Nyelvek

A titánok összecsapása: GDPR és a nemzetközi választottbíráskodás - egy pillantás a jövőbe

Kiadványok: november 10, 2021

Vissza az áttekintéshez

Szerzők

Catherine Raudaschl

Kapcsolódó szakértői útmutatók

Bevezetés

Az elmúlt években kérdések merültek fel a személyes adatok védelmének és a kiberbiztonságnak a nemzetközi választottbírósági eljárások tényleges lefolytatására gyakorolt gyakorlati hatásaival kapcsolatban - különösen, ha figyelembe vesszük a technológiai változások folyamatos ütemét.

Az általános adatvédelmi rendelet (GDPR)[1] 2020 májusában ünnepelte második születésnapját. A GDPR személyes adatok védelmére vonatkozó keretrendszer célja, hogy biztosítsa az "azonosított vagy azonosítható természetes személy(ek) személyes adatainak szabad áramlását."[2] Az Európai Unión belül alkalmazandó, és területen kívüli hatálya az EU-n kívülre is kiterjedhet;[3 ] a GDPR nemcsak minden természetes vagy jogi személyt érinthet, hanem a hatóságokat, ügynökségeket és egyéb szerveket - esetleg nemzetközi szervezeteket is beleértve - személyes adatvédelmi kötelezettségeknek is aláveti.[4] A GDPR szankciói a jogsértő szervezet előző pénzügyi évben elért világméretű éves forgalmának 4 százalékát vagy 20 millió eurót tehetnek ki, attól függően, hogy melyik a magasabb összeg.[5] Hogy komolyan kell venni az alkalmazását, azt már több joghatóságban kiszabott több millió eurós bírságok is bizonyították[6].

Bár a személyes adatok védelmére vonatkozó jogszabályok alkalmazása a választottbíráskodásra már megalapozott, a jogszabályok alkalmazásának módja nem. Ezért a Kereskedelmi Választottbíráskodás Nemzetközi Tanácsa (ICCA) és a Nemzetközi Ügyvédi Kamara (IBA) 2019 februárjában közös munkacsoportot hozott létre a nemzetközi választottbírósági eljárásokban alkalmazott adatvédelemmel kapcsolatban, amelynek célja egy olyan útmutató elkészítése, amely gyakorlati útmutatást nyújt a személyes adatok nemzetközi választottbírósági eljárásban történő védelméhez. A munkacsoport 2020 márciusában közzétette az útmutató konzultációs tervezetét[7],[8] a jelen kommentár ezen az útiterv-tervezeten (a továbbiakban: útiterv) alapul,[9] az útiterv végleges, felülvizsgált változatát pedig várhatóan 2021 szeptemberében teszik közzé. Bár a konzultációs tervezetre vonatkozó észrevételek benyújtásának határideje e cikk írásakor már lejárt, az Útiterv előzetes változata mindazonáltal jól szemlélteti a GDPR által a nemzetközi választottbírósági eljárásokban felvetett kérdéseket. Ezért a vita alapjául szolgál majd.

A legtöbb személyes adatok védelmére vonatkozó jogszabály kötelező a választottbírósági eljárásokban, azaz előírja:

  • milyen személyes adatok dolgozhatók fel;
  • hol;
  • milyen eszközökkel;
  • milyen információbiztonsági intézkedésekkel; és
  • mennyi ideig.[9]

Nem foglalkoznak azonban azzal, hogy ezeket a kötelező érvényű kötelezettségeket hogyan kell betartani a választottbírósági eljárásokban. A szabályozó hatóságoktól származó konkrét útmutatás hiányában az ütemterv célja, hogy segítse a választottbírósági szakembereket a nemzetközi választottbírósági eljárás során rájuk háruló adatvédelmi és magánéletvédelmi kötelezettségek azonosításában és megértésében. Továbbá a GDPR-védelem mértéke továbbra is releváns marad a nemzetközi választottbírósági eljárásokban, főként abban a tekintetben, hogy a GDPR-jogszabályok alkalmazandók-e az EU-n kívüli székhelyű választottbírósági eljárásokra. Ha a GDPR-t a választottbíráskodásra is alkalmazni kell, annak számos további következménye van: először is, hogy tilos-e a személyes adatok feldolgozása, másodszor, hogy vannak-e korlátozások a személyes adatok EU-n kívüli továbbítására vonatkozóan. Végül pedig a kibertámadások növekvő gyakorisága miatt egy ilyen támadás következményei jelentős károkat okozhatnak egy választottbírósági eljárásnak.

E cikk célja, hogy kommentálja az ütemtervet, és feltárja azokat a gyakorlati intézkedéseket, amelyeket a nemzetközi választottbírósági eljárásokban a személyes adatok védelmére vonatkozó kötelezettségek tekintetében figyelembe kell venni. Az ütemtervet ígéretes, bár hiányos eszközként határozza meg, amely kiegészíti a nemzetközi választottbíráskodás harmonizálására tett különböző nem kötelező erejű jogi kísérleteket, különösen az IBA és az ENSZ Nemzetközi Kereskedelmi Jogi Bizottsága (UNCITRAL) eszközeit.

Először az ütemterv rövid összefoglalása következik, amely a GDPR alapelveire való hivatkozást is magában foglalja. Ennek nem célja, hogy átfogó áttekintést nyújtson, hanem inkább az ütemterv főbb pontjait mutatja be, hogy az olvasó számára kontextust biztosítson a későbbi vitához. Másodszor, egy kommentár következik, amely hat releváns kérdést érint:

  • a GDPR alkalmazhatósága az EU-n kívüli választottbírósági eljárásokra;
  • a GDPR az Észak-amerikai Szabadkereskedelmi Megállapodás (NAFTA) szerinti választottbírósági eljárások összefüggésében, amint azt a Tennant Energy, LLC kontra Kanada kormánya ügyben[10] bemutatták.
  • a videokonferencia kérdése, amelynek jelentősége a Covid-19 járvány során jelentősen megnőtt, beleértve az "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Cybersecurity Protocol)[11] az IBA Cybersecurity Guidelines[12] és az ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic;[13] hivatkozásokat;[14]
  • "harmadik fél finanszírozók" és az ütemtervben való figyelembevételük;
  • a GDPR-ral való visszaélés, különösen mint a titoktartás pajzsa; és
  • a személyes adatok védelmére vonatkozó követelményeknek való meg nem felelés felhasználásának lehetősége a választottbírósági ítélet megsemmisítéséhez vagy elismerésének és végrehajtásának megtagadásához vezető útként.

A zárófejezetben záró gondolatokat fogalmazunk meg.

Az ütemterv

A magánszemélyeket és a jogi személyeket az érintettek személyes adatainak védelmére vonatkozó kötelezettségek terhelik. Magára a választottbíráskodásra nem vonatkoznak a személyes adatok védelmére vonatkozó kötelezettségek. Ha azonban a választottbírósági eljárásnak csak egy résztvevőjére vonatkoznak a személyes adatok védelmére vonatkozó kötelezettségek, a választottbírósági eljárás egészére hatással lehet. Az, hogy a személyes adatok feldolgozása a vonatkozó jogszabályok, az anyagi és a joghatósági hatály alá tartozik-e, meghatározza, hogy a személyes adatok védelmére vonatkozó jogszabályok alkalmazandók-e.[14].

A modern személyesadat-védelmi jogszabályok minden olyan esetben alkalmazandók, amikor az érintettre vonatkozó személyes adatokat a vonatkozó személyesadat-védelmi jogszabályok joghatósági hatálya alá tartozó tevékenységek során kezelnek.[15 ] A személyes adatok közé tartozik "minden olyan információ, amely azonosított vagy azonosítható természetes személyre vonatkozik."[16 ] A tipikus választottbírósági eljárások során jelentős mennyiségű információ cseréjére kerül sor, többek között a felekre, azok tanácsadóira, a bíróságra és harmadik felekre vonatkozóan. Mint ilyenek, valószínűleg úgy tekinthetők, mint amelyek a "személyes adatok" fogalommeghatározása alá tartoznak. Az "érintettek" a fent említett, azonosított vagy azonosítható személyekre vonatkozik.[17] Az adatkezelés aktív és passzív műveleteket foglal magában, így magában foglalja a személyes adatok felhasználását, terjesztését és törlését, valamint a személyes adatok fogadását, rendszerezését és tárolását.[18] Az alkalmazási kör magában foglalja a műveleteket minden olyan esetben, amikor a személyes adatokat az adatkezelő vagy az adatfeldolgozó EU-n belüli telephelyének tevékenységével összefüggésben dolgozzák fel[19], valamint extraterritoriálisan, például amikor a személyes adatokat az EU-n kívülre továbbítják olyan szervezetek vagy személyek részére, akik más okokból nem tartoznak már a GDPR hatálya alá[20].

A választottbírák adatkezelőnek minősülnek, ami azt jelenti, hogy felelősek lesznek a személyes adatok védelmére vonatkozó jogszabályok betartásáért. Az "adatkezelő"[21 ] meghatározása alapján azonban[22 ] a legtöbb választottbírósági résztvevő, beleértve a tanácsadókat, a feleket és az intézményt is, valószínűleg annak minősül. Az adatkezelők az adatfeldolgozást átruházhatják az adatfeldolgozókra,[23] akik az ő ellenőrzésük alatt állnak, és az alkalmazandó jog által előírt feltételek szerinti adatfeldolgozási megállapodásokra van szükségük. Így a titkárok, átírók, fordítók és mások valószínűleg mind adatfeldolgozóknak minősülnek. További kérdés a közös adatkezelők kérdése, akik közösen határozzák meg az adatfeldolgozás céljait és eszközeit. A közös adatkezelést tágan értelmezik, de a közös adatkezelő felelőssége csak az általa meghatározott adatkezelésre, annak céljára és eszközeire korlátozódik, nem pedig a teljes adatkezelésre[24].

A nemzetközi választottbírósági eljárásokban a személyes adatok joghatóságok közötti továbbítására vonatkozó korlátozások a személyes adatok védelmére vonatkozó jogszabályok alkalmazásának nyilvánvaló módja. A különböző választottbírósági résztvevők háttere határozza meg a különböző személyes adatvédelmi rendszerek alkalmazását. A modern személyesadat-védelmi jogszabályok korlátozzák a személyes adatok harmadik országokba történő továbbítását annak biztosítása érdekében, hogy a jogi kötelezettségeket ne lehessen megkerülni a személyes adatoknak a személyes adatok védelmére vonatkozó alacsonyabb normákkal rendelkező joghatóságokba történő továbbításával.[25] A GDPR akkor engedélyezi a személyes adatok harmadik országba történő továbbítását, ha az alábbiak valamelyike bekövetkezik:

  • az országot az EU Bizottsága úgy ítélte meg, hogy megfelelő személyesadat-védelmet biztosít;
  • a kifejezetten felsorolt biztosítékok valamelyikét bevezetik;
  • az eltérés lehetővé teszi az adattovábbítást, amennyiben az jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges; vagy
  • valamelyik fél kényszerítő jogos érdeke[26].

Ezek a szabályok a választottbírósági résztvevőkre és nem a választottbírósági eljárás egészére vonatkoznak, így kötelezővé teszik, hogy minden választottbírósági résztvevő mérlegelje, milyen személyesadat-továbbítási korlátozások vonatkoznak rá.

A választottbíráskodásban alkalmazandó személyes adatvédelmi elvek közé tartozik a tisztességes és jogszerű adatkezelés, az arányosság, az adatok minimalizálása, a célhoz kötöttség, az érintettek jogai, a pontosság, az adatbiztonság, az átláthatóság és az elszámoltathatóság[27].

Ezen elvek közül néhány további megjegyzést igényel. A tisztességes és jogszerű adatkezelés azt jelenti, hogy a személyes adatokat csak olyan módon lehet feldolgozni, amelyet az érintettek ésszerűen elvárnak, és hogy az adatkezelésnek kell, hogy legyen jogalapja. A méltányosság elvét alkalmazva a félnek és védőinek fel kell tenniük a kérdést, hogy az összes tényállás összefüggésében az érintettek számítottak-e arra, hogy személyes adataikat ilyen módon kezelik, hogy ez hátrányos következményekkel jár-e rájuk nézve, és hogy ezek a következmények indokoltak-e. Ez az elv nem akadályozza meg, hogy az üzleti e-mailekben talált személyes adatokat bizonyítékként elfogadják.

A jogszerű adatkezelés fogalma olyan jogalapot foglal magában, amely tényalapú és esetspecifikus. Ahelyett, hogy a hozzájárulásra hagyatkoznánk, a GDPR-ban szereplő konkrét jogalapokra kell hivatkozni[28].

Az arányosság megköveteli az adatkezelés jellegének, terjedelmének, kontextusának és céljainak mérlegelését az érintettre jelentett kockázatokhoz viszonyítva.[29] Az adatminimalizálás megköveteli a választottbírósági résztvevők számára, hogy az adatkezelést a megfelelő, releváns és a szükségesre korlátozott személyes adatokra korlátozzák.[30] Az átláthatóság megköveteli, hogy az érintetteket általános értesítések, egyedi értesítések vagy mindkettő útján tájékoztassák a személyes adatok feldolgozásáról és feldolgozásának céljáról.[31] Az elszámoltathatóság az adatvédelmi megfelelésért való személyes felelősségre vonatkozik, ami azt jelenti, hogy a választottbírósági résztvevőknek dokumentálniuk kell minden személyes adatvédelmi intézkedést és döntést, amelyet a megfelelés bizonyítása érdekében hoztak.[32] Az átláthatóság megköveteli, hogy az érintetteket tájékoztassák a személyes adatok feldolgozásáról és feldolgozásának céljáról.

A személyes adatok védelmének való megfelelés a nemzetközi választottbírósági eljárás egyes lépéseit érinti, nemcsak maga a választottbírósági eljárás, hanem az előkészületek során is. A választottbírósági résztvevőknek már a kezdetektől fogva mérlegelniük kell, hogy mely személyesadat-védelmi jogszabályok vonatkoznak rájuk és más választottbírósági résztvevőkre, és hogy mely választottbírósági résztvevők kezelnek majd személyes adatokat adatkezelőként, adatfeldolgozóként vagy közös adatkezelőként. Figyelembe kell venni a harmadik országok személyes adatok továbbítására vonatkozó szabályait és a harmadik fél szolgáltatókra vonatkozó személyesadat-feldolgozási megállapodásokat is. A dokumentumgyűjtési és felülvizsgálati folyamat során a feleknek és jogi tanácsadóiknak szükségük van a feldolgozási tevékenységek és a harmadik országbeli személyes adatok továbbításának jogalapjára[33].

A választottbírósági eljárás iránti kérelem, valamint az azt követő beadványok olyan személyes adatokat tartalmaznak, amelyek egyértelműen az adatkezelés körébe tartoznak. Ha a választottbírósági intézményt kötik az alkalmazandó személyesadat-védelmi jogszabályok, akkor figyelembe kell vennie az egyes eljárási lépések során alkalmazandó esetleges személyesadat-védelmi kötelezettségeket. Ha egy választottbírósági intézmény a GDPR hatálya alá tartozik, akkor jellemzően a személyes adatok adatkezelőjévé válik. A GDPR 13. és 14. cikkének való megfelelés érdekében az ilyen intézménynek a biztonsági intézkedésekre, az érintettek jogainak gyakorlására, a nyilvántartások vezetésére, valamint az adatok megsértésére és megőrzésére vonatkozó politikára vonatkozó információkat kell belefoglalnia az adatvédelmi tájékoztatójába.[34] A befektető-állami választottbírósági eljárásokat intéző nemzetközi szervezetek azonban az alapító államban vagy a fogadó országgal kötött megállapodásban foglalt kiváltságok és mentességek miatt kikerülhetnek a személyes adatok védelmére vonatkozó jogszabályok hatálya alól. Itt tehát külön mérlegelni kell, többek között azt, hogy a szervezetet kötik-e a személyes adatok védelmére vonatkozó jogszabályok, és hogy a választottbírósági eljárásban részt vevőkre vonatkoznának-e - és ha igen, milyen mértékben - a kiváltságok és mentességek[35].

A választottbírák választottbíróságba történő kinevezése során általában jelentős mennyiségű potenciális választottbíró személyes adatait cserélik ki. A választottbírósági résztvevőknek jogi közleményeikben fel kell tüntetniük e személyes adatok kezelésének jogalapját, és kifejezetten értesíteniük kell a kinevezésre szóba jöhető választottbírókat személyes adataik kezeléséről, különösen a személyes adatok harmadik országba történő továbbítása esetén[36].

Ha a választottbírósági eljárás már folyamatban van, a kockázatok minimalizálása érdekében a személyes adatok védelmével kapcsolatos megfelelési felelősségeket idejekorán ki kell osztani. A személyes adatok védelmét fel kell venni az első eljárási konferencia napirendjére, és a választottbírósági résztvevőknek meg kell próbálniuk a lehető legkorábban megállapodni arról, hogy hogyan kezeljék a személyes adatok védelmének való megfelelést. A feleknek, a jogtanácsosaiknak és a választottbíróknak fontolóra kell venniük, hogy a megfelelési kérdések hatékony kezelése érdekében személyes adatvédelmi jegyzőkönyvet írjanak alá. Amennyiben ez nem lehetséges, alternatív lehetőség, hogy a Törvényszék ezeket az első számú eljárási rendbe foglalja[37].

A dokumentumok előállítása és nyilvánosságra hozatala során különösen fontos a személyes adatok minimalizálásának elve. A GDPR értelmében ez valószínűleg megkövetelné:

  • a nyilvánosságra hozott személyes adatoknak a releváns és nem duplikatív adatokra való korlátozása;
  • a válaszadó anyagban szereplő személyes adatok azonosítása; és
  • a szükségtelen személyes adatok szerkesztése vagy álnevesítés.

Ezeket a kérdéseket is az eljárás korai szakaszában, lehetőleg az első eljárási értekezleten vagy azt megelőzően kell megvizsgálni[38].

A választottbíráknak és az intézményeknek a díjak odaítélésekor mérlegelniük kell a személyes adatoknak a díjakba való felvételének alapját és szükségességét. Ha a választottbírósági eljárás bizalmas, akkor is fennáll a veszélye annak, hogy a választottbírósági ítélet végrehajtásakor nyilvánosságra kerül. Még ha a személyes adatokat szerkesztik is, azok jellemzően személyes adatok maradnak, mivel az érintett azonosítható a díj többi részéből vagy a kapcsolódó anyagokból[39].

Az adatok megőrzése és törlése a GDPR értelmében adatkezelésnek minősül, amely előírja, hogy a személyes adatokat "az érintettek azonosítását lehetővé tevő formában legfeljebb a személyes adatok kezelésének céljaihoz szükséges ideig kell megőrizni."[40] Az adatkezelőknek mérlegelniük, dokumentálniuk és igazolniuk kell a tárolás időtartamát. Az adatkezelőknek mérlegelniük kell, hogy milyen adatmegőrzési időtartam ésszerű, és arányos megközelítést kell alkalmazniuk, hogy egyensúlyt teremtsenek szükségleteik és az adatmegőrzésnek az érintettre gyakorolt hatása között[41].

A GDPR alkalmazhatósága az EU-n kívül tartott választottbírósági eljárásokban

Az általános adatvédelmi rendelet területi hatálya viszonylag széles. A gyakorlati szakembereknek tisztában kell lenniük annak alkalmazásával, függetlenül attól, hogy az EU területén találhatóak-e, vagy a választottbírósági eljárásra nem az EU területén kerül-e sor. A GDPR a személyes adatoknak az EU-ban letelepedett adatkezelők vagy adatfeldolgozók által végzett feldolgozására vonatkozik, függetlenül attól, hogy maga a feldolgozás az EU-ban történik-e (3. cikk (1) bekezdés). Ezen túlmenően, amikor áruk vagy szolgáltatások uniós polgároknak történő felkínálásáról vagy az EU-n belül zajló magatartás nyomon követéséről van szó, a GDPR a személyes adatoknak az EU-ban nem letelepedett adatkezelő vagy adatfeldolgozó által történő feldolgozására is vonatkozik (3. cikk (2) bekezdés).

A GDPR választottbírósági kontextusban alkalmazva az anyagi és területi hatálya alá tartozó adatkezelőkre és adatfeldolgozókra - választottbírókra, tanácsadókra, felekre és intézményekre - ró kötelezettségeket, nem pedig közvetlenül a választottbírósági eljárásra. Még ha csak egy választottbírósági résztvevő is kapcsolódik az EU-hoz, akkor is köteles lesz a személyes adatokat a GDPR-nak megfelelően feldolgozni. Az eljárás egészére nézve következményekkel járhat[42].

A nemzetközi választottbíráskodással összefüggésben - ahol a személyes adatokat tartalmazó választottbírósági anyagok továbbítása mindennapos - talán a legjelentősebbek a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli "harmadik országokba" történő továbbítására vonatkozó korlátozások. Ilyen esetben a személyes adatok továbbításának engedélyezéséhez a négy jogalap valamelyike szükséges. Először is, a harmadik országba történő adattovábbítás akkor engedélyezett, ha a harmadik ország megfelelőségi határozat hatálya alá tartozik (45. cikk (1) bekezdés)[43] Ha ez nem áll fenn, akkor a megfelelő biztosítékok egyikét (46. cikk (1) bekezdés) kell bevezetni, amennyiben ez megvalósítható.[44] Ha nincs megfelelőségi határozat, és valamelyik megfelelő biztosíték nem megvalósítható, akkor különleges eltérésre lehet hivatkozni (49. cikk (1) bekezdés)[45 ].[46 ] Végül, a fentiek hiányában a fél a személyes adatok harmadik fél részére történő továbbításának jogalapjaként hivatkozhat kényszerítő erejű jogos érdekre (49. cikk (1) bekezdés)[46].

Az ütemterv meglehetősen átfogóan meghatározza a választottbírósági résztvevők által elvégzendő szükséges megfontolásokat. Többször hangsúlyozza, hogy a személyes adatok védelmének elvei és az adattovábbítási szabályok a választottbírósági résztvevőkre, és nem a választottbírósági eljárásra mint olyanra vonatkoznak[47].[47] Ezzel összhangban a feltételezett következtetés az, hogy egy olyan nem uniós választottbírósági eljárás uniós székhelyű választottbírájának, amely egyébként nem tartozik a GDPR hatálya alá, ennek ellenére meg kell felelnie a GDPR személyes adatok feldolgozására és továbbítására vonatkozó követelményeinek. Ez valóban általánosan elfogadott a kereskedelmi választottbírósági eljárásokban,[48] de a helyzet nem ilyen egyértelmű a befektetői államközi választottbíráskodás esetében.

A Tennant Energy, LLC kontra Kanada kormánya ügyben a Tennant Energy, LLC kontra Kanada kormánya

2019-ben a Tennant Energy, LLC kontra Government of Canada (Tennant) NAFTA 11. fejezet szerinti választottbírósági eljárásban[49] a Tennant, a felperes felvetette a GDPR-nak az eljárásra való alkalmazásának kérdését, tekintettel a bíróság egyik tagjának brit állampolgárságára és lakóhelyére. A Törvényszék azonban utasításokat adott ki a feleknek, amelyek szerint "a NAFTA 11. fejezete szerinti választottbírósági eljárás, amely olyan szerződés, amelynek sem az Európai Unió, sem annak tagállamai nem részesei, vélhetően nem tartozik a GDPR tárgyi hatálya alá"[50].

Fontos különbséget tenni a szerződésen alapuló és a kereskedelmi választottbíráskodás között, a Tennant az előbbi kategóriába tartozik. Az ütemterv foglalkozik ezzel a megkülönböztetéssel, megjegyezve, hogy a nemzetközi szervezetek kizárhatók a személyes adatok védelmére vonatkozó jogszabályok hatálya alól.[51] A Tennant-választottbírósági eljárásban a választottbíróság tagjaira vonatkozhatnak bizonyos mentességek, amelyek az Állandó Választottbíróságnak (PCA) a Hollandiával kötött székhely-megállapodásából erednek. A NAFTA-törvényszék azonban nem vizsgálta meg, hogy nemzetközi szervezetként a PKA-ra vonatkoznak-e a GDPR átadásra vonatkozó szabályai, vagy hogy a törvényszék tagjai a megállapodásból bizonyos mentességeket származtatnának.

A Tennant-irányzat több kérdést vet fel, mint amennyit megválaszol a GDPR-nak a NAFTA-eljárásokra és általánosabban a szerződésen alapuló választottbírósági eljárásokra való alkalmazhatóságával kapcsolatban, amelynek árnyalt tárgyalása meghaladja jelen kereteinket. Mindazonáltal a Tennant-irányelv az ütemterv fényében szemlélve azt mutatja, hogy ez a téma továbbra is rendkívül bizonytalan. A legjobb esetben is kérdéses, hogy az útiterv tisztázza-e az ilyen kérdéssel szembesülő választottbírósági résztvevők helyzetét, különös tekintettel arra, hogy az útitervet a Tennant-irányelv kiadása után adták ki, de ez utóbbit nem vette figyelembe.

A videokonferencia kérdése

Az ütemterv elismeri a személyes adatok biztonságának fontosságát. A virtuális meghallgatások, valamint az otthonról történő munkavégzés megkönnyítése érdekében a közelmúltban alkalmazott további technológiák használata miatt azonban - amelyet leginkább a Covid-19 világjárvány által ránk kényszerített jelenlegi körülmények táplálnak - ez a kérdés további súlyt kap. A kiberbiztonsági jegyzőkönyv[52] és az IBA kiberbiztonsági iránymutatásai[53] némi fényt vetettek a kérdésre.

Az ütemtervhez hasonlóan a kiberbiztonsági jegyzőkönyv is több alapelvet határoz meg. Az arányosság elve érvényesül, a Törvényszék hatáskörrel és mérlegelési jogkörrel rendelkezik az alkalmazott biztonsági intézkedések meghatározására, és az információbiztonság olyan kérdés, amelyet az első ügykezelési konferencián kell megvitatni. A kiberbiztonsági jegyzőkönyv A. jegyzéke egy ellenőrző listát tartalmaz, amelyet a választottbírósági eljárásban részt vevő felek az eljárás védelme érdekében használhatnak.

A Covid-19 világjárvány miatt a munkamódszerekben és -környezetekben a közelmúltban bekövetkezett változást követően ezeknek a kérdéseknek nagyobb hangsúlyt kell kapniuk. Egy olyan világban, ahol az üzleti élet új módszereinek megtalálására és a bizonytalan időkhöz való alkalmazkodásra van szükség, a jogi ágazat egyik problémája a korlátozásokkal és a társadalmi távolságtartás szükségességével kombinált meghallgatások kérdése. Mint ilyen, a videokonferencia népszerűsége és használata a nemzetközi választottbírósági eljárásokban olyan dolog, amellyel az ütemtervnek foglalkoznia kellene, de nem tette meg - vagy legalábbis még nem tette meg.

Bár sokan megvitatták és rámutattak a videokonferenciák problémáira, a legtöbben nem foglalkoztak azzal, hogy a személyes adatok védelmére vonatkozó jogszabályokat hogyan kell alkalmazni rájuk, nemcsak a személyes adatok védelme, hanem a biztonság tekintetében is, mivel egyes platformokat biztonsági támadások értek[54].

A fentiekben tárgyaltak szerint elengedhetetlen, hogy megértsük a választottbírósági eljárásban részt vevő felek különböző szerepeit a GDPR tekintetében, nevezetesen azt, hogy kik az "adatkezelők" és az "adatfeldolgozók". Ha a videokonferencia-szoftver bármilyen személyes adatot, például a fél által a szolgáltatás használatából származó felhasználónevet és e-mail címet kezel, akkor "adatfeldolgozónak" minősül. Ez azt jelenti, hogy be kell tartania a GDPR szabályait, ha a résztvevők bármelyike az EU-ban rendelkezik lakóhellyel. Mivel a Törvényszék az "adatkezelő", a Törvényszék felelőssége lesz az ilyen megfelelés biztosítása.

A Nemzetközi Kereskedelmi Kamara (ICC) kiadott egy útmutatót[55], amely a feleknek javasolt záradékokat nyújt a kiberbiztonsági jegyzőkönyvekre és a virtuális tárgyalásokra vonatkozóan. Célja a biztonsági szempontok kezelése, de nem foglalkozik a személyes adatok védelmének szempontjával. Az ütemtervnek ki kellene térnie azokra a lehetőségekre, amelyekben a személyes adatok védelme a virtuálisan lefolytatott meghallgatásokra vonatkozna, és arra is, hogy miként lehet ezt betartani. A GDPR meghatározza ugyan a videokonferenciák tekintetében teljesítendő követelményeket, de nem ad iránymutatást arra vonatkozóan, hogy a követelmények hogyan alkalmazhatók közvetlenül.

Bár az ütemterv nem ad ajánlásokat konkrét szoftverszolgáltatókra vonatkozóan, összeállíthatná és a gyakorlati szakemberek rendelkezésére bocsáthatná a videohallgatásokhoz ideális szoftverek szükséges specifikációinak listáját, ahogyan mellékleteiben számos más kérdésben is biztosít ellenőrző listákat.

Hogyan illeszkednek a harmadik fél finanszírozók a képbe?

Harmadik fél finanszírozónak minősül a választottbírósági eljárásban részt nem vevő bármely olyan fél, aki megállapodást köt az eljárás költségeinek teljes vagy részleges finanszírozására egy olyan összegért cserébe, amely részben vagy egészben az ügy kimenetelétől függ.[56] A harmadik fél finanszírozók hozzáférnek az általuk finanszírozott vagy finanszírozást fontolgató választottbírósági eljárások különböző személyes adataihoz. Bár az ütemterv kifejezetten csak a választottbírósági eljárásban részt vevőknek szól, kimondja, hogy az iránymutatás a szolgáltatókra is vonatkozik, akiket szintén érintenek a személyes adatok védelmére vonatkozó követelmények[57].

Az ütemtervben a szolgáltatók közé tartoznak az "elektronikus felderítési szakértők, informatikai szakemberek, bírósági tudósítók, fordítási szolgáltatások stb."[58 ], de a harmadik fél finanszírozókat nem említi kifejezetten. A GDPR értelmében a személyes adatok gyűjtése és tárolása az adatfeldolgozás körébe tartozik. Így ha a harmadik fél finanszírozók személyes adatokat gyűjtenek másoktól, a személyes adatokra vonatkozó jogszabályok rájuk is vonatkoznának[59].

A GDPR lehetővé teszi, hogy egy fél személyes adatokat dolgozzon fel, ha "az adatkezelés az adatkezelő vagy egy harmadik fél által követett jogos érdekek érdekében szükséges"[60],[60] amelyre a választottbírósági résztvevők potenciálisan hivatkozhatnak a vonatkozó személyes adatok feldolgozásának alkalmazandó jogalapjaként. Erre a témára vonatkozóan korlátozott iránymutatás áll rendelkezésre.[61] Az ütemterv kimondja:

"A jogos érdek értékelésének első lépése a jogos érdek azonosítása - mi a személyes adatok feldolgozásának célja, és miért fontos ez Önnek mint adatkezelőnek? A választottbíráskodással összefüggésben a jogos érdek lehet az igazságszolgáltatás, a felek jogainak tiszteletben tartása, valamint a követeléseknek az alkalmazandó választottbírósági szabályok szerinti gyors és tisztességes rendezése, és számos más érdek is."[62].

A "sok más érdek is" bevonása esetleg magában foglalhatja a harmadik fél finanszírozók jogos pénzügyi érdekét is. Ha ez így van, akkor egyértelműen kötelesek lennének adatfeldolgozási megállapodásokat kötni a választottbírósági eljárásban részt vevő felekkel, és a személyes adatok védelmére vonatkozó szabályok és követelmények hatálya alá tartoznának. Érdekes módon az ütemterv nem részletezi kifejezetten, hogy a harmadik fél finanszírozók hogyan illeszkednek a képbe, különös tekintettel a választottbírósági eljárásokba való bevonásuk növekedésére.

Pajzs a titoktartás ellen

A személyes adatok védelmére vonatkozó kötelezettségek visszaélésekre adnak lehetőséget. A választottbírósági felek rosszhiszeműen pajzsként használhatják a GDPR-t, hogy megakadályozzák az eljárás szempontjából releváns vagy a másik fél által kért információk nyilvánosságra hozatalát. Például a fél kifogást emelhet a közzétételi kérelem ellen arra hivatkozva, hogy a dokumentumok a jogvitához nem kapcsolódó személyes adatokat tartalmaznak, vagy hogy a személyes adatok szerkesztése indokolatlanul nagy terhet jelentene[63].

Az ütemterv foglalkozik a visszaélések lehetőségével. Javasolja a személyes adatok védelmére vonatkozó kötelezettségek minél korábbi felvetését és tisztázását annak érdekében, hogy csökkenjen annak kockázata, hogy ezek hatással vannak az eljárásokra. A résztvevőknek fontolóra kell venniük egy "adatvédelmi jegyzőkönyv" megkötését, azaz egy megállapodás megkötését arról, hogy a személyes adatok védelmét egy adott összefüggésben hogyan fogják alkalmazni. Alternatív megoldásként, amennyiben nem lehetséges aláírt adatvédelmi jegyzőkönyv megkötése, ezeket a kérdéseket az első számú eljárási rendben kell kezelni.[64]

Összehasonlításképpen meg lehet vizsgálni a GDPR betartását az amerikai peres eljárások során a felfedezés során. Az amerikai szövetségi bíróságok mérlegelési teszteket alkalmaztak annak eldöntésére, hogy elrendeljék-e a külföldi jogszabályokat, köztük a személyes adatok védelmére vonatkozó jogszabályokat potenciálisan sértő idézések vagy felfedési végzések közzétételét vagy teljesítését, vagy sem.[65] Az amerikai szövetségi bíróságok által vizsgált tényezők nem kimerítő listája a következő:

  • a kért dokumentumok vagy egyéb információk fontossága a peres ügy szempontjából;
  • a kérés konkrétságának mértéke;
  • az, hogy az információ az Egyesült Államokból származik-e;
  • az információ megszerzésének alternatív eszközei rendelkezésre állnak-e; és
  • az, hogy a teljesítés elmaradása milyen mértékben sértené az USA fontos érdekeit.[66].

A szövetségi bíróságok gyakrabban követelik meg a közzétételt a külföldi személyes adatok védelmére vonatkozó jogszabályok esetleges megsértése ellenére[67].

A választottbírák a bíróságoktól eltérő megfontolásokkal szembesülnek, amikor arról döntenek, hogy elrendeljék-e a felek általi közzétételt. Helyes, ahogyan a szakirodalomban érvelnek[68], hogy a bíróságoknak tisztában kell lenniük az egymással versengő jogokkal és kötelezettségekkel, tekintettel a külföldi választottbírósági határozatok elismeréséről és végrehajtásáról szóló 1958. évi egyezmény (New York-i egyezmény) szerinti megsemmisítés vagy a végrehajtás megtagadásának veszélyére. Ez a nézet azonban nem veszi figyelembe azt a tényt, hogy a közzétételi végzések az állami bíróságok minimális felülvizsgálatnak vannak alávetve, tekintettel a bírói beavatkozás tilalmának elvére.[69] Számos példa van arra, hogy az állami bíróságok tartózkodnak a közzétételi végzések felülvizsgálatától[70].

Tekintettel a bíróságoknak eljárási kérdésekben biztosított mérlegelési jogkörre, a megsemmisítés vagy a végrehajtás megtagadásának veszélye valószínűleg nem központi szempont. Az, hogy a felek elkerülhetetlenül megpróbálnak visszaélni a GDPR kötelezettségeivel, hogy potenciális eljárási előnyre tegyenek szert, nehéz helyzetbe hozza a bíróságokat, mivel egyrészt az érintettek érdekeinek kiegyensúlyozását, másrészt a szilárd bizonyítási eljárás fenntartását kell megoldaniuk.[71] A személyes adatvédelmi megfelelési kötelezettségek tisztázása az eljárás kezdetén - lehetőleg egy aláírt adatvédelmi jegyzőkönyvben - az ütemterv ajánlásainak megfelelően előfeltételes lépésnek tűnik e magatartás ellenőrzéséhez.

A személyes adatok védelmére vonatkozó követelmények be nem tartása, mint a megsemmisítés, valamint az elismerés és végrehajtás megtagadásának útja

Az ütemterv nem foglalkozik azzal, hogy a személyes adatok védelmére vonatkozó követelményeknek való meg nem felelés felhasználható-e a választottbírósági ítélet hatályon kívül helyezésére, illetve elismerésének és végrehajtásának megtagadására. A feleknek nagyon korlátozott jogorvoslati lehetőségeik vannak a választottbírósági határozatokkal szemben. Mindazonáltal a sikertelen fél megtámadhatja a választottbírósági ítélet eredményét, és a főbb közös indokok egyikét felhasználva megtámadhatja a díjat, illetve megakadályozhatja annak elismerését vagy végrehajtását.

A New York-i Egyezménynek jelenleg 168 szerződő állama van, így ez a nemzetközi kereskedelmi választottbíráskodásban a külföldi ítéletek elismerésének és végrehajtásának elsődleges jogalapja. Az egyezmény V. cikke korlátozott indokokat határoz meg, amelyek alapján a választottbírósági ítélet elismerése és végrehajtása megtagadható. Jelen célokból a legjelentősebb, hogy az V. cikk (2) bekezdésének b) pontja elismeri annak lehetőségét, hogy az aláíró állam illetékes hatósága megtagadhatja a közrendbe ütköző ítélet elismerését vagy végrehajtását[72].

A különböző joghatóságok között eltérőek azok az indokok, amelyek alapján a választottbírósági ítéletet hatályon kívül lehet helyezni. Az UNCITRAL nemzetközi kereskedelmi választottbíráskodásról szóló mintatörvénye, amelyet széles körben elfogadtak, a 34. cikk (2) bekezdésében felsorolja a megsemmisítési okokat. Ezt a listát szorosan a New York-i Egyezmény V. cikkének mintájára állították össze.[73] A 34. cikk (2) bekezdése b) pontjának ii. alpontja kimondja, hogy a választottbírósági ítéletet a bíróság hatályon kívül helyezheti, ha az ellentétes az állam közrendjével[74].

Az Európai Bíróság (EB) az Eco Swiss kontra Benetton ügyben kimondta, hogy az uniós jog elsőbbséget élvező kötelező rendelkezései olyan alapvető közrendi szabályoknak minősülhetnek, amelyek megsértése a nemzeti jog ilyen okon alapuló választottbírósági ítélet megsemmisítésének alapját képezheti[75].[76 ] Az, hogy egy választottbírósági ítéletet a személyes adatok védelmére vonatkozó követelményeknek való meg nem felelés miatt hatályon kívül lehet-e helyezni, illetve annak elismerését vagy végrehajtását meg lehet-e tagadni, attól függ tehát, hogy a GDPR szabályai olyan elsőbbséget élvező kötelező rendelkezéseknek tekinthetők-e, amelyek megsértése ellentétes a nemzeti közrenddel[76].

A Róma I. rendelet 9. cikkének (1) bekezdése a kényszerítő erejű kötelező rendelkezéseket úgy határozza meg, mint olyan rendelkezéseket, "amelyek tiszteletben tartását egy ország a közérdekeinek védelme szempontjából... olyan mértékben tekinti döntő fontosságúnak, hogy azokat a hatályukba tartozó bármely helyzetre alkalmazni kell, függetlenül az egyébként alkalmazandó jogtól". Amint azt Cervenka és Schwarz korábban elismerte, a GDPR legtöbb szabálya valószínűleg az uniós jog értelmében felülíró kötelező rendelkezéseknek tekinthető. Mint ilyenek, megsértésük a közrend megsértésének tekinthető[77].

Az a lehetőség, hogy a személyes adatok védelmére vonatkozó követelmények be nem tartása a választottbírósági ítélet megsemmisítéséhez vagy el nem ismeréséhez és nem végrehajtásához vezethet, különböző aggályokat vet fel. Először is, pontosan meg kell határozni, hogy mely személyes adatvédelmi kötelezettségek minősülnének felülíró kötelező rendelkezéseknek, mivel nem minden jogsértésnek van azonos súlya. Végső soron valószínűleg az Európai Bíróságot kell majd felkérni további pontosításra. Másodszor, figyelembe kell venni a GDPR megsértése alapján a díj végrehajtásának megtámadására vagy megtámadására vonatkozó lehetőséggel való esetleges visszaélést is, annak megakadályozása érdekében, hogy a felek szándékosan megszegjék a személyes adatok védelmére vonatkozó szabályokat annak érdekében, hogy később lehetőségük legyen a díjjal szembeni jogorvoslatra. Végül meg kell határozni, hogy a személyes adatok védelmére vonatkozó szabályok az eljárásjog vagy az anyagi jog részét képeznék-e, és milyen módon[78].

Bár sok a meghatározásra váró kérdés, foglalkozni kell a személyes adatvédelmi előírások be nem tartásának a megsemmisítésre, valamint a választottbírósági határozatok elismerésére és végrehajtására gyakorolt következményeivel. Nagyon érdekes, hogy az ütemtervben erről nem találunk említést.

Következtetés

Az ütemterv célja, hogy segítse a választottbírósági szakembereket a nemzetközi választottbírósági eljárás során rájuk háruló adatvédelmi és magánéletvédelmi kötelezettségek azonosításában és megértésében. A korábban tárgyaltak szerint azonban még mindig nem foglalkozik néhány olyan konkrét kérdéssel, amelyek napjainkban relevánsak és sürgetőek. Az ebben a dokumentumban azonosított és kifejtett hat kérdés a következő:

  • a GDPR alkalmazhatósága az EU-n kívüli választottbírósági eljárásokra;
  • a GDPR a NAFTA választottbírósági eljárások összefüggésében;
  • a virtuális választottbírósági tárgyalások kérdése;
  • harmadik fél finanszírozók és helyük az ütemtervben;
  • a GDPR-ral való esetleges visszaélések; és
  • a GDPR-nak való esetleges meg nem felelés, amely a választottbírósági ítélet megsemmisítéséhez vagy elismerésének és végrehajtásának megtagadásához vezethet.

Ezek a kérdések mindegyike további megfontolást igényel, mivel az előrejelzések szerint az elkövetkező években csak még fontosabbá válnak. Reméljük, hogy bebizonyosodott, hogy ezek megérdemlik az ütemtervbe való felvételüket.

Az ütemtervhez csatolt mellékletek[79] célja, hogy segítsék a szakembereket e követelmények gyakorlati kezelésében. Az Adatvédelmi ellenőrző lista, a Jogos érdekek értékelésének ellenőrző listája, a példa adatvédelmi értesítések és az EU szabványos szerződési feltételek hozzáadása mind rendkívül értékes források, amelyeket a szakembereknek fel kell használniuk a GDPR-nak való megfelelés biztosításához.

A különböző joghatóságok közötti konfliktushelyzetben azonban a személyes adatok védelmére vonatkozó különböző nemzeti jogszabályok közötti különbségek félreérthetőséghez vezethetnek. Bár az ütemterv által nyújtott iránymutatások széles körűek, mégsem kötelező érvényűek. A múltban az UNCITRAL és az IBA a nemzetközi választottbíráskodásban a harmonizáció felé hajlott szabályaik, iránymutatásaik és hasonlók révén; bár ezek nem kötelező erejűek, de minden bizonnyal meggyőzőek. Ahogyan az UNCITRAL és az IBA a nemzetközi választottbíráskodás különböző aspektusai tekintetében is kísérletet tettek erre, a választottbíráskodással kapcsolatos személyes adatvédelmi követelmények harmonizálására is égető szükség van; ezért a harmonizációt szem előtt tartva kell a szükséges iránymutatásokat bevezetni.

Míg a GDPR megfelelési követelményeinek és a nemzetközi választottbíráskodással kapcsolatos következményeinek harmonizációja, megértése és tudatosítása továbbra is hiányzik, mi, választottbíráskodási szakemberek továbbra is a jelenleg hatályos jogi keretekkel fogunk boldogulni. Mindazonáltal az ütemterv a hiányosságai ellenére egy nagyon szükséges és bátorító lépést jelent a választottbírósági résztvevők személyes adatvédelmi kötelezettségeinek közös értelmezése irányába.

Források

  1. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet), HL 2016 L 119/1.
  2. A "személyes adat" fogalmát a GDPR 4. cikke a következőképpen határozza meg: (1) "személyes adat": azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható természetes személy az, aki közvetlenül vagy közvetve azonosítható, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy az adott természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző egy vagy több tényező alapján.".
  3. A GDPR területi hatályát a 3. cikk a következőképpen határozza meg:
    1. "Ez a rendelet a személyes adatoknak az adatkezelő vagy az adatfeldolgozó Unión belüli telephelyének tevékenységeivel összefüggésben történő kezelésére alkalmazandó, függetlenül attól, hogy az adatkezelésre az Unióban vagy azon kívül kerül-e sor.".

    2. Ez a rendelet alkalmazandó az Unióban tartózkodó érintettek személyes adatainak az Unióban nem letelepedett adatkezelő vagy adatfeldolgozó által történő kezelésére, amennyiben az adatkezelési tevékenységek a következőkkel kapcsolatosak:

      (a) áruk vagy szolgáltatások felajánlásával - függetlenül attól, hogy az érintettnek fizetnie kell-e - az Unióban lévő ilyen érintettek számára; vagy

      (b) az érintettek magatartásának figyelemmel kísérése, amennyiben a magatartásuk az Unión belül történik.

    3. Ez a rendelet a személyes adatoknak olyan adatkezelő által végzett feldolgozására alkalmazandó, aki nem az Unióban, hanem olyan helyen rendelkezik székhellyel, ahol a nemzetközi közjog alapján a tagállami jog alkalmazandó.
  4. Lásd az "adatfeldolgozó" fogalmát a GDPR 4. cikkében.
  5. A GDPR 83. cikkének (4) bekezdése.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 2019. január 22.), lásd www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 2020. október 16.), lásd www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), lásd www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, hozzáférés: 2021. augusztus 18.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, 2020. február), lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, hozzáférés: 2021. augusztus 18.
  9. Ibid., 1.
  10. PCA 2018-54. sz. ügy.
  11. ICCA és New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, hozzáférés: 2021. augusztus 18.
  12. 'Cybersecurity Guidelines' (IBA, 2018. október), lásd www.ibanet.org/LPRU/Cybersecurity, hozzáférés: 2020. december 1.
  13. 'ICC Guidance Note on Possible Measures Aim' (Nemzetközi Kereskedelmi Kamara, 2020. április 9.), elérés: 2021. augusztus 18.
  14. Útiterv, B szakasz.
  15. Ibid.
  16. GDPR 4. cikk.
  17. Ibid.
  18. GDPR 4. cikk.
  19. Ibid. 3. cikk (1) bekezdés.
  20. Útiterv, 7.
  21. GDPR 4. cikk.
  22. Az ütemterv a "választottbírósági résztvevők" fogalmát úgy határozza meg, mint "beleértve a feleket, jogi képviselőiket, a választottbírókat és a választottbírósági intézményeket (csak)". Lásd az ütemterv (3. sz.), 2. o.
  23. A GDPR 4. cikke.
  24. Lásd a 2019. július 29-i ítéletet, Fashion ID GmbH & Co KG kontra Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, 74. és 85. pont. Lásd még: 2018. június 5-i ítélet, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; 2018. július 10-i ítélet, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Útiterv, 11
  26. Ibid. 12.
  27. GDPR 5. és 12-22. cikk; Útiterv 14-15.
  28. A GDPR szerint például a személyes adatok nemzetközi választottbíráskodással összefüggésben történő kezelése jogszerű, ha az adatkezelő jogos érdekeinek érvényesítéséhez szükséges - az érintett érdekein és alapvető jogain alapuló korlátozásokkal -, és a választottbíráskodással összefüggésben a jogi igényekre vonatkozó eltérés (9. cikk (2) bekezdés f) pont) alapján az érzékeny adatok feldolgozhatók.
  29. Útiterv, 19.
  30. Ibid., 20-21.
  31. Ibid., 30-31.
  32. Ibid., 32.
  33. Ibid., 33-36.
  34. Ibid. 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid., 40-41.
  38. Ibid., 42.
  39. Ibid., 43.
  40. A GDPR 5. cikke (1) bekezdésének e) pontja.
  41. Útiterv, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 2019. augusztus 29.), lásd http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, elérés: 2021. augusztus 18.
  43. Az EU Bizottsága úgy ítélte meg, hogy az ország megfelelő adatvédelmet biztosít.
  44. A nemzetközi választottbíráskodás esetében ez valószínűleg egy szokásos szerződéses záradék lenne.
  45. Választottbírósági kontextusban leginkább a jogi igényekre vonatkozó eltérés alkalmazható, amely lehetővé teszi az adattovábbítást, ha az "jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges".
  46. A magas küszöbérték és az értesítési követelmény miatt a kényszerítő erejű jogos érdekekre való hivatkozásnak kevés gyakorlati jelentősége van. Lásd: EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 2018. február 6. (Adattovábbítási iránymutatás).
  47. Útiterv, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 2019. augusztus 29.), lásd http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [hozzáférés: 2021. augusztus 18.].
  49. PCA 2018-54. sz. ügy.
  50. Ibid. a Törvényszék közleménye a feleknek (Perm Ct Arb, 2019).
  51. Útiterv, 37.
  52. ICCA és New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, hozzáférés : 2021. augusztus 18.
  53. 'Cybersecurity Guidelines' (IBA, 2018. október), lásd www.ibanet.org/LPRU/Cybersecurity, hozzáférés 2020. december 1.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 2020. július 18.), lásd http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, hozzáférés: 2021. augusztus 18.).
  55. "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 2020. április 9.), hozzáférés: 2021. augusztus 18.
  56. 'Harmadik fél általi finanszírozás a nemzetközi választottbíráskodásban: The ICCA-QMUL report", (ICCA, 2018. május), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, hozzáférés: 2018. augusztus 18.
  57. Útiterv, 2.
  58. Ibid. 23-25.
  59. A GDPR 4. cikkének (2) bekezdése, lásd a fenti 1. pontot.
  60. A GDPR 6. cikke (1) bekezdésének f) pontja.
  61. Allan J Arffa és mások, "GDPR Issues in International Arbitration" (Lexology, 2020. augusztus 10.), lásd www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, hozzáférés: 2021. augusztus 18.
  62. Útiterv, 5. melléklet.
  63. Allan J Arffa és mások, "GDPR Issues in International Arbitration" (Lexology, 2020. augusztus 10.), lásd www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, elérés: 2021. augusztus 18.
  64. Útiterv 40-41.
  65. Lásd például: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L L J 395.
  66. Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 2020. február 6.), lásd : www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration hozzáférés: 2021. augusztus 18.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, Nemzetközi kereskedelmi választottbíráskodás (2. kiadás, Kluwer Law International 2014), 2335.
  70. Ibid. Born az alábbi ítéleteket idézi ennek az érvelésnek a megerősítésére: A 2004. január 22-i ítélet, Société Nat'l Cie for Fishing & Marketing "Nafimco" kontra Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel Paris): "a választottbíróságnak a felfedezés elrendelésére vonatkozó döntése eljárási mérlegelési jogkörébe tartozik, és azt a bíróságok nem vizsgálhatják felül"; Karaha Bodas Co kontra Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): A közzétételi kérelmek "a Törvényszék mérlegelési jogkörének ésszerű gyakorlásán belül vannak".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 2019. december 4.), lásd www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, elérés: 2021. augusztus 18.
  72. New York-i egyezmény, V. cikk (2) bekezdés: "A választottbírósági ítélet elismerése és végrehajtása akkor is megtagadható, ha annak az országnak az illetékes hatósága, ahol az elismerést és végrehajtást kérik, megállapítja, hogy... b) a választottbírósági ítélet elismerése vagy végrehajtása ellentétes lenne az adott ország közrendjével.".
  73. ENSZ főtitkár, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), 34. cikk, 6. bekezdés.
  74. UNCITRAL nemzetközi kereskedelmi választottbíráskodásról szóló mintatörvény, 34. cikk (2) bekezdés: "A választottbírósági ítéletet a 6. cikkben meghatározott bíróság csak akkor helyezheti hatályon kívül, ha...(b) a bíróság megállapítja, hogy... (ii) a választottbírósági ítélet ellentétes az állam közrendjével".
  75. Az 1999. június 1-jei Eco Swiss China Time Ltd kontra Benetton International NV C-126/97. sz. ügyben hozott ítélet (EBHT 1999., I-03055. o.). 39. és 41. pont. Az EU közrendjének részletes tárgyalását lásd: Sacha Prechal és Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka és Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Az említett és más kérdések részletesebb tárgyalását lásd: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seqq; Cervenka and Schwarz, lásd fentebb 76. n., 84-85. o.
  79. "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, 2020. február), lásd https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, elérés: 2021. augusztus 18.

Ez a cikk először a Dispute Resolution International, Vol 15 No 2, 2021. október, megjelent, és az International Bar Association (London, Egyesült Királyság) szíves engedélyével került sokszorosításra. © International Bar Association.

Vissza az áttekintéshez