Nemzetközi Ügyvédi Kamara Logó

A titánok összecsapása: GDPR és a nemzetközi választottbíráskodás - egy pillantás a jövőbe

Szerző: Neva Cirkveni és Per Neuburger

Bevezetés

Az elmúlt években kérdések merültek fel a személyes adatok védelmének és a kiberbiztonságnak a nemzetközi választottbírósági eljárások tényleges lefolytatására gyakorolt gyakorlati hatásaival kapcsolatban - különösen, ha figyelembe vesszük a technológiai változások folyamatos ütemét.

Az általános adatvédelmi rendelet (GDPR)[i] 2020 májusában ünnepelte második születésnapját. A GDPR személyes adatok védelmére vonatkozó keretrendszerének célja, hogy biztosítsa az "azonosított vagy azonosítható természetes személy(ek)" személyes adatainak szabad mozgását.[ii] A rendelet az Európai Unión belül alkalmazandó, és területi hatályán kívül is kiterjedhet az EU-n kívülre;[iii] A GDPR nemcsak minden természetes vagy jogi személyt érinthet, hanem a hatóságokat, ügynökségeket és egyéb szerveket - esetleg nemzetközi szervezeteket is beleértve - személyes adatvédelmi kötelezettségekkel is terheli.[iv] A GDPR szankciói a jogsértő szervezet előző pénzügyi évben elért világméretű éves forgalmának 4 százalékát vagy 20 millió eurót tehetnek ki, attól függően, hogy melyik a magasabb.[v] A több joghatóságban kiszabott több millió eurós bírságok révén már bebizonyosodott, hogy komolyan kell venni az alkalmazását.[vi]

Bár a személyes adatok védelmére vonatkozó jogszabályok alkalmazása a választottbíráskodásra már meg van határozva, a jogszabályok alkalmazásának módja nem. Ezért a Nemzetközi Kereskedelmi Választottbírósági Tanács (ICCA) és a Nemzetközi Ügyvédi Kamara (IBA) 2019 februárjában közös munkacsoportot hozott létre a nemzetközi választottbírósági eljárásokban az adatvédelemmel kapcsolatban, amelynek célja egy olyan útmutató elkészítése, amely gyakorlati útmutatást nyújt a személyes adatok nemzetközi választottbírósági eljárásban történő védelméhez. A munkacsoport 2020 márciusában közzétette az útmutató konzultációs tervezetét.[vii] Ez a kommentár ezen az ütemtervtervezeten (a továbbiakban: ütemterv) alapul,[viii] az ütemterv végleges, felülvizsgált változatát várhatóan 2021 szeptemberében teszik közzé. Bár a konzultációs tervezetre vonatkozó észrevételek benyújtásának határideje e cikk írásakor már lejárt, az ütemterv előzetes változata mégis jól szemlélteti a GDPR által a nemzetközi választottbírósági eljárásokban felvetett kérdéseket. Ezért a vita alapjául szolgál majd.

A legtöbb személyes adatvédelmi törvény kötelező a választottbírósági eljárásokban, vagyis előírja:

  • milyen személyes adatokat lehet feldolgozni;
  • ahol;
  • milyen eszközökkel;
  • milyen információbiztonsági intézkedésekkel; és
  • mennyi ideig.[ix]

Nem foglalkoznak azonban azzal, hogy ezeket a kötelező érvényű kötelezettségeket hogyan kell betartani a választottbírósági eljárásban. A szabályozó hatóságoktól származó konkrét útmutatás hiányában az ütemterv célja, hogy segítse a választottbírósági szakembereket a nemzetközi választottbírósági eljárás során rájuk háruló adatvédelmi és magánéletvédelmi kötelezettségek azonosításában és megértésében. Továbbá a GDPR-védelem mértéke továbbra is releváns marad a nemzetközi választottbírósági eljárásokban, főként abban a tekintetben, hogy a GDPR-jogszabályok alkalmazandók-e az EU-n kívüli székhelyű választottbírósági eljárásokra. Ha a GDPR-t a választottbíráskodásra is alkalmazni kell, annak számos további következménye van: először is, hogy tilos-e a személyes adatok feldolgozása, másodszor, hogy vannak-e korlátozások a személyes adatok EU-n kívüli továbbítására vonatkozóan. Végül pedig a kibertámadások egyre gyakoribbá válása miatt egy ilyen támadás következményei jelentős károkat okozhatnak a választottbírósági eljárásban.

E cikk célja, hogy kommentálja az ütemtervet, és feltárja azokat a gyakorlati intézkedéseket, amelyeket a nemzetközi választottbírósági eljárásokban a személyes adatok védelmére vonatkozó kötelezettségek tekintetében figyelembe kell venni. Az ütemtervet ígéretes, bár hiányos eszközként határozza meg, amely kiegészíti a nemzetközi választottbíráskodás harmonizálására tett különböző nem kötelező erejű jogi kísérleteket, különösen az IBA és az ENSZ Nemzetközi Kereskedelmi Jogi Bizottsága (UNCITRAL) eszközeit.

Először is rövid összefoglalót adunk az ütemtervről, amely a GDPR alapelveire is utal. Ennek nem célja, hogy átfogó áttekintést nyújtson, hanem inkább az ütemterv főbb pontjait mutatja be, hogy az olvasó számára kontextust biztosítson a későbbi vitához. Másodszor, egy kommentár következik, amely hat releváns kérdést érint:

  • a GDPR alkalmazhatósága az EU-n kívüli választottbírósági eljárásokra;
  • GDPR az Észak-amerikai Szabadkereskedelmi Megállapodás (NAFTA) keretében zajló választottbírósági eljárásokban, amint azt a Tennant Energy, LLC kontra Kanada kormánya ügy mutatja;[x]
  • a videokonferencia kérdése, amelynek jelentősége a Covid-19 világjárvány során jelentősen megnőtt, beleértve az "ICCA-NYC Bar-CPR jegyzőkönyv a nemzetközi választottbíráskodásban a kiberbiztonságról" (Cybersecurity Protocol) című dokumentumra való hivatkozásokat is[xi] az IBA kiberbiztonsági iránymutatásai[xii] és az ICC iránymutatása a COVID-19 pandémia hatásainak enyhítését célzó lehetséges intézkedésekről;[xiii]
  • "harmadik fél finanszírozók" és az ütemtervben való figyelembevételük;
  • a GDPR-ral való visszaélés, különösen a titoktartás pajzsként való felhasználása; és
  • a személyes adatok védelmére vonatkozó követelmények be nem tartásának lehetőségét a választottbírósági ítélet megsemmisítésére vagy elismerésének és végrehajtásának megtagadására.

A záró gondolatokat a következtetés tartalmazza.

Az útiterv

A magánszemélyek és a jogi személyek kötelesek az érintettek személyes adatait védeni. Magára a választottbíráskodásra nem vonatkoznak a személyes adatok védelmére vonatkozó kötelezettségek. Ha azonban a választottbírósági eljárásnak csak egy résztvevőjére vonatkoznak a személyes adatok védelmére vonatkozó kötelezettségek, a választottbírósági eljárás egészére hatással lehet. Az, hogy a személyes adatok feldolgozása a vonatkozó jogszabályok, az anyagi és a joghatósági körbe tartozik-e, meghatározza, hogy a személyes adatok védelmére vonatkozó jogszabályok alkalmazandók-e.[xiv]

A modern adatvédelmi jogszabályok minden olyan esetben alkalmazandók, amikor az érintettre vonatkozó személyes adatokat a vonatkozó adatvédelmi jogszabályok hatálya alá tartozó tevékenységek során kezelik.[xv] A személyes adatok közé tartozik "bármely azonosított vagy azonosítható természetes személyre vonatkozó információ".[xvi] A tipikus választottbírósági eljárás során jelentős mennyiségű információt cserélnek ki többek között a felek, a tanácsadók, a bíróság és harmadik felek között. Mint ilyenek, valószínűleg a "személyes adatok" fogalommeghatározása alá tartoznak. Az "érintettek" a fent említett, azonosított vagy azonosítható személyekre vonatkozik.[xvii] A feldolgozás aktív és passzív műveleteket foglal magában, így a személyes adatok felhasználását, terjesztését és törlését, valamint a személyes adatok fogadását, rendszerezését és tárolását.[xviii] Az alkalmazási kör minden olyan intézkedésre kiterjed, amikor a személyes adatok feldolgozása az adatkezelő vagy az adatfeldolgozó EU-n belüli telephelyének tevékenységeivel összefüggésben történik.[xix] és extraterritoriálisan, például amikor személyes adatokat továbbítanak az EU-n kívülre olyan szervezetek vagy személyek részére, amelyek más okokból nem tartoznak a GDPR hatálya alá.[xx]

A választottbírák adatkezelőnek minősülnek, ami azt jelenti, hogy felelősek a személyes adatok védelmére vonatkozó jogszabályok betartásáért. Az "adatkezelő" meghatározása alapján azonban;[xxi] a legtöbb választottbírósági résztvevő[xxii] valószínűleg annak tekinthetők, beleértve az ügyvédeket, a feleket és az intézményt. Az adatkezelők az adatfeldolgozást átruházhatják az adatfeldolgozókra,[xxiii] akik az ellenőrzésük alatt állnak, és akiknek az alkalmazandó jog által előírt feltételek szerinti adatfeldolgozási megállapodásokra van szükségük. Így a titkárnők, az átírók, a fordítók és mások valószínűleg mind adatfeldolgozóknak minősülnek. További kérdés a közös adatkezelők kérdése, akik közösen határozzák meg az adatfeldolgozás céljait és eszközeit. A közös adatkezelés tágan értelmezhető, de a közös adatkezelő felelőssége csak az adatkezelő által meghatározott adatkezelésre, annak céljára és eszközeire korlátozódik, a teljes adatkezelésre nem.[xxiv]

A nemzetközi választottbírósági eljárásokban a személyes adatok joghatóságok közötti továbbítására vonatkozó korlátozások nyilvánvalóan a személyes adatok védelmére vonatkozó jogszabályok alkalmazásának egyik módja. A különböző választottbírósági résztvevők háttere határozza meg a különböző személyes adatvédelmi rendszerek alkalmazását. A modern személyesadat-védelmi jogszabályok korlátozzák a személyes adatok harmadik országokba történő továbbítását annak biztosítása érdekében, hogy a jogi kötelezettségeket ne lehessen megkerülni a személyes adatoknak a személyes adatok védelmére vonatkozó alacsonyabb normákkal rendelkező joghatóságokba történő továbbításával.[xxv] A GDPR lehetővé teszi a személyes adatok harmadik országba történő továbbítását, ha az alábbiak valamelyike bekövetkezik:

  • az ország az EU Bizottsága szerint megfelelő személyes adatvédelmet biztosít;
  • a kifejezetten felsorolt biztosítékok valamelyikét alkalmazzák;
  • eltérés, amely lehetővé teszi az adattovábbítást, amennyiben az jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges; vagy
  • a fél nyomós jogos érdeke.[xxvi]

Ezek a szabályok a választottbírósági résztvevőkre és nem a választottbírósági eljárás egészére vonatkoznak, így minden választottbírósági résztvevőnek meg kell vizsgálnia, hogy milyen személyesadat-továbbítási korlátozások vonatkoznak rá.

A választottbírósági eljárásban alkalmazandó személyes adatok védelmének elvei közé tartozik a tisztességes és jogszerű adatkezelés, az arányosság, az adatok minimalizálása, a célhoz kötöttség, az érintettek jogai, a pontosság, az adatbiztonság, az átláthatóság és az elszámoltathatóság.[xxvii]

Ezen elvek közül néhány további megjegyzést igényel. A tisztességes és jogszerű adatkezelés azt jelenti, hogy a személyes adatokat csak olyan módon szabad feldolgozni, amelyet az érintettek ésszerűen elvárnak, és hogy az adatkezelésnek kell, hogy legyen jogalapja. A méltányosság elvét alkalmazva a félnek és ügyvédjének fel kell tennie a kérdést, hogy az összes tényállás ismeretében az érintettek számíthattak-e arra, hogy személyes adataikat ilyen módon kezelik, hogy ez hátrányos következményekkel jár-e rájuk nézve, és hogy ezek a következmények indokoltak-e? Ez az elv nem akadályozza meg, hogy az üzleti e-mailekben talált személyes adatokat bizonyítékként elfogadják.

A jogszerű adatkezelés fogalma olyan jogalapot jelent, amely tényalapú és eseti alapú. A hozzájárulás helyett a GDPR-ban meghatározott jogalapokra kell hivatkozni.[xxviii]

Az arányosság megköveteli az adatkezelés jellegének, terjedelmének, kontextusának és céljainak mérlegelését az érintettet fenyegető kockázatokkal összefüggésben.[xxix] Az adatminimalizálás megköveteli, hogy a választottbírósági résztvevők a megfelelő, releváns és a szükségesre korlátozott személyes adatok feldolgozását korlátozzák.[xxx] Az átláthatóság megköveteli, hogy az érintetteket általános vagy egyedi értesítések, illetve mindkettő útján tájékoztassák a személyes adatok feldolgozásáról és feldolgozásának céljáról.[xxxi] Az elszámoltathatóság az adatvédelem betartásáért való személyes felelősségre vonatkozik, ami azt jelenti, hogy a választottbírósági résztvevőknek dokumentálniuk kell minden személyes adatvédelmi intézkedést és döntést a megfelelés bizonyítása érdekében.[xxxii]

A személyes adatok védelmének való megfelelés a nemzetközi választottbírósági eljárás egyes lépéseit érinti, nemcsak a választottbírósági eljárás során, hanem az előkészületek során is. A választottbírósági résztvevőknek már a kezdetektől fogva mérlegelniük kell, hogy mely személyesadat-védelmi jogszabályok vonatkoznak rájuk és más választottbírósági résztvevőkre, és hogy mely választottbírósági résztvevők kezelnek majd személyes adatokat adatkezelőként, adatfeldolgozóként vagy közös adatkezelőként. Figyelembe kell venni a harmadik országok személyes adatok továbbítására vonatkozó szabályait és a harmadik fél szolgáltatókra vonatkozó személyesadat-feldolgozási megállapodásokat is. A dokumentumgyűjtési és felülvizsgálati folyamat során a feleknek és jogi tanácsadóiknak szükségük van a feldolgozási tevékenységek és a harmadik országbeli személyes adatok továbbításának jogalapjára.[xxxiii]

A választottbírósági eljárás iránti kérelem, valamint az azt követő beadványok olyan személyes adatokat tartalmaznak, amelyek egyértelműen a feldolgozás körébe tartoznak. Ha a választottbírósági intézményt kötik az alkalmazandó személyes adatvédelmi jogszabályok, akkor figyelembe kell vennie az egyes eljárási lépések során alkalmazandó esetleges személyes adatvédelmi kötelezettségeket. Ha egy választottbírósági intézmény a GDPR hatálya alá tartozik, akkor jellemzően a személyes adatok adatkezelőjévé válik. A GDPR 13. és 14. cikkének való megfelelés érdekében az ilyen intézménynek a biztonsági intézkedésekre, az érintettek jogainak gyakorlására, a nyilvántartások karbantartására, valamint az adatok megsértésére és megőrzésére vonatkozó politikára vonatkozó információkat kell beépítenie az adatvédelmi tájékoztatójába.[xxxiv] A befektető-állami döntőbírósági eljárásokat intéző nemzetközi szervezetek azonban az alapító államban vagy a fogadó országgal kötött megállapodásban foglalt kiváltságok és mentességek miatt kikerülhetnek a személyes adatok védelmére vonatkozó jogszabályok hatálya alól. Itt tehát külön mérlegelni kell, többek között azt, hogy a szervezetet kötik-e a személyes adatok védelmére vonatkozó jogszabályok, valamint hogy a választottbírósági eljárásban részt vevőkre vonatkoznak-e - és ha igen, milyen mértékben - a kiváltságok és mentességek.[xxxv]

A választottbírák választottbíróságba történő kinevezése során általában jelentős mennyiségű potenciális választottbíró személyes adatait cserélik ki. A választottbírósági résztvevőknek jogi közleményeikben fel kell tüntetniük e személyes adatok feldolgozásának jogalapját, és kifejezetten értesíteniük kell a kinevezésre javasolt választottbírókat személyes adataik feldolgozásáról, különösen a személyes adatok harmadik országba történő továbbítása esetén.[xxxvi]

Ha a választottbírósági eljárás már folyamatban van, a kockázatok minimalizálása érdekében a személyes adatok védelmének megfelelőségével kapcsolatos feladatokat idejekorán ki kell osztani. A személyes adatok védelmét fel kell venni az első eljárási konferencia napirendjére, és a választottbírósági résztvevőknek meg kell próbálniuk minél előbb megállapodni a személyes adatok védelmének megfelelőségével kapcsolatos kérdésekről. A feleknek, a jogtanácsosaiknak és a választottbíróknak fontolóra kell venniük, hogy a megfelelési kérdések hatékony kezelése érdekében személyes adatvédelmi jegyzőkönyvet írjanak alá. Amennyiben ez nem lehetséges, alternatív lehetőség, hogy a Törvényszék ezeket az első számú eljárási rendbe foglalja bele.[xxxvii]

A dokumentumok előállítása és közzététele során a személyes adatok minimalizálásának elve különösen fontos. A GDPR értelmében ez valószínűleg megkövetelné:

  • a közölt személyes adatoknak a lényeges és nem duplikatív adatokra való korlátozása;
  • a válaszadó anyagban szereplő személyes adatok azonosítása; és
  • a szükségtelen személyes adatok szerkesztése vagy álnevesítés.

Ezeket a kérdéseket szintén az eljárás korai szakaszában, lehetőleg az első eljárási értekezleten vagy azt megelőzően kell megvizsgálni.[xxxviii]

Amikor a díjak odaítéléséről van szó, a választottbíráknak és az intézményeknek mérlegelniük kell a személyes adatok díjazásban való szerepeltetésének alapját és szükségességét. Ha a választottbíráskodás bizalmas, akkor is fennáll a veszélye annak, hogy a választottbírósági ítélet végrehajtásakor nyilvánosságra kerül. Még ha a személyes adatokat szerkesztik is, azok jellemzően személyes adatok maradnak, mivel az érintett személy azonosítható a díj többi részéből vagy a kapcsolódó anyagokból.[xxxix]

Az adatok megőrzése és törlése a GDPR szerinti adatkezelésnek minősül, amely előírja, hogy a személyes adatokat "az érintettek azonosítását lehetővé tevő formában legfeljebb a személyes adatok kezelésének céljaihoz szükséges ideig kell megőrizni".[xl] Az ellenőröknek mérlegelniük, dokumentálniuk és igazolniuk kell a tárolás időtartamát. A választottbírósági résztvevőknek mérlegelniük kell, hogy milyen adatmegőrzési időtartam ésszerű, és arányos megközelítést kell alkalmazniuk, hogy egyensúlyt teremtsenek szükségleteik és az adatmegőrzésnek az érintettre gyakorolt hatása között.[xli]

A GDPR alkalmazhatósága az EU-n kívül tartott választottbírósági eljárásokban

Az általános adatvédelmi rendelet területi hatálya viszonylag széles. A gyakorlati szakembereknek tisztában kell lenniük a rendelet alkalmazásával, függetlenül attól, hogy az EU területén találhatóak-e vagy sem, illetve a választottbírósági eljárás székhelye az EU területén van-e. Az általános adatvédelmi rendelet a személyes adatoknak az EU-ban letelepedett adatkezelők vagy adatfeldolgozók általi feldolgozására vonatkozik, függetlenül attól, hogy maga a feldolgozás az EU-ban történik-e (3. cikk (1) bekezdés). Ezen túlmenően, amikor áruk vagy szolgáltatások uniós polgároknak történő felkínálásáról vagy az EU-n belül zajló magatartás nyomon követéséről van szó, a GDPR a személyes adatoknak az EU-ban nem letelepedett adatkezelő vagy adatfeldolgozó által történő feldolgozására is vonatkozik (3. cikk (2) bekezdés).

A GDPR a választottbírósági eljárásra alkalmazva olyan kötelezettségeket ró az adatkezelőkre és adatfeldolgozókra - választottbírókra, tanácsadókra, felekre és intézményekre -, amelyek az anyagi és területi hatálya alá tartoznak, nem pedig közvetlenül a választottbírósági eljárásra. Még ha csak egy választottbírósági résztvevő is kapcsolódik az EU-hoz, akkor is köteles lesz a személyes adatokat a GDPR-nak megfelelően feldolgozni. Az eljárás egészére nézve következményekkel járhat.[xlii]

A nemzetközi választottbíráskodásban, ahol a személyes adatokat tartalmazó választottbírósági anyagok továbbítása mindennapos, talán a legjelentősebbek a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli "harmadik országokba" történő továbbítására vonatkozó korlátozások. Ilyen esetben a személyes adatok továbbításának engedélyezéséhez a négy jogalap valamelyike szükséges. Először is, a harmadik országba történő adattovábbítás akkor engedélyezett, ha a harmadik országra megfelelőségi határozat vonatkozik (45. cikk (1) bekezdés).[xliii] Ha ez nem így van, lehetőség szerint a megfelelő biztosítékok egyikét (46. cikk (1) bekezdés) kell alkalmazni.[xliv] Ha nincs megfelelőségi határozat, és megfelelő biztosíték nem lehetséges, akkor egyedi eltérésre lehet hivatkozni (49. cikk (1) bekezdés).[xlv] Végül, a fentiek hiányában a fél hivatkozhat kényszerítő erejű jogos érdekre (49. cikk (1) bekezdés).[xlvi] a személyes adatok harmadik fél részére történő továbbításának jogalapjaként.

Az ütemterv elég átfogóan meghatározza a szükséges megfontolásokat, amelyeket a választottbírósági résztvevőknek meg kell tenniük. Többször hangsúlyozza, hogy a személyes adatok védelmének elvei és az adattovábbítási szabályok a választottbírósági eljárásban résztvevőkre, és nem a választottbírósági eljárásra mint olyanra vonatkoznak.[xlvii] Ezzel összhangban a vélelmezett következtetés az, hogy az EU-ban székhellyel rendelkező választottbírónak egy olyan nem uniós választottbírósági eljárásban, amely egyébként nem tartozik a GDPR hatálya alá, ennek ellenére meg kell felelnie a GDPR személyes adatok feldolgozására és továbbítására vonatkozó követelményeinek. Ez valóban általánosan elfogadott a kereskedelmi választottbírósági eljárásokban,[xlviii] de a helyzet nem ilyen egyértelmű, amikor a befektetői-állami választottbíráskodásról van szó.

A Tennant Energy, LLC kontra Kanada kormánya ügye

2019-ben, a NAFTA 11. fejezet szerinti választottbírósági eljárásban Tennant Energy, LLC kontra Kanada kormánya (Tennant),[xlix] Tennant, a felperes felvetette a GDPR-nak az eljárásra való alkalmazásának kérdését, tekintettel a bíróság egyik tagjának brit állampolgárságára és lakóhelyére. A Törvényszék azonban utasításokat adott ki a feleknek, amelyek szerint "a NAFTA 11. fejezete szerinti választottbírósági eljárás, amely olyan szerződés, amelynek sem az Európai Unió, sem annak tagállamai nem részesei, vélhetően nem tartozik a GDPR tárgyi hatálya alá".[l]

Fontos különbséget tenni a szerződésen alapuló és a kereskedelmi választottbíráskodás között, Tennant az előbbi kategóriába tartozik. Az ütemterv foglalkozik ezzel a megkülönböztetéssel, megjegyezve, hogy a nemzetközi szervezetek kizárhatók a személyes adatok védelmére vonatkozó jogszabályok hatálya alól.[li] A Tennant választottbírósági eljárásban a Törvényszék tagjai a Hollandiával kötött, az Állandó Választottbíróság (PCA) székhelyéről szóló megállapodásból származó bizonyos mentességek hatálya alá tartozhatnak. A NAFTA törvényszék azonban nem vizsgálta, hogy nemzetközi szervezetként a PCA-ra vonatkoznak-e a GDPR átadási szabályai, vagy hogy a törvényszék tagjai a megállapodásból bizonyos mentességeket levezetnek-e.

A Tennant iránya több kérdést vet fel, mint amennyire választ ad a GDPR NAFTA-eljárásokra és általában a szerződésen alapuló választottbírósági eljárásokra való alkalmazhatóságával kapcsolatban, amelynek árnyalt tárgyalása meghaladja a jelen tárgykört. Mindazonáltal a Tennant-irányelv az ütemterv fényében szemlélve azt mutatja, hogy ez a téma továbbra is rendkívül bizonytalan. A legjobb esetben is kérdéses, hogy az útiterv tisztázza-e az ilyen kérdéssel szembesülő választottbírósági résztvevők helyzetét, különös tekintettel arra, hogy az útitervet azután adták ki, hogy a Tennant utasítást adtak ki, de ez utóbbinak semmilyen ellenszolgáltatást nem adtak.

A videokonferencia kérdése

Az ütemterv elismeri a személyes adatok biztonságának fontosságát. A virtuális meghallgatások, valamint az otthonról történő munkavégzés megkönnyítése érdekében a közelmúltban alkalmazott további technológiák használata - amelyet leginkább a Covid-19 világjárvány által ránk kényszerített jelenlegi körülmények táplálnak - azonban további súlyt ad ennek a kérdésnek. A kiberbiztonsági jegyzőkönyv[lii] és az IBA kiberbiztonsági iránymutatásai[liii] megvilágították a kérdést.

Az ütemtervhez hasonlóan a kiberbiztonsági jegyzőkönyv is több alapelvet határoz meg. Az arányosság elve érvényesül, a Törvényszék hatáskörrel és mérlegelési jogkörrel rendelkezik az alkalmazott biztonsági intézkedések meghatározására, és az információbiztonság olyan kérdés, amelyet az első ügykezelési konferencián kell megvitatni. A kiberbiztonsági jegyzőkönyv A. jegyzéke egy ellenőrző listát tartalmaz, amelyet a választottbírósági eljárásban részt vevő felek az eljárás védelme érdekében használhatnak.

A Covid-19 világjárvány miatt a munkamódszerekben és a munkakörnyezetben a közelmúltban bekövetkezett változást követően ezeknek a kérdéseknek nagyobb hangsúlyt kell kapniuk. Egy olyan világban, ahol az üzleti élet új módszereinek megtalálására és a bizonytalan időkhöz való alkalmazkodásra van szükség, a jogi ágazat egyik problémája a meghallgatások kérdése, amely a korlátozásokkal és a társadalmi távolságtartás szükségességével párosul. Mint ilyen, a videokonferencia népszerűsége és használata a nemzetközi választottbírósági eljárásokban olyan dolog, amellyel az ütemtervnek foglalkoznia kellene, de nem tette meg - vagy legalábbis még nem tette meg.

Bár sokan megvitatták és rámutattak a videohallgatások problémáira, a legtöbben nem foglalkoztak azzal, hogy a személyes adatok védelmére vonatkozó jogszabályokat hogyan kell alkalmazni rájuk, nemcsak a személyes adatok védelme, hanem a biztonság tekintetében is, mivel egyes platformokat biztonsági támadások értek.[liv]

A fentiekben leírtak szerint elengedhetetlen, hogy megértsük a GDPR-rel kapcsolatos választottbírósági eljárásban részt vevő felek különböző szerepeit, nevezetesen azt, hogy kik az "adatkezelők" és az "adatfeldolgozók". Ha a videokonferencia-szoftver bármilyen személyes adatot, például a fél által a szolgáltatás használatából származó felhasználónevet és e-mail címet feldolgoz, akkor "adatfeldolgozónak" minősül. Ez azt jelenti, hogy be kell tartania a GDPR szabályait, ha a résztvevők bármelyike az EU-ban rendelkezik lakóhellyel. Mivel a Törvényszék az "adatkezelő", a Törvényszék felelőssége lesz az ilyen megfelelés biztosítása.

A Nemzetközi Kereskedelmi Kamara (ICC) iránymutatást adott ki[lv] amely a feleknek javasolt záradékokat biztosít a kiberbiztonsági jegyzőkönyvekhez és virtuális meghallgatásokhoz. Célja a biztonsági szempontok kezelése, de nem foglalkozik a személyes adatok védelmével. Az ütemtervnek meg kell tárgyalnia azokat a lehetőségeket, amelyekben a személyes adatok védelme a virtuálisan lefolytatott meghallgatások esetében alkalmazandó, és azt is, hogy miként lehet ezt betartani. A GDPR meghatározza ugyan a videokonferenciák tekintetében teljesítendő követelményeket, de nem ad iránymutatást arra vonatkozóan, hogy a követelmények hogyan alkalmazhatók közvetlenül.

Bár az ütemterv nem ad ajánlásokat konkrét szoftverszolgáltatókra vonatkozóan, összeállíthatná és a gyakorlati szakemberek rendelkezésére bocsáthatná a videohallgatásokhoz ideális szoftverek szükséges specifikációinak listáját, ahogyan mellékleteiben számos más kérdésre vonatkozó ellenőrző listákat is tartalmaz.

Hogyan illeszkednek a harmadik féltől származó finanszírozók a képbe?

Harmadik fél finanszírozónak minősül a választottbírósági eljárásban részt nem vevő bármely olyan fél, amely megállapodást köt az eljárás költségeinek részben vagy egészben történő finanszírozására egy olyan összegért cserébe, amely részben vagy egészben az ügy kimenetelétől függ.[lvi] A harmadik fél finanszírozók hozzáférnek a különböző személyes adatokhoz az általuk finanszírozott vagy finanszírozást fontolgató választottbírósági eljárásokban. Bár az ütemterv kifejezetten csak a választottbírósági eljárásban résztvevőknek szól, kimondja, hogy az iránymutatás a szolgáltatókra is vonatkozik, akiket szintén érintenek a személyes adatok védelmére vonatkozó követelmények.[lvii]

Az ütemtervben a szolgáltatók közé tartoznak az "elektronikus felderítési szakértők, informatikai szakemberek, bírósági tudósítók, fordítási szolgáltatások stb.".[lviii] de a harmadik fél finanszírozókat nem említik kifejezetten. A GDPR értelmében a személyes adatok gyűjtése és tárolása a feldolgozás körébe tartozik. Így ha a harmadik fél finanszírozók személyes adatokat gyűjtenek másoktól, a személyes adatokra vonatkozó jogszabályok rájuk is vonatkoznak.[lix]

A GDPR lehetővé teszi, hogy egy fél személyes adatokat kezeljen, ha "az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges".[lx] amelyre a választottbírósági eljárásban részt vevők potenciálisan hivatkozhatnak a vonatkozó személyes adatok feldolgozásának alkalmazandó jogalapjaként. Erre a témára vonatkozóan korlátozott iránymutatás áll rendelkezésre.[lxi] Az ütemterv szerint:

"A jogos érdek értékelésének első lépése a jogos érdek azonosítása - mi a személyes adatok feldolgozásának célja, és miért fontos ez Önnek mint adatkezelőnek? A választottbíráskodással összefüggésben a jogos érdek lehet az igazságszolgáltatás, a felek jogainak tiszteletben tartása, valamint a követeléseknek az alkalmazandó választottbírósági szabályok szerinti gyors és tisztességes rendezése, és számos más érdek is.[lxii]

A "sok más érdek is" fogalmába esetleg beletartozhat a harmadik fél finanszírozók jogos pénzügyi érdeke is. Ha igen, akkor egyértelműen kötelesek lennének adatfeldolgozási megállapodást kötni a választottbírósági eljárásban részt vevő felekkel, és a személyes adatok védelmére vonatkozó szabályok és követelmények hatálya alá tartoznának. Érdekes módon az ütemterv nem részletezi kifejezetten, hogy a harmadik fél finanszírozók hogyan illeszkednek a képbe, különös tekintettel a választottbírósági eljárásokba való bevonásuk növekedésére.

Pajzs a titoktartásért

A személyes adatok védelmére vonatkozó kötelezettségek a visszaélések lehetőségét hordozzák magukban. A választottbírósági felek rosszhiszeműen pajzsként használhatják a GDPR-t, hogy megakadályozzák az eljárás szempontjából releváns vagy a másik fél által kért információk nyilvánosságra hozatalát. Például a fél kifogást emelhet a közzétételi kérelem ellen arra hivatkozva, hogy a dokumentumok a jogvitához nem kapcsolódó személyes adatokat tartalmaznak, vagy hogy a személyes adatok szerkesztése indokolatlanul nagy terhet jelentene.[lxiii]

Az ütemterv foglalkozik a visszaélések lehetőségével. Javasolja a személyes adatok védelmére vonatkozó kötelezettségek minél korábbi felvetését és tisztázását annak érdekében, hogy csökkenjen annak kockázata, hogy ezek hatással lesznek az eljárásokra. A résztvevőknek fontolóra kell venniük egy "adatvédelmi jegyzőkönyv" megkötését, azaz egy megállapodás megkötését arról, hogy a személyes adatok védelmét hogyan fogják alkalmazni egy adott kontextusban. Amennyiben nem lehetséges az aláírt adatvédelmi jegyzőkönyv megkötése, ezeket a kérdéseket az első számú eljárási rendben kell kezelni.[lxiv]

Összehasonlításképpen megnézhetjük a GDPR-nak való megfelelést az amerikai peres ügyekben történő felfedezés során. Az amerikai szövetségi bíróságok mérlegelési teszteket alkalmaztak annak eldöntésére, hogy elrendeljék-e a külföldi jogszabályokat, többek között a személyes adatok védelmére vonatkozó jogszabályokat potenciálisan sértő idézések vagy felfedési utasítások közzétételét vagy betartását.[lxv] Az amerikai szövetségi bíróságok által vizsgált tényezők nem kimerítő listája a következő:

  • a kért dokumentumok vagy egyéb információk fontossága a peres eljárás szempontjából;
  • a kérés konkrétságának mértéke;
  • hogy az információ az Egyesült Államokból származik-e;
  • az információ biztosításának alternatív eszközei rendelkezésre állnak-e; és
  • milyen mértékben ásná alá az USA fontos érdekeit a meg nem felelés.[lxvi]

A szövetségi bíróságok a külföldi személyes adatok védelmére vonatkozó jogszabályok esetleges megsértése ellenére gyakran megkövetelik a közzétételt.[lxvii]

A választottbíráknak a bíróságoktól eltérő megfontolásokkal kell szembenézniük, amikor arról döntenek, hogy elrendeljék-e a fél általi közzétételt. Helyes, ahogyan a szakirodalomban érvelnek,[lxviii] hogy a bíróságoknak tisztában kell lenniük a versengő jogok és kötelezettségek fényében a fenyegető megsemmisítés vagy megtagadott végrehajtás alapján az 1958 Egyezmény elismeréséről és végrehajtásáról szóló külföldi választottbírósági díjak (New York-i Egyezmény). Ez a nézet azonban nem veszi figyelembe azt a tényt, hogy a közzétételi végzések az állami bíróságok minimális felülvizsgálatának tárgyát képezik, tekintettel a bírói beavatkozás tilalmának elvére.[lxix] Számos példa van arra, hogy az állami bíróságok tartózkodnak a közzétételi végzések felülvizsgálatától.[lxx]

Tekintettel a bíróságoknak az eljárási kérdésekben biztosított mérlegelési jogkörére, a megsemmisítés vagy a végrehajtás megtagadásának veszélye valószínűleg nem lesz központi szempont. Az elkerülhetetlen, hogy a felek megpróbálnak visszaélni a GDPR kötelezettségeivel, hogy potenciális eljárási előnyre tegyenek szert, nehéz helyzetbe hozza a bíróságokat, hogy egyrészt egyensúlyt teremtsenek az érintettek érdekei, másrészt pedig fenntartsák a szilárd bizonyítási eljárást.[lxxi] A személyes adatok védelmére vonatkozó megfelelési kötelezettségek tisztázása az eljárás kezdetén - lehetőleg egy aláírt adatvédelmi jegyzőkönyvben - az ütemterv ajánlásainak megfelelően, az ilyen magatartás ellenőrzésének előfeltétele.

A személyes adatok védelmére vonatkozó követelmények be nem tartása, mint a megsemmisítés, valamint az elismerés és végrehajtás megtagadása útja

Az ütemterv nem foglalkozik azzal, hogy a személyes adatok védelmére vonatkozó követelményeknek való meg nem felelés felhasználható-e a választottbírósági ítélet hatályon kívül helyezésére, illetve elismerésének és végrehajtásának megtagadására. A feleknek nagyon korlátozott jogorvoslati lehetőségeik vannak a választottbírósági határozatokkal szemben. Mindazonáltal a sikertelen fél megtámadhatja a választottbírósági ítélet eredményét, és a főbb közös indokok egyikét felhasználva megtámadhatja a választottbírósági ítéletet, illetve megakadályozhatja annak elismerését vagy végrehajtását.

A New York-i Egyezmény jelenleg 168 szerződő állam, így ez az elsődleges jogalapja a külföldi díjak elismerése és végrehajtása a nemzetközi kereskedelmi választottbíráskodás. Az egyezmény V. cikke korlátozott indokokat tartalmaz, amelyek alapján a választottbírósági ítélet elismerése és végrehajtása megtagadható. A jelen célokból leginkább az V. cikk (2) bekezdésének b) pontja ismeri el azt a lehetőséget, hogy az aláíró állam illetékes hatósága megtagadhatja a közrendbe ütköző ítélet elismerését vagy végrehajtását.[lxxii]

A különböző joghatóságok között eltérőek azok az indokok, amelyek alapján a választottbírósági ítéletet hatályon kívül lehet helyezni. Az UNCITRAL nemzetközi kereskedelmi választottbíráskodásról szóló mintatörvénye, amelyet széles körben elfogadtak, a 34. cikk (2) bekezdésében felsorolja a megsemmisítési okokat. Ez a lista szorosan a New York-i egyezmény V. cikkének mintájára készült.[lxxiii] Cikk 34(2)(b)(ii) kimondja, hogy a választottbírósági ítéletet a bíróság hatályon kívül helyezheti, ha a díj ellentétes az állam közrendjével.[lxxiv]

Az Európai Bíróság (EB) az Eco Swiss kontra Benetton ügyben úgy ítélte meg, hogy az uniós jog kötelező erejű, felülíró rendelkezései a közrend olyan alapvető szabályainak minősülhetnek, amelyek megsértése a nemzeti jog ilyen alapon hozott választottbírósági ítélet megsemmisítésének alapját képezheti.[lxxv] Az, hogy a személyes adatok védelmére vonatkozó követelményeknek való meg nem felelés miatt egy díjat hatályon kívül lehet-e helyezni, vagy annak elismerését vagy végrehajtását meg lehet-e tagadni, attól függ, hogy a GDPR szabályai olyan kötelező erejű rendelkezéseknek tekintendők-e, amelyek megsértése ellentétes a nemzeti közrenddel.[lxxvi]

A Róma I. rendelet 9. cikkének (1) bekezdése a kényszerítő erejű rendelkezéseket úgy határozza meg, mint olyan rendelkezéseket, "amelyek tiszteletben tartását egy ország a közérdekeinek védelme szempontjából... olyan mértékben tartja döntő fontosságúnak, hogy azok a hatályukba tartozó bármely helyzetre alkalmazandók, függetlenül az egyébként alkalmazandó jogtól". Amint azt Cervenka és Schwarz korábban elismerte, a GDPR legtöbb szabálya valószínűleg az uniós jog értelmében felülíró kötelező rendelkezéseknek tekinthető. Mint ilyenek, megsértésük a közrend megsértésének tekinthető.[lxxvii]

Az a lehetőség, hogy a személyes adatok védelmére vonatkozó követelmények be nem tartása a választottbírósági ítélet megsemmisítéséhez vagy el nem ismeréséhez és végrehajtásának megtagadásához vezethet, különböző aggályokat vet fel. Először is, pontosan meg kell határozni, hogy mely személyes adatvédelmi kötelezettségek minősülnének felülíró kötelező rendelkezéseknek, mivel nem minden jogsértésnek van azonos súlya. Végső soron valószínűleg az Európai Bíróságot kell majd felkérni további pontosításra. Másodszor, figyelembe kell venni a GDPR megsértése alapján a díj végrehajtásának megtámadására vagy megtámadására vonatkozó lehetőséggel való esetleges visszaélést is, annak megakadályozása érdekében, hogy a felek szándékosan megszegjék a személyes adatok védelmére vonatkozó szabályokat annak érdekében, hogy később lehetőségük legyen a díj ellen fellebbezni. Végül meg kell határozni, hogy a személyes adatok védelmére vonatkozó szabályok az eljárásjog vagy az anyagi jog részét képezik-e, és milyen módon.[lxxviii]

Bár még sok mindent meg kell határozni, foglalkozni kell a személyes adatok védelmére vonatkozó követelmények be nem tartásának a megsemmisítésre, valamint a választottbírósági ítéletek elismerésére és végrehajtására gyakorolt következményeivel. Nagyon érdekes, hogy az ütemtervben erről nem esik szó.

Következtetés

Az útiterv célja, hogy segítsen a választottbírósági szakembereknek azonosítani és megérteni a személyes adatok védelmére és a magánélet védelmére vonatkozó kötelezettségeket, amelyeknek nemzetközi választottbírósági környezetben alávethetők. A korábban tárgyaltak szerint azonban még mindig nem foglalkozik néhány olyan konkrét kérdéssel, amelyek napjainkban relevánsak és sürgetőek. Az ebben a dokumentumban azonosított és kifejtett hat kérdés a következő:

  • a GDPR alkalmazhatósága az EU-n kívüli választottbírósági eljárásokra;
  • GDPR a NAFTA választottbírósági eljárások keretében;
  • a virtuális választottbírósági meghallgatások kérdése;
  • harmadik fél finanszírozók és helyük az ütemtervben;
  • a GDPR-ral való esetleges visszaélés; és
  • a GDPR-nak való esetleges meg nem felelés, mint a választottbírósági ítélet megsemmisítésének vagy elismerésének és végrehajtásának megtagadásához vezető út.

Ezek a kérdések mindegyike további megfontolást igényel, mivel az előrejelzések szerint az elkövetkező években csak még fontosabbá válnak. Reméljük, hogy bebizonyosodott, hogy ezek megérdemlik az ütemtervbe való felvételüket.

A mellékletek[lxxix] Az ütemtervhez hozzáadott új elemek célja, hogy segítsék a szakembereket abban, hogy a gyakorlatban is megbirkózzanak ezekkel a követelményekkel. Az Adatvédelmi ellenőrző lista, a Jogos érdekek értékelésének ellenőrző listája, a példa adatvédelmi tájékoztatók és az EU szabványos szerződési feltételek mind rendkívül értékes források, amelyeket a szakembereknek fel kell használniuk a GDPR-nak való megfelelés biztosítása érdekében.

A különböző joghatóságok közötti konfliktushelyzetben azonban a személyes adatok védelmére vonatkozó különböző nemzeti jogszabályok közötti különbségek kétértelműséghez vezethetnek. Bár az ütemtervben szereplő iránymutatások széles körűek, mégsem kötelező érvényűek. A múltban az UNCITRAL és az IBA a nemzetközi választottbíráskodás harmonizációja felé hajlott szabályai, iránymutatásai és hasonlók révén; bár ezek nem kötelező erejűek, de minden bizonnyal meggyőzőek. Ahogyan az UNCITRAL és az IBA a nemzetközi választottbíráskodás különböző aspektusai tekintetében is kísérletet tettek erre, a választottbíráskodással kapcsolatos személyes adatvédelmi követelmények harmonizálására is égető szükség van; ezért a harmonizációt szem előtt tartva kell a szükséges iránymutatásokat bevezetni.

Míg a GDPR megfelelési követelmények harmonizációja, megértése és tudatossága, valamint annak a nemzetközi választottbíráskodással kapcsolatos hatásai továbbra is hiányoznak, mi, választottbíráskodási szakemberek továbbra is a jelenleg hatályos jogi keretrendszerrel fogunk boldogulni. Mindazonáltal az ütemterv a hiányosságai ellenére egy nagyon szükséges és bátorító lépést jelent a választottbírósági résztvevők személyes adatvédelmi kötelezettségeinek közös értelmezése irányába.

[i] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet), HL 2016. L 119/1.

[ii] A "személyes adat" fogalmát a GDPR 4. cikke a következőképpen határozza meg:

(1) "személyes adat": azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható természetes személy az, aki közvetlenül vagy közvetve azonosítható, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy az adott természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző egy vagy több tényező alapján".

[iii] A GDPR területi hatályát a 3. cikk a következőképpen határozza meg:

  1. "Ez a rendelet a személyes adatoknak az adatkezelő vagy az adatfeldolgozó uniós telephelyének tevékenységével összefüggésben történő feldolgozására alkalmazandó, függetlenül attól, hogy az adatkezelésre az Unióban vagy azon kívül kerül-e sor.
  2. Ez a rendelet az Unióban tartózkodó érintettek személyes adatainak az Unióban nem letelepedett adatkezelő vagy adatfeldolgozó által történő kezelésére vonatkozik, amennyiben az adatkezelési tevékenységek a következőkkel kapcsolatosak:

(a) áruk vagy szolgáltatások felajánlása - függetlenül attól, hogy az érintettnek fizetnie kell-e - az Unióban lévő ilyen érintetteknek; vagy

(b) magatartásuk nyomon követése, amennyiben magatartásuk az Unión belül történik.

  1. Ez a rendelet a személyes adatok nem az Unióban, hanem olyan helyen letelepedett adatkezelő által végzett adatkezelésre alkalmazandó, ahol a nemzetközi közjog alapján a tagállami jog alkalmazandó.

[iv] Lásd az "adatfeldolgozó" fogalmát a GDPR 4. cikkében.

[v] GDPR 83. cikk (4) bekezdés.

[vi] "Largest fine under GDPR levied under GDPR levied against Google" (Simmons + Simmons, 2019. január 22.), lásd www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 2020. október 16.), lásd www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), lásd www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, elérés: 2021. augusztus 18.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, 2020. február), lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, elérés: 2021. augusztus 18.

[ix] Ibid., 1.

[x] PCA ügyszám: 2018-54.

[xi] ICCA és New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, hozzáférés: 2021. augusztus 18.

[xii] "Cybersecurity Guidelines" (IBA, 2018. október), lásd www.ibanet.org/LPRU/Cybersecurity, elérés: 2020. december 1.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Nemzetközi Kereskedelmi Kamara, 2020. április 9.), elérés: 2021. augusztus 18.

[xiv] Útiterv, B szakasz.

[xv] Ibid.

[xvi] GDPR 4. cikk.

[xvii] Ibid.

[xviii] GDPR 4. cikk

[xix] Ibid. 3. cikk (1) bekezdés.

[xx] Útiterv, 7.

[xxi] GDPR 4. cikk.

[xxii] Az ütemterv a "választottbírósági résztvevők" fogalmát úgy határozza meg, mint "beleértve a feleket, jogi képviselőiket, a választottbírákat és a választottbírósági intézményeket (csak)". Lásd az ütemterv (3. sz.), 2. pont.

[xxiii] GDPR 4. cikk.

[xxiv] Lásd a 2019. július 29-i ítéletet, Fashion ID GmbH & Co KG kontra Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, 74. és 85. pont. Lásd még: 2018. június 5-i ítélet, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; 2018. július 10-i ítélet, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Útiterv, 11

[xxvi] Ibid., 12.

[xxvii] GDPR 5. és 12-22. cikk; 14-15. ütemterv.

[xxviii] Például a GDPR értelmében a személyes adatok feldolgozása nemzetközi választottbírósági eljárás keretében jogszerű, ha az adatkezelő jogos érdekeinek érvényesítéséhez szükséges - az érintett érdekein és alapvető jogain alapuló korlátozásokkal -, és a választottbírósági eljárás keretében az érzékeny adatok a jogi igényekre vonatkozó eltérés (9. cikk (2) bekezdés f) pont) alapján is feldolgozhatók.

[xxix] Útiterv, 19.

[xxx] Ibid., 20-21.

[xxxi] Ibid., 30-31.

[xxxii] Ibid., 32.

[xxxiii] Ibid., 33-36.

[xxxiv] Ibid., 37-39.

[xxxv] Ibid., 37.

[xxxvi] Ibid., 39.

[xxxvii] Ibid., 40-41.

[xxxviii] Ibid., 42.

[xxxix] Ibid., 43.

[xl] GDPR 5. cikk (1) bekezdés e) pont.

[xli] Útiterv, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Az EU Bizottsága úgy ítélte meg, hogy az ország megfelelő adatvédelmet biztosít.

[xliv] Nemzetközi választottbíráskodás esetén ez valószínűleg egy szokásos szerződéses záradék.

[xlv] A választottbírósági eljárásban leginkább a jogi követelésekre vonatkozó eltérés alkalmazható, amely lehetővé teszi az adattovábbítást, ha az "jogi követelések előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges".

[xlvi] A magas küszöbérték és a bejelentési kötelezettség miatt a kényszerítő erejű jogos érdekekre való hivatkozásnak kevés gyakorlati jelentősége van. Lásd EDPB, "2/2018. iránymutatás a 49. cikk szerinti eltérésekről a 2016/679 rendelet alapján", 2018. február 6. (Adattovábbítási iránymutatás).

[xlvii] Útiterv, 8, 13.

[xlviii] Emily Hay, "A GDPR láthatatlan karja a nemzetközi szerződéses választottbíráskodásban: Can't We Make It Go Away? (Kluwer Arbitration Blog, 2019. augusztus 29.), lásd http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [hozzáférés: 2021. augusztus 18.].

[xlix] PCA 2018-54. sz. ügy.

[l] Ibid., A Törvényszék közleménye a feleknek (Perm Ct Arb, 2019).

[li] Útiterv, 37.

[lii] ICCA és New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, hozzáférés: 2021. augusztus 18.

[liii] "Cybersecurity Guidelines" (IBA, 2018. október), lásd www.ibanet.org/LPRU/Cybersecurity, elérés: 2020. december 1.

[liv] Andreas Respondek, Tasha Lim, "Kell-e az ICCA / IBA munkacsoport adatvédelmi "Roadmap" foglalkozik a GDPR hatása a videokonferencia a nemzetközi választottbírósági eljárásokban? (Kluwer Arbitration Blog, 2020. július 18.), lásd http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, elérés: 2021. augusztus 18.

[lv] "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 2020. április 9.), elérhető 2021. augusztus 18.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Útiterv, 2.

[lviii] Ibid., 23-25.

[lix] GDPR 4. cikk (2) bekezdés, lásd a fenti 1. pontot.

[lx] GDPR 6. cikk (1) bekezdés f) pont.

[lxi] Allan J Arffa és mások, "GDPR Issues in International Arbitration" (Lexology, 2020. augusztus 10.), lásd www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, hozzáférés: 2021. augusztus 18.

[lxii] Útiterv, 5. melléklet.

[lxiii] Allan J Arffa és mások, "GDPR Issues in International Arbitration" (Lexology, 2020. augusztus 10.), lásd www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> hozzáférés: 2021. augusztus 18.

[lxiv] Útiterv 40-41.

[lxv] Lásd például: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 2020. február 6.), lásd www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> hozzáférés: 2021. augusztus 18.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, Nemzetközi kereskedelmi választottbíráskodás (2. kiadás, Kluwer Law International 2014), 2335.

[lxx] Ibid. Born az alábbi ítéleteket idézi ennek az érvelésnek a megerősítésére: január 22-i ítélet, Société Nat'l Cie for Fishing & Marketing "Nafimco" kontra Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "a választottbíróságnak a felfedezés elrendelésére vonatkozó döntése eljárási mérlegelési jogkörébe tartozik, és azt a bíróságok nem vizsgálhatják felül"; Karaha Bodas Co kontra Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): A közzétételi kérelmek "a Törvényszék mérlegelési jogkörének ésszerű gyakorlásán belül vannak".

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 2019. december 4.), lásd www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, elérés: 2021. augusztus 18.

[lxxii] New York-i Egyezmény, V. cikk(2): "A választottbírósági ítélet elismerése és végrehajtása akkor is megtagadható, ha az illetékes hatóság abban az országban, ahol az elismerést és végrehajtást kérik, megállapítja, hogy... (b) A díj elismerése vagy végrehajtása ellentétes lenne az adott ország közrendjével.".

[lxxiii] ENSZ főtitkár, Analitikai kommentár a nemzetközi kereskedelmi választottbíráskodásról szóló mintatörvény tervezetéhez, A/CN.9/264 (1985), 34. cikk, 6. bekezdés.

[lxxiv] UNCITRAL Model Law on International Commercial Arbitration, Art 34(2): "A választottbírósági ítéletet a 6. cikkben meghatározott bíróság csak akkor lehet hatályon kívül helyezni, ha...(b) a bíróság megállapítja, hogy... (ii) a díjat ellentétes a közrend e állam".

[lxxv] Az 1999. június 1-jei Eco Swiss China Time Ltd kontra Benetton International NV C-126/97. sz. ügy (EBHT 1999., I-03055. o.), (1) bekezdés. 39. és 41. pont. Az EU közrendjének részletes tárgyalását lásd: Sacha Prechal és Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka és Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] Ezen és más kérdések részletesebb tárgyalását lásd: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seqq; Cervenka and Schwarz, lásd fentebb 76. n., 84-85. o..

[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, 2020. február), lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, hozzáférés: 2021. augusztus 18.

Ez a cikk először a Dispute Resolution International című folyóirat 2021. októberi 15. számában jelent meg, és a londoni International Bar Association (London, Egyesült Királyság) szíves engedélyével közöljük. © International Bar Association.