jotka liittyvät muun muassa osapuoliin, heidän avustajiinsa, välimiesoikeuteen ja kolmansiin osapuoliin. Sellaisenaan niiden katsotaan todennäköisesti kuuluvan "henkilötietojen" määritelmän piiriin. "Rekisteröidyillä" tarkoitetaan edellä mainittuja yksilöityjä tai tunnistettavissa olevia henkilöitä.[17] Käsittelyyn sisältyy aktiivisia ja passiivisia toimia, jotka kattavat henkilötietojen käytön, levittämisen ja poistamisen sekä henkilötietojen vastaanottamisen, järjestämisen ja säilyttämisen.[18] Soveltamisala kattaa toimet aina, kun henkilötietoja käsitellään rekisterinpitäjän tai henkilötietojen käsittelijän EU:ssa sijaitsevan toimipaikan toiminnan yhteydessä[19] ja ekstraterritoriaalisesti, kuten silloin, kun henkilötietoja siirretään EU:n ulkopuolelle yhteisöille tai henkilöille, jotka eivät muusta syystä ole jo yleisen tietosuoja-asetuksen alaisia[20].

Välimiehet pätevöityvät rekisterinpitäjiksi, mikä tarkoittaa, että ne ovat vastuussa henkilötietojen suojaa koskevien lakien noudattamisesta. "Rekisterinpitäjän" määritelmän[21 ] perusteella useimmat välimiesmenettelyn osallistujat[22] katsotaan kuitenkin todennäköisesti sellaisiksi, mukaan lukien asianajajat, osapuolet ja toimielin. Rekisterinpitäjät voivat delegoida tietojenkäsittelyä tietojen käsittelijöille[23], jotka ovat niiden valvonnassa ja vaativat tietojenkäsittelysopimuksia sovellettavassa laissa säädetyin ehdoin. Näin ollen sihteereitä, puhtaaksikirjoittajia, kääntäjiä ja muita pidetään todennäköisesti henkilötietojen käsittelijöinä. Lisäksi on kysymys yhteisrekisterinpitäjistä, jotka yhdessä määrittelevät tietojenkäsittelyn tarkoitukset ja keinot. Yhteistä rekisterinpitäjyyttä tulkitaan laajasti, mutta yhteisen rekisterinpitäjän vastuu rajoittuu vain rekisterinpitäjän määrittelemään käsittelyyn, sen tarkoitukseen ja keinoihin eikä koko käsittelyyn[24].

Kansainvälisissä välimiesmenettelyissä henkilötietojen siirtoa lainkäyttöalueiden välillä koskevat rajoitukset ovat ilmeinen tapa, jolla henkilötietojen suojaa koskevia lakeja sovelletaan. Eri välimiesmenettelyn osallistujien tausta määrittää erilaisten henkilötietosuojajärjestelmien soveltamisen. Nykyaikaiset henkilötietojen suojaa koskevat lait rajoittavat henkilötietojen siirtoja kolmansiin maihin sen varmistamiseksi, että oikeudellisia velvoitteita ei kierretä siirtämällä henkilötietoja lainkäyttöalueille, joilla henkilötietojen suojaa koskevat normit ovat heikommat.[25] Yleinen tietosuoja-asetus sallii henkilötietojen siirrot kolmansiin maihin, jos jokin seuraavista tapahtuu:

  • EU:n komissio on katsonut maan tarjoavan riittävän henkilötietojen suojan;
  • jokin nimenomaisesti luetelluista suojatoimista on otettu käyttöön;
  • poikkeus sallii siirrot, jos ne ovat tarpeen oikeudellisten vaatimusten laatimiseksi, esittämiseksi tai puolustamiseksi; tai
  • osapuolen pakottava oikeutettu etu[26].

Näitä sääntöjä sovelletaan välimiesmenettelyn osallistujiin eikä välimiesmenettelyyn kokonaisuudessaan, joten jokaisen välimiesmenettelyn osallistujan on harkittava, mitä henkilötietojen siirtoa koskevia rajoituksia häneen sovelletaan.

Välimiesmenettelyssä sovellettavia henkilötietojen suojaa koskevia periaatteita ovat muun muassa oikeudenmukainen ja laillinen käsittely, suhteellisuus, tietojen minimointi, käyttötarkoituksen rajoittaminen, rekisteröidyn oikeudet, tarkkuus, tietoturva, avoimuus ja vastuuvelvollisuus[27].

Muutamia näistä periaatteista on kommentoitava tarkemmin. Oikeudenmukainen ja lainmukainen käsittely tarkoittaa, että henkilötietoja saa käsitellä vain tavalla, jota rekisteröidyt voivat kohtuudella odottaa, ja että käsittelylle on oltava oikeusperusta. Soveltaessaan kohtuullisuusperiaatetta osapuolen ja sen avustajan olisi kysyttävä itseltään, olisivatko henkilöt kaikkien tosiseikkojen valossa odottaneet, että heidän henkilötietojaan käsiteltäisiin tällaisella tavalla, aiheutuuko käsittelystä heille haitallisia seurauksia ja ovatko nämä seuraukset perusteltuja. Tämä periaate ei estä yrityssähköposteista löytyvien henkilötietojen hyväksymistä todisteiksi.

Laillisen käsittelyn käsite edellyttää oikeusperustaa, joka perustuu tosiseikkoihin ja on tapauskohtainen. Suostumukseen vetoamisen sijasta olisi vedottava erityisiin tietosuoja-asetuksen mukaisiin oikeusperustoihin[28].

Suhteellisuus edellyttää käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten tarkastelua suhteessa rekisteröidylle aiheutuviin riskeihin[29].[29] Tietojen minimointi edellyttää, että välimiesmenettelyn osallistujat rajoittavat käsittelyn henkilötietoihin, jotka ovat riittäviä, merkityksellisiä ja rajoitettu välttämättömään.[30] Avoimuus edellyttää, että rekisteröidyille ilmoitetaan henkilötietojen käsittelystä ja käsittelyn tarkoituksesta joko yleisin ilmoituksin, erityisilmoituksin tai molemmilla.[31] Vastuullisuus liittyy henkilökohtaiseen vastuuseen tietosuojan noudattamisesta, mikä tarkoittaa, että välimiesmenettelyn osallistujien olisi dokumentoitava kaikki henkilötietojen suojaamiseen liittyvät toimenpiteet ja päätökset, jotka on tehty vaatimustenmukaisuuden osoittamiseksi.[32]

Henkilötietojen suojan noudattaminen vaikuttaa kansainvälisen välimiesmenettelyn yksittäisiin vaiheisiin, ei ainoastaan itse välimiesmenettelyn aikana vaan myös valmistelujen aikana. Välimiesmenettelyn osallistujien olisi alusta alkaen harkittava, mitä henkilötietojen suojaa koskevia lakeja heihin ja muihin välimiesmenettelyn osallistujiin sovelletaan ja ketkä välimiesmenettelyn osallistujat käsittelevät henkilötietoja rekisterinpitäjinä, henkilötietojen käsittelijöinä tai yhteisrekisterinpitäjinä. Kolmansien maiden henkilötietojen siirtoa koskevat säännöt ja kolmansien osapuolten palveluntarjoajia koskevat henkilötietojen käsittelysopimukset olisi myös otettava huomioon. Asiakirjojen keruu- ja tarkasteluprosessin aikana osapuolet ja heidän oikeudelliset neuvonantajansa tarvitsevat laillisen perustan käsittelytoimille ja kolmansien maiden henkilötietojen siirroille[33].

Välimiesmenettelyä koskeva pyyntö sekä myöhemmät esitykset sisältävät henkilötietoja, jotka kuuluvat suoraan käsittelyyn. Jos sovellettava henkilötietolainsäädäntö sitoo välimieslaitosta, sen on otettava huomioon mahdolliset henkilötietojen suojaa koskevat velvoitteet, joita sovelletaan kussakin menettelyvaiheessa. Jos välityslaitokseen sovelletaan yleistä tietosuoja-asetusta, siitä tulee tyypillisesti henkilötietojen rekisterinpitäjä. Noudattaakseen yleisen tietosuoja-asetuksen 13 ja 14 artiklaa tällaisen toimielimen olisi sisällytettävä tietosuojailmoitukseensa tiedot turvatoimista, rekisteröidyn oikeuksien käyttämisestä, rekisterien ylläpidosta sekä tietojen rikkomisesta ja säilyttämisestä.[34] Sijoittajavaltioiden välitysmenettelyjä hoitavat kansainväliset organisaatiot voivat kuitenkin jäädä henkilötietojen suojaa koskevien lakien soveltamisalan ulkopuolelle perustajavaltiossa tai isäntämaasopimuksessa olevien erioikeuksien ja vapauksien vuoksi. Tässä yhteydessä on siis harkittava erikseen muun muassa sitä, sitovatko henkilötietojen suojaa koskevat lait organisaatiota ja kuuluvatko välimiesmenettelyn osanottajat - ja missä määrin - erioikeuksien ja vapauksien piiriin[35].

Välimiehiä välimiesoikeuteen nimitettäessä vaihdetaan yleensä merkittäviä määriä mahdollisten välimiesten henkilötietoja. Välimiesmenettelyn osallistujien olisi sisällytettävä näiden henkilötietojen käsittelyn oikeusperusta oikeudellisiin ilmoituksiinsa ja ilmoitettava nimenomaisesti nimitettäväksi harkituille välimiehille heidän henkilötietojensa käsittelystä, erityisesti silloin, kun henkilötietoja siirretään kolmansiin maihin[36].

Kun välimiesmenettely on käynnissä, henkilötietojen suojan noudattamista koskevat vastuut olisi jaettava varhaisessa vaiheessa riskien minimoimiseksi. Henkilötietojen suoja olisi sisällytettävä ensimmäisen menettelykonferenssin esityslistalle, ja välimiesmenettelyn osanottajien olisi pyrittävä sopimaan mahdollisimman varhaisessa vaiheessa siitä, miten henkilötietojen suojan noudattamista käsitellään. Osapuolten, heidän asianajajiensa ja välimiesten olisi harkittava henkilötietojen suojaa koskevan pöytäkirjan tekemistä, jotta sääntöjen noudattamiseen liittyviä kysymyksiä voitaisiin käsitellä tehokkaasti. Jos tämä ei ole mahdollista, vaihtoehtona on, että välimiesoikeus sisällyttää ne menettelymääräykseen numero yksi[37].

Asiakirjojen tuottamis- ja luovutusprosessissa henkilötietojen minimoinnin periaate on erityisen merkityksellinen. GDPR:n nojalla tämä todennäköisesti edellyttäisi:

  • rajoitetaan luovutettavat henkilötiedot siihen, mikä on olennaista ja mikä ei ole päällekkäistä;
  • yksilöidään vasta-aineiston sisältämät henkilötiedot; ja
  • tarpeettomien henkilötietojen poistaminen tai pseudonymisointi.

Näitä kysymyksiä olisi myös pohdittava menettelyn alkuvaiheessa, mieluiten ensimmäisessä menettelyneuvottelussa tai sitä ennen[38].

Välimiesten ja toimielinten olisi tuomioiden antamisen yhteydessä harkittava henkilötietojen sisällyttämisen perusteita ja tarpeellisuutta tuomioihin. Jos välimiesmenettely on luottamuksellinen, on kuitenkin olemassa vaara, että tuomio tulee julkiseksi, kun se pannaan täytäntöön. Vaikka henkilötiedot on poistettu, ne ovat yleensä edelleen henkilötietoja, koska rekisteröity on tunnistettavissa tuomion muusta osasta tai siihen liittyvästä aineistosta[39].

Tietojen säilyttäminen ja poistaminen katsotaan GDPR:n mukaiseksi käsittelyksi, jonka mukaan henkilötiedot on "säilytettävä muodossa, joka mahdollistaa rekisteröidyn tunnistamisen enintään niin kauan kuin on tarpeen henkilötietojen käsittelyn tarkoitusten kannalta."[40 ] Rekisterinpitäjien on harkittava, dokumentoitava ja pystyttävä perustelemaan säilytyksen kesto. Välimiesmenettelyyn osallistuvien on harkittava, mikä tietojen säilytysaika on kohtuullinen, ja heidän on omaksuttava oikeasuhteinen lähestymistapa tasapainottaakseen tarpeensa ja tietojen säilyttämisen vaikutukset rekisteröityyn[41].

Yleisen tietosuoja-asetuksen soveltaminen EU:n ulkopuolella pidettäviin välimiesmenettelyihin

Yleisen tietosuoja-asetuksen alueellinen soveltamisala on suhteellisen laaja. Käytännön toimijoiden olisi oltava tietoisia sen soveltamisesta riippumatta siitä, sijaitseeko heidän kotipaikkansa tai onko välimiesmenettelyn kotipaikka EU:ssa. Yleistä tietosuoja-asetusta sovelletaan EU:hun sijoittautuneiden rekisterinpitäjien tai henkilötietojen käsittelijöiden suorittamaan henkilötietojen käsittelyyn riippumatta siitä, tapahtuuko itse käsittely EU:ssa (3 artiklan 1 kohta). Kun on kyse tavaroiden tai palvelujen tarjoamisesta EU:n kansalaisille tai EU:n alueella tapahtuvan käyttäytymisen seurannasta, tietosuoja-asetusta sovelletaan myös henkilötietojen käsittelyyn, jota suorittaa rekisterinpitäjä tai henkilötietojen käsittelijä, joka ei ole sijoittautunut EU:hun (3 artiklan 2 kohta).

Soveltamalla GDPR:ää välimiesmenettelyyn se asettaa velvoitteita rekisterinpitäjille ja henkilötietojen käsittelijöille - välimiehille, asianajajille, osapuolille ja toimielimille - jotka kuuluvat sen aineelliseen ja alueelliseen soveltamisalaan, eikä niinkään suoraan välimiesmenettelylle. Vaikka vain yhdellä välimiesmenettelyn osallistujalla olisi yhteys EU:hun, he ovat velvollisia käsittelemään henkilötietoja GDPR:n mukaisesti. Tästä voi aiheutua vaikutuksia koko menettelyyn[42].

Kansainvälisessä välimiesmenettelyssä, jossa henkilötietoja sisältävän välimiesmenettelyaineiston siirto on yleistä, merkittävimpiä ovat ehkä rajoitukset, jotka koskevat henkilötietojen siirtoa Euroopan talousalueen (ETA) ulkopuolisiin "kolmansiin maihin". Tällaisessa tilanteessa henkilötietojen siirron salliminen edellyttää yhtä neljästä laillisesta perusteesta. Ensinnäkin siirto kolmanteen maahan on sallittua, jos kyseiseen kolmanteen maahan sovelletaan tietosuojan riittävyyttä koskevaa päätöstä (45 artiklan 1 kohta)[43]. Jos näin ei ole, olisi mahdollisuuksien mukaan otettava käyttöön jokin asianmukaisista suojatoimista (46 artiklan 1 kohta).[44] Jos riittävyyspäätöstä ei ole tehty eikä asianmukainen suojatoimi ole toteutettavissa, voidaan vedota erityiseen poikkeukseen (49 artiklan 1 kohta).[45] Jos edellä mainittuja ei ole, osapuoli voi vedota pakottavaan oikeutettuun etuun (49 artiklan 1 kohta)[46 ] laillisena perusteena henkilötietojen siirtämiselle kolmannelle osapuolelle.

Etenemissuunnitelmassa esitetään varsin kattavasti tarvittavat näkökohdat, jotka välimiesmenettelyn osapuolten on otettava huomioon. Siinä korostetaan useaan otteeseen, että henkilötietojen suojaa koskevia periaatteita ja siirtosääntöjä sovelletaan välimiesmenettelyn osanottajiin eikä välimiesmenettelyyn sinänsä[47]. Tämän mukaisesti oletettava päätelmä on, että EU:hun sijoittautuneen välimiehen, joka osallistuu EU:n ulkopuoliseen välimiesmenettelyyn, joka ei muuten kuulu yleisen tietosuoja-asetuksen soveltamisalaan, on kuitenkin noudatettava yleisen tietosuoja-asetuksen henkilötietojen käsittelyä ja siirtoa koskevia vaatimuksia. Tämä on todellakin yleisesti hyväksytty kaupallisissa välimiesmenettelyissä[48], mutta tilanne ei ole yhtä selkeä sijoittajan ja valtion välisissä välimiesmenettelyissä.

Tapauksessa Tennant Energy, LLC vastaan Kanadan hallitus

Vuonna 2019 NAFTA:n 11 luvun mukaisessa välimiesmenettelyssä Tennant Energy, LLC vastaan Government of Canada (Tennant)[49] kantaja Tennant nosti esiin kysymyksen GDPR:n soveltamisesta menettelyyn, kun otetaan huomioon yhden välimiesoikeuden jäsenen Yhdistyneen kuningaskunnan kansalaisuus ja kotipaikka. Tuomioistuin antoi kuitenkin osapuolille ohjeet, joissa se totesi, että "NAFTAn 11 luvun mukainen välimiesmenettely, joka on sopimus, jonka osapuolena ei ole Euroopan unioni eikä sen jäsenvaltiot, ei oletettavasti kuulu yleisen tietosuoja-asetuksen aineelliseen soveltamisalaan"[50].

On tärkeää erottaa toisistaan sopimusperusteinen ja kaupallinen välimiesmenettely, ja Tennant kuuluu edelliseen luokkaan. Etenemissuunnitelmassa käsitellään tätä eroa ja todetaan, että kansainväliset järjestöt voivat jäädä henkilötietojen suojaa koskevan lainsäädännön soveltamisalan ulkopuolelle[51]. Tennant-välimiesmenettelyssä välimiesoikeuden jäseniin voi kohdistua tiettyjä vapautuksia, jotka johtuvat pysyvän välitystuomioistuimen ja Alankomaiden välisestä päätoimipaikkaa koskevasta sopimuksesta. NAFTA-tuomioistuin ei kuitenkaan pohtinut, sovelletaanko PCA:han kansainvälisenä järjestönä GDPR:n siirtosääntöjä tai saisivatko tuomioistuimen jäsenet tiettyjä sopimuksesta johtuvia vapautuksia.

Tennantin suuntaus herättää enemmän kysymyksiä kuin antaa vastauksia GDPR:n soveltuvuudesta NAFTA-menettelyihin ja yleisemmin sopimuksiin perustuviin välimiesmenettelyihin, joiden vivahteikas tarkastelu ei kuulu tähän aiheeseen. Tennantin ohje kuitenkin osoittaa etenemissuunnitelman valossa, että tämä aihe on edelleen hyvin epävarma. On parhaimmillaankin kyseenalaista, tuoko etenemissuunnitelma selvyyttä välimiesmenettelyn osapuolille, jotka joutuvat kohtaamaan tällaisen kysymyksen, kun otetaan huomioon erityisesti se, että etenemissuunnitelma annettiin Tennantin ohjeen antamisen jälkeen, mutta siinä ei otettu huomioon viimeksi mainittua.

Videokonferensseja koskeva kysymys

Etenemissuunnitelmassa tunnustetaan henkilötietojen turvallisuuden merkitys. Koska viime aikoina on kuitenkin käytetty uutta teknologiaa virtuaalisten kuulemisten helpottamiseksi ja kotona työskentelyn helpottamiseksi - lähinnä Covid-19-pandemian aiheuttamien nykyisten olosuhteiden vuoksi - tällä kysymyksellä on lisäpainoa. Kyberturvallisuuspöytäkirja[52] ja IBA:n kyberturvallisuutta koskevat suuntaviivat[53] ovat valottaneet asiaa.

Etenemissuunnitelman tavoin kyberturvallisuuspöytäkirjassa vahvistetaan useita perusperiaatteita. Suhteellisuusperiaatetta sovelletaan, virkamiestuomioistuimella on valtuudet ja harkintavalta määritellä käytössä olevat turvatoimenpiteet, ja tietoturva on asia, josta olisi keskusteltava ensimmäisessä asianhallintaneuvottelussa. Kyberturvallisuuspöytäkirjan liitteessä A on tarkistuslista, jota välimiesmenettelyn osapuolet voivat käyttää menettelyn turvaamiseksi.

Covid-19-pandemian aiheuttamien viimeaikaisten työtapojen ja -ympäristöjen muutosten vuoksi näille kysymyksille olisi annettava enemmän painoarvoa. Maailmassa, jossa on jouduttu etsimään uusia tapoja harjoittaa liiketoimintaa ja sopeutumaan epävarmuuden aikoihin, yksi oikeudellisen alan kohtaamista kysymyksistä on kuuleminen yhdistettynä rajoituksiin ja sosiaalisen etäisyyden ottamisen tarpeeseen. Videoneuvottelujen suosio ja niiden käyttö kansainvälisissä välimiesmenettelyissä on asia, jota etenemissuunnitelmassa olisi käsiteltävä, mutta näin ei ole tehty - tai ainakaan vielä.

Vaikka monet ovat keskustelleet videokuulemisiin liittyvistä kysymyksistä ja tuoneet niitä esiin, useimmat eivät ole käsitelleet sitä, miten henkilötietojen suojaa koskevia lakeja olisi sovellettava niihin, ei ainoastaan henkilötietojen suojan vaan myös turvallisuuden osalta, sillä joihinkin alustoihin on kohdistunut turvallisuushyökkäyksiä[54].

Kuten edellä on todettu, on tärkeää ymmärtää GDPR:ää koskevan välimiesmenettelyn osapuolten erilaiset roolit, nimittäin se, ketkä ovat "rekisterinpitäjiä" ja "tietojen käsittelijöitä". Jos videoneuvotteluohjelmisto käsittelee henkilötietoja, kuten käyttäjänimeä ja sähköpostiosoitetta, jotka ovat peräisin osapuolen palvelun käytöstä, sitä pidetään "tietojen käsittelijänä". Tämä tarkoittaa, että niiden on noudatettava GDPR-sääntöjä, jos osallistujien kotipaikka on EU:ssa. Koska tuomioistuin on "rekisterinpitäjä", sen vastuulla on varmistaa, että näitä sääntöjä noudatetaan.

Kansainvälinen kauppakamari (ICC) on julkaissut ohjeen[55], jossa osapuolille annetaan ehdotettuja lausekkeita kyberturvallisuuspöytäkirjoja ja virtuaalisia kuulemisia varten. Ohjeessa pyritään käsittelemään turvallisuusnäkökohtia, mutta siinä ei käsitellä henkilötietojen suojaan liittyviä näkökohtia. Etenemissuunnitelmassa olisi käsiteltävä mahdollisuuksia, joissa henkilötietojen suojaa sovellettaisiin virtuaalisesti järjestettäviin kuulemisiin, ja myös sitä, miten sitä noudatetaan. Yleisessä tietosuoja-asetuksessa määritellään vaatimukset, jotka on täytettävä videoneuvottelujen osalta, mutta siinä ei anneta ohjeita siitä, miten sen vaatimuksia voidaan soveltaa suoraan.

Vaikka etenemissuunnitelmassa ei anneta suosituksia tietyistä ohjelmistotoimittajista, siinä voitaisiin koota ja antaa alan toimijoille luettelo videokuulemisiin soveltuvan ihanteellisen ohjelmiston vaatimista eritelmistä, aivan kuten sen liitteissä on tarkistuslistoja monista muista asioista.

Miten ulkopuoliset rahoittajat sopivat tähän?

Kolmannen osapuolen rahoittajalla tarkoitetaan välimiesmenettelyn ulkopuolista osapuolta, joka tekee sopimuksen rahoittaakseen kaikki tai osan menettelystä aiheutuvista kustannuksista ja saa vastineeksi summan, joka on kokonaan tai osittain riippuvainen asian lopputuloksesta.[56] Kolmannen osapuolen rahoittajilla on pääsy erilaisiin henkilötietoihin välimiesmenettelyissä, joita ne rahoittavat tai joiden rahoittamista ne harkitsevat. Vaikka etenemissuunnitelma on nimenomaisesti suunnattu vain välimiesmenettelyn osallistujille, siinä todetaan, että ohjeet koskevat myös palveluntarjoajia, joita henkilötietojen suojaa koskevat vaatimukset koskevat[57].

Etenemissuunnitelmassa palveluntarjoajiin kuuluvat "sähköisen tiedonhankinnan asiantuntijat, tietotekniikan ammattilaiset, oikeudenkäyntipöytäkirjantarkastajat, käännöspalvelut jne."[58] mutta kolmansien osapuolten rahoittajia ei mainita erikseen. Yleisen tietosuoja-asetuksen mukaan henkilötietojen kerääminen ja tallentaminen kuuluvat käsittelyyn. Näin ollen, jos kolmannen osapuolen rahoittajat keräävät henkilötietoja muilta, henkilötietolainsäädäntöä sovellettaisiin myös heihin[59].[59].

GDPR sallii osapuolen käsitellä henkilötietoja, jos "käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi"[60 ], mihin välimiesmenettelyn osallistujat voivat mahdollisesti vedota sovellettavana oikeusperustana asiaankuuluvien henkilötietojen käsittelylle. Tästä aiheesta on vain vähän ohjeita[61].[61] Etenemissuunnitelmassa todetaan:

"Ensimmäinen vaihe oikeutetun edun arvioinnissa on tunnistaa oikeutettu etu - mikä on henkilötietojen käsittelyn tarkoitus ja miksi se on tärkeää sinulle rekisterinpitäjänä?". Välimiesmenettelyn yhteydessä oikeutettu etu voi liittyä oikeudenhoitoon, osapuolten oikeuksien kunnioittamisen varmistamiseen ja vaatimusten nopeaan ja oikeudenmukaiseen ratkaisemiseen sovellettavien välimiesmenettelysääntöjen mukaisesti sekä moniin muihin etuihin."[62].

"Monien muidenkin etujen" sisällyttäminen voisi mahdollisesti sisältää myös kolmannen osapuolen rahoittajien oikeutetun rahallisen edun. Jos näin on, ne olisivat tällöin selvästi velvollisia tekemään tietojenkäsittelysopimuksia välimiesmenettelyn osapuolten kanssa ja kuuluisivat henkilötietojen suojaa koskevien säännösten ja vaatimusten soveltamisalaan. Mielenkiintoista on, että etenemissuunnitelmassa ei nimenomaisesti eritellä, miten kolmannet rahoittajat sopivat kuvaan, erityisesti kun otetaan huomioon, että niiden sisällyttäminen välimiesmenettelyihin on yleistynyt.

Suoja salassapitoa vastaan

Henkilötietojen suojaa koskevat velvoitteet johtavat väärinkäytösten mahdollisuuteen. Välimiesmenettelyn osapuolet voivat käyttää tietosuoja-asetusta suojana vilpillisessä mielessä estääkseen menettelyn kannalta merkityksellisten tai vastapuolen pyytämien tietojen luovuttamisen. Osapuoli voi esimerkiksi vastustaa luovutuspyyntöä väittäen, että asiakirjat sisältävät henkilötietoja, jotka eivät liity riita-asiaan, tai että henkilötietojen poistaminen olisi kohtuuttoman työlästä[63].

Etenemissuunnitelmassa käsitellään väärinkäytösten mahdollisuutta. Siinä ehdotetaan, että henkilötietojen suojaa koskevat velvoitteet otetaan esille ja niitä selkeytetään mahdollisimman varhaisessa vaiheessa, jotta vähennetään riskiä siitä, että ne vaikuttavat menettelyihin. Osallistujien olisi harkittava tietosuojapöytäkirjan tekemistä eli sopimusta siitä, miten henkilötietojen suojaa sovelletaan tietyssä yhteydessä. Vaihtoehtoisesti, jos allekirjoitettua tietosuojapöytäkirjaa ei ole mahdollista saada aikaan, näitä kysymyksiä olisi käsiteltävä menettelymääräyksessä numero yksi.[64].

Vertailun vuoksi voidaan tarkastella GDPR:n noudattamista Yhdysvaltojen oikeudenkäyntien aikana. Yhdysvaltain liittovaltion tuomioistuimet ovat käyttäneet tasapainotestit päättäessään, onko määrättävä luovuttamaan tai noudattamaan haasteita tai tiedonhankintamääräyksiä, jotka mahdollisesti rikkovat ulkomaisia lakeja, mukaan lukien henkilötietojen suojaa koskevat lait[65].[65] Ei-tyhjentävä luettelo tekijöistä, joita Yhdysvaltain liittovaltion tuomioistuimet ovat tarkastelleet, on seuraava:

  • pyydettyjen asiakirjojen tai muiden tietojen merkitys oikeudenkäynnille;
  • pyynnön yksityiskohtaisuus;
  • ovatko tiedot peräisin Yhdysvalloista;
  • vaihtoehtoisten keinojen saatavuus tietojen saamiseksi; ja
  • missä määrin noudattamatta jättäminen heikentäisi Yhdysvaltojen tärkeitä etuja[66].

Useimmiten liittovaltion tuomioistuimet vaativat tietojen luovuttamista huolimatta siitä, että ulkomaisia henkilötietolakeja on mahdollisesti rikottu[67].[67]

Välimiehet joutuvat ottamaan huomioon erilaisia näkökohtia kuin tuomioistuimet päättäessään, määräävätkö he asianosaisen julkistamaan tietoja. Kuten kirjallisuudessa on esitetty[68], on oikein, että tuomioistuinten on otettava huomioon kilpailevat oikeudet ja velvollisuudet, kun otetaan huomioon uhka siitä, että ulkomaisia välitystuomioita koskeva vuoden 1958 yleissopimus (New Yorkin yleissopimus) kumotaan tai täytäntöönpano evätään. Tässä näkemyksessä ei kuitenkaan oteta huomioon sitä, että osavaltioiden tuomioistuimet tarkastelevat tiedonantomääräyksiä vain vähäisessä määrin, kun otetaan huomioon tuomioistuinten puuttumattomuuden periaate[69].[70] Esimerkkejä siitä, että osavaltioiden tuomioistuimet ovat pidättäytyneet tiedonantomääräysten tarkastelusta, on runsaasti.

Kun otetaan huomioon tuomioistuinten harkintavalta menettelyllisissä asioissa, kumoamisen tai täytäntöönpanon epäämisen uhka ei todennäköisesti ole keskeinen näkökohta. Se, että osapuolet yrittävät väistämättä väärinkäyttää tietosuoja-asetuksen velvoitteita saadakseen mahdollisen prosessuaalisen edun, asettaa tuomioistuimet vaikeaan tilanteeseen, jossa niiden on tasapainotettava toisaalta rekisteröidyn etujen ja toisaalta vankan todistusmenettelyn ylläpitämisen välillä.[71] Henkilötietojen suojaa koskevien vaatimusten noudattamista koskevien velvoitteiden selventäminen menettelyn alussa - mieluiten allekirjoitetussa tietosuojapöytäkirjassa - etenemissuunnitelman suositusten mukaisesti näyttää olevan ennakkoedellytys tällaisen toiminnan estämiseksi.

Henkilötietojen suojaa koskevien vaatimusten noudattamatta jättäminen voi johtaa kumoamiseen ja tunnustamisen ja täytäntöönpanon epäämiseen.

Etenemissuunnitelmassa ei käsitellä sitä, voidaanko henkilötietojen suojaa koskevien vaatimusten noudattamatta jättämistä käyttää välitystuomion kumoamiseen tai sen tunnustamisen ja täytäntöönpanon epäämiseen. Osapuolilla on hyvin rajalliset keinot hakea muutosta välitystuomioon. Hävinnyt osapuoli voi kuitenkin haluta kyseenalaistaa välimiesmenettelyn tuloksen ja käyttää jotakin tärkeimmistä yleisistä perusteista riitauttaakseen välimiesmenettelyn tai estääkseen sen tunnustamisen tai täytäntöönpanon.

New Yorkin yleissopimukseen kuuluu tällä hetkellä 168 sopimusvaltiota, joten se on ensisijainen oikeusperusta ulkomaisten tuomioiden tunnustamiselle ja täytäntöönpanolle kansainvälisessä kaupallisessa välimiesmenettelyssä. Yleissopimuksen V artiklassa määrätään rajoitetuista perusteista, joiden nojalla välitystuomion tunnustaminen ja täytäntöönpano voidaan evätä. Tässä yhteydessä on erityisen tärkeää, että V artiklan 2 kohdan b alakohdassa tunnustetaan allekirjoittajavaltion toimivaltaisen viranomaisen mahdollisuus kieltäytyä tunnustamasta tai panemasta täytäntöön sellaista ratkaisua, joka on vastoin oikeusjärjestyksen perusteita[72].

Perusteet, joilla välitystuomio voidaan kumota, vaihtelevat eri lainkäyttöalueilla. UNCITRALin kansainvälistä kaupallista välimiesmenettelyä koskevassa mallilaissa, joka on laajalti hyväksytty, on 34 artiklan 2 kohdassa luettelo kumoamisperusteista. Luettelo perustuu läheisesti New Yorkin yleissopimuksen V artiklaan[73]. 34 artiklan 2 kohdan b alakohdan ii alakohdassa todetaan, että tuomioistuin voi kumota välitystuomion, jos se on ristiriidassa valtion oikeusjärjestyksen perusteiden kanssa[74].

Euroopan yhteisöjen tuomioistuin totesi asiassa Eco Swiss v. Benetton, että EU:n lainsäädännön pakottavia pakottavia säännöksiä voidaan pitää yleiseen järjestykseen kuuluvina perussääntöinä, joiden rikkominen voi olla peruste kansallisen lainsäädännön tällaiseen perusteeseen perustuvan välitystuomion kumoamiselle[75].[76 ] Se, voidaanko välitystuomio kumota tai sen tunnustaminen tai täytäntöönpano evätä henkilötietojen suojaa koskevien vaatimusten noudattamatta jättämisen vuoksi, riippuu näin ollen siitä, onko tietosuoja-asetuksen sääntöjä pidettävä pakottavina pakottavina pakottavina säännöksinä, joiden rikkominen on kansallisen yleisen järjestyksen vastaista[76].

Rooma I -asetuksen 9 artiklan 1 kohdassa määritellään pakottavat säännökset säännöksiksi, "joiden noudattamista valtio pitää ratkaisevan tärkeänä yleisten etujensa turvaamiseksi ... siinä määrin, että niitä sovelletaan kaikkiin niiden soveltamisalaan kuuluviin tilanteisiin riippumatta siitä, mitä lakia muuten sovelletaan". Kuten Cervenka ja Schwarz ovat aiemmin todenneet, useimpia tietosuoja-asetuksen sääntöjä voidaan todennäköisesti pitää EU:n lainsäädännön mukaisina pakottavina säännöksinä. Sellaisenaan niiden rikkomista voidaan pitää oikeusjärjestyksen perusteiden vastaisena[77].

Mahdollisuus siihen, että henkilötietojen suojaa koskevien vaatimusten noudattamatta jättäminen voi johtaa välitystuomion kumoamiseen tai siihen, että välitystuomiota ei tunnusteta eikä panna täytäntöön, herättää erilaisia huolenaiheita. Ensinnäkin olisi määriteltävä tarkasti, mitkä henkilötietojen suojaa koskevat velvoitteet olisivat pakottavia pakottavia säännöksiä, sillä kaikilla rikkomuksilla ei ole samaa painoarvoa. Viime kädessä Euroopan yhteisöjen tuomioistuinta pyydetään todennäköisesti antamaan lisäselvityksiä. Toiseksi olisi otettava huomioon myös mahdollinen väärinkäyttö, joka liittyy mahdollisuuteen riitauttaa tai kiistää tuomion täytäntöönpano tietosuoja-asetuksen rikkomisen perusteella, jotta estetään osapuolia rikkomasta henkilötietojen suojaa koskevia sääntöjä tahallisesti, jotta heillä olisi mahdollisuus vedota tuomioon myöhemmin. Lopuksi olisi määriteltävä, olisiko henkilötietojen suojaa koskevat säännökset osa prosessioikeutta vai aineellista oikeutta ja millä tavoin[78].

Vaikka määriteltävää on vielä paljon, olisi käsiteltävä henkilötietojen suojaa koskevien vaatimusten noudattamatta jättämisen seurauksia välitystuomioiden kumoamiselle sekä tunnustamiselle ja täytäntöönpanolle. On erittäin mielenkiintoista, että etenemissuunnitelmassa ei mainita tästä mitään.

Päätelmät

Etenemissuunnitelman tarkoituksena on auttaa välimiesmenettelyn ammattilaisia tunnistamaan ja ymmärtämään henkilötietojen suojaa ja yksityisyyden suojaa koskevat velvoitteet, joita heihin voi kohdistua kansainvälisessä välimiesmenettelyssä. Kuten aiemmin todettiin, siinä ei kuitenkaan käsitellä joitakin nykyisin ajankohtaisia ja kiireellisiä kysymyksiä. Tässä asiakirjassa yksilöidyt ja käsitellyt kuusi kysymystä ovat seuraavat:

  • tietosuoja-asetuksen sovellettavuus EU:n ulkopuolella pidettäviin välimiesmenettelyihin;
  • GDPR NAFTA-välimiesmenettelyjen yhteydessä;
  • virtuaalisia välimieskäsittelyjä koskeva kysymys;
  • kolmannen osapuolen rahoittajat ja niiden asema etenemissuunnitelmassa;
  • GDPR:n mahdollinen väärinkäyttö; ja
  • GDPR:n mahdollinen noudattamatta jättäminen voi johtaa välitystuomion kumoamiseen tai tunnustamisen ja täytäntöönpanon epäämiseen.

Näitä kysymyksiä on syytä pohtia tarkemmin, sillä niiden ennustetaan vain tulevan entistä ajankohtaisemmiksi tulevina vuosina. Toivottavasti on osoitettu, että ne on syytä sisällyttää etenemissuunnitelmaan.

Etenemissuunnitelmaan lisättyjen liitteiden[79 ] tarkoituksena on auttaa ammattilaisia käsittelemään näitä vaatimuksia käytännössä. Tietosuojan tarkistuslista, oikeutettujen etujen arvioinnin tarkistuslista, esimerkkejä tietosuojailmoituksista ja EU:n vakiosopimuslausekkeet ovat kaikki erittäin arvokkaita resursseja, ja ammattilaisten olisi käytettävä niitä varmistaessaan, että he noudattavat tietosuoja-asetusta.

Eri lainkäyttöalueiden välisessä konfliktitilanteessa henkilötietojen suojaa koskevien kansallisten lainsäädäntöjen erot voivat kuitenkin johtaa epäselvyyksiin. Vaikka etenemissuunnitelmassa annetut suuntaviivat ovat laajoja, ne eivät silti ole sitovia. UNCITRAL ja IBA ovat aiemmin pyrkineet yhdenmukaistamaan kansainvälisiä välimiesmenettelyjä sääntöjensä, ohjeidensa ja vastaaviensa avulla; vaikka ne eivät olekaan sitovia, ne ovat varmasti vakuuttavia. Kuten UNCITRAL ja IBA ovat pyrkineet tekemään kansainvälisen välimiesmenettelyn eri osa-alueilla, myös välimiesmenettelyä koskevien henkilötietojen suojaa koskevien vaatimusten yhdenmukaistaminen on ehdottoman tarpeellista; näin ollen olisi laadittava tarvittavat suuntaviivat yhdenmukaistamista silmällä pitäen.

Vaikka GDPR:n vaatimusten noudattamista ja sen vaikutuksia kansainväliseen välimiesmenettelyyn koskeva yhdenmukaistaminen, ymmärtäminen ja tietoisuus on edelleen puutteellista, me välimiesmenettelyn ammattilaiset tulemme jatkossakin tyytymään nykyiseen oikeudelliseen kehykseen. Etenemissuunnitelma on kuitenkin puutteistaan huolimatta erittäin tarpeellinen ja rohkaiseva askel kohti yhteisymmärrystä välimiesmenettelyn osallistujien henkilötietojen suojaa koskevista velvoitteista.

Resurssit

  1. Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), EUVL 2016 L 119/1.
  2. "Henkilötiedot" määritellään yleisen tietosuoja-asetuksen 4 artiklassa seuraavasti: (1) "Henkilötiedoilla" tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ("rekisteröity") liittyviä tietoja; tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan suoraan tai välillisesti tunnistaa erityisesti tunnistetiedon, kuten nimen, tunnistenumeron, sijaintitiedon, verkkotunnisteen tai yhden tai useamman kyseisen luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, psyykkiseen, taloudelliseen, kulttuurilliseen tai sosiaaliseen identiteettiin liittyvän tekijän perusteella.".
  3. Yleisen tietosuoja-asetuksen alueellinen soveltamisala määritellään 3 artiklassa seuraavasti:
    1. "Tätä asetusta sovelletaan henkilötietojen käsittelyyn rekisterinpitäjän tai henkilötietojen käsittelijän unionissa sijaitsevan toimipaikan toiminnan yhteydessä riippumatta siitä, tapahtuuko käsittely unionissa vai ei.

    2. Tätä asetusta sovelletaan unioniin sijoittautumattoman rekisterinpitäjän tai henkilötietojen käsittelijän suorittamaan sellaisten rekisteröityjen henkilötietojen käsittelyyn, jotka ovat unionissa, jos käsittelytoimet liittyvät seuraaviin seikkoihin

      (a) tavaroiden tai palvelujen tarjoamiseen tällaisille rekisteröidyille unionissa riippumatta siitä, vaaditaanko rekisteröidyltä maksu; tai

      (b) heidän käyttäytymisensä seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa.

    3. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittaa rekisterinpitäjä, joka ei ole sijoittautunut unioniin vaan paikkaan, jossa sovelletaan jäsenvaltion lainsäädäntöä kansainvälisen julkisoikeuden nojalla.
  4. Katso "henkilötietojen käsittelijän" määritelmä tietosuoja-asetuksen 4 artiklassa.
  5. Yleisen tietosuoja-asetuksen 83 artiklan 4 kohta.
  6. Googlen saama suurin GDPR:n mukainen sakko (Simmons + Simmons, 22.1.2019), ks. www. simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m fined over data breach" (BBC, 16.10.2020), ks. www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), ks. www. arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, saatavilla 18. elokuuta 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, helmikuu 2020), ks. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, saatavilla 18. elokuuta 2021.
  9. Ibid, 1.
  10. PCA:n asia nro 2018-54.
  11. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', ks. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
  12. 'Cybersecurity Guidelines' (IBA, lokakuu 2018), ks. www.ibanet.org/LPRU/Cybersecurity, accessed 1 December 2020.
  13. 'ICC Guidance Note on Possible Measures Aim' (Kansainvälinen kauppakamari, 9.4.2020), viitattu 18.8.2021.
  14. Etenemissuunnitelma, jakso B.
  15. Ibid.
  16. GDPR:n 4 artikla.
  17. Ibid.
  18. GDPR:n 4 artikla.
  19. Ibid, 3 artiklan 1 kohta.
  20. Etenemissuunnitelma, 7.
  21. Yleisen tietosuoja-asetuksen 4 artikla.
  22. Etenemissuunnitelmassa "välimiesmenettelyn osallistujat" määritellään seuraavasti: "mukaan lukien (vain) osapuolet, heidän oikeudelliset neuvonantajansa, välimiehet ja välimieslaitokset". Ks. etenemissuunnitelma (n:o 3), 2.
  23. Yleisen tietosuoja-asetuksen 4 artikla.
  24. Ks. tuomio 29.7.2019, Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, 74 ja 85 kohta. Ks. myös tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; tuomio 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Etenemissuunnitelma, 11
  26. Ibid, 12.
  27. GDPR, 5 ja 12-22 artikla; etenemissuunnitelma, 14-15.
  28. Esimerkiksi yleisen tietosuoja-asetuksen mukaan henkilötietojen käsittely kansainvälisen välimiesmenettelyn yhteydessä on laillista, kun se on tarpeen rekisterinpitäjän oikeutettujen etujen toteuttamiseksi - jollei rekisteröidyn etuihin ja perusoikeuksiin perustuvista rajoituksista muuta johdu - ja arkaluonteisia tietoja voidaan käsitellä oikeudellisia vaatimuksia koskevan poikkeuksen nojalla (9 artiklan 2 kohdan f alakohta) välimiesmenettelyn yhteydessä.
  29. Etenemissuunnitelma, 19.
  30. Ibid, 20-21.
  31. Ibid, 30-31.
  32. Ibid, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. GDPR:n 5 artiklan 1 kohdan e alakohta.
  41. Etenemissuunnitelma, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. elokuuta 2019), ks. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, viitattu 18. elokuuta 2021.
  43. EU:n komissio on katsonut maan tarjoavan riittävän tietosuojan.
  44. Kansainvälisen välimiesmenettelyn tapauksessa tämä olisi todennäköisesti tavanomainen sopimuslauseke.
  45. Oikeudellisia vaatimuksia koskeva poikkeus, joka sallii siirrot, jos ne ovat "välttämättömiä oikeudellisten vaatimusten laatimiseksi, esittämiseksi tai puolustamiseksi", on parhaiten sovellettavissa välimiesmenettelyn yhteydessä.
  46. Sen korkean kynnysarvon ja ilmoitusvaatimuksen vuoksi vetoaminen pakottaviin oikeutettuihin etuihin ei ole käytännössä kovin merkityksellistä. Katso EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. helmikuuta 2018 (tiedonsiirto-ohjeet).
  47. Etenemissuunnitelma, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. elokuuta 2019), ks. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [viitattu 18. elokuuta 2021].
  49. PCA:n asia nro 2018-54.
  50. Ibid, Tribunal's Communication to the Parties (Perm Ct Arb, 2019).
  51. Etenemissuunnitelma, 37.
  52. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), ks. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
  53. 'Cybersecurity Guidelines' (IBA, lokakuu 2018), ks. www. ibanet.org/LPRU/Cybersecurity, accessed 1 December 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (ICCA:n/IBA:n tietosuojatyöryhmän 'etenemissuunnitelma') (Kluwer Arbitration Blog, 18.7.2020), ks. arbitrationblog. kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, accessed 18.8.2021.
  55. "ICC Guidance Note on Possible Measures Aired at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9.4.2020), luettavissa 18.8.2021.
  56. 'Third-Party Funding in International Arbitration: The ICCA-QMUL report", (ICCA, toukokuu 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, saatavilla 18. elokuuta 2018.
  57. Etenemissuunnitelma, 2.
  58. Ibid, 23-25.
  59. GDPR:n 4 artiklan 2 kohta, ks. edellä n:o 1.
  60. GDPR:n 6 artiklan 1 kohdan f alakohta.
  61. Allan J Arffa ja muut, "GDPR Issues in International Arbitration" (Lexology, 10.8.2020), ks. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, viitattu 18.8.2021.
  62. Etenemissuunnitelma, liite 5.
  63. Allan J Arffa ym., "GDPR Issues in International Arbitration" (Lexology, 10.8.2020), ks. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, saatavilla 18.8.2021.
  64. Etenemissuunnitelma 40-41.
  65. Ks. esim: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp v. Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6.2.2020), ks. www. bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, saatavilla 18.8.2021.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2. painos, Kluwer Law International 2014), 2335.
  70. Ibid. Born siteeraa seuraavia tuomioita tämän väitteen vahvistamiseksi: Tuomio 22.1.2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" v. Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel Paris): "Välimiesoikeuden päätös määrätä tiedonhankinnasta kuuluu sen menettelylliseen harkintavaltaan, eivätkä tuomioistuimet voi tutkia sitä"; Karaha Bodas Co v. Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Julkistamispyynnöt ovat "tuomioistuimen harkintavallan kohtuullisen käytön piirissä".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4.12.2019), ks. www. natlawreview.com/article/gdpr-and-international-arbitration-crossroads, saatavilla 18.8.2021.
  72. New Yorkin yleissopimus, V artiklan 2 kohta: "Välitystuomion tunnustamisesta ja täytäntöönpanosta voidaan kieltäytyä myös, jos sen maan toimivaltainen viranomainen, jossa tunnustamista ja täytäntöönpanoa haetaan, toteaa, että... b) välitystuomion tunnustaminen tai täytäntöönpano olisi kyseisen maan oikeusjärjestyksen perusteiden vastaista.".
  73. YK:n pääsihteeri, Analyyttinen kommentti kansainvälistä kaupallista välimiesmenettelyä koskevan mallilain luonnostekstiin, A/CN.9/264 (1985), 34 artikla, 6 kohta.
  74. UNCITRALin kansainvälistä kaupallista välimiesmenettelyä koskevan mallilain 34 artiklan 2 kohta: "6 artiklassa mainittu tuomioistuin voi kumota välitystuomion vain, jos... b) tuomioistuin toteaa, että... ii) välitystuomio on ristiriidassa tämän valtion oikeusjärjestyksen perusteiden kanssa".
  75. Tuomio 1.6.1999, Eco Swiss China Time Ltd v. Benetton International NV C-126/97, Kok. 1999, s. I-03055, kohta. 39 ja 41 kohta. Yksityiskohtaista keskustelua EU:n oikeusjärjestyksen perusteista ks: Sacha Prechal ja Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka ja Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Yksityiskohtaisempaa keskustelua näistä ja muista kysymyksistä on esitetty seuraavassa: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration", teoksessa José R Mata Dona ja Nikos Lavranos (toim.), International Arbitration and EU Law (Edward Elgar Publishing, 2021), 5.63 kohta ja sitä seuraavat kohdat; Cervenka ja Schwarz, ks. edellä n:o 76, 84-85.
  79. "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, helmikuu 2020), ks. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, saatavilla 18.8.2021.

Tämä artikkeli julkaistiin ensimmäisen kerran julkaisussa Dispute Resolution International, Vol 15 No 2, lokakuu 2021, ja se on julkaistu International Bar Associationin (Lontoo, Yhdistynyt kuningaskunta) luvalla. © International Bar Association.

Takaisin yleiskatsaukseen