Įvadas

Pastaraisiais metais iškilo klausimų dėl praktinio asmens duomenų privatumo ir kibernetinio saugumo poveikio faktiniam tarptautinių arbitražų vykdymui, ypač atsižvelgiant į nuolatinius technologinius pokyčius.

Bendrasis duomenų apsaugos reglamentas (BDAR)[i] 2020 m. gegužę atšventė antrąjį gimtadienį. BDAR asmens duomenų apsaugos sistema siekiama užtikrinti laisvą "fizinių asmenų, kurių tapatybė nustatyta arba gali būti nustatyta, asmens duomenų judėjimą".[ii] Jis taikomas Europos Sąjungoje ir turi eksteritorinę taikymo sritį, kuri gali būti išplėsta už ES ribų;[iii] BDAR gali turėti įtakos ne tik visiems fiziniams ar juridiniams asmenims, bet ir valdžios institucijoms, agentūroms ir kitoms įstaigoms - galbūt įskaitant tarptautines organizacijas - gali būti taikomos asmens duomenų apsaugos prievolės.[iv] BDAR sankcijos gali siekti 4 proc. pažeidimą padariusio subjekto praėjusių finansinių metų pasaulinės metinės apyvartos arba 20 mln. eurų, priklausomai nuo to, kuri suma yra didesnė.[v] Būtinybę rimtai atsižvelgti į jos taikymą jau įrodė daugiamilijoninės baudos, skirtos įvairiose jurisdikcijose.[vi]

Nors asmens duomenų apsaugos teisės aktų taikymas arbitražui yra nustatytas, nėra nustatyta, kaip šie įstatymai turėtų būti taikomi. Dėl šios priežasties Tarptautinė komercinio arbitražo taryba (ICCA) ir Tarptautinė advokatų asociacija (IBA) 2019 m. vasario mėn. įsteigė jungtinę duomenų apsaugos tarptautinio arbitražo procese darbo grupę, kurios tikslas - parengti vadovą, kuriame būtų pateiktos praktinės asmens duomenų apsaugos tarptautiniame arbitraže gairės. 2020 m. kovo mėn. darbo grupė paskelbė konsultacinį šio vadovo projektą.[vii] Šis komentaras bus grindžiamas šiuo veiksmų plano projektu (toliau - veiksmų planas),[viii] o galutinė, peržiūrėta veiksmų plano versija turėtų būti paskelbta 2021 m. rugsėjo mėn. Nors terminas, iki kurio buvo galima teikti pastabas dėl konsultacinio projekto, šio dokumento rengimo metu jau buvo pasibaigęs, preliminari Veiksmų plano versija vis dėlto iliustruoja klausimus, kuriuos kelia BDAR tarptautiniuose arbitražuose. Todėl juo bus remiamasi kaip diskusijų pagrindu.

Dauguma asmens duomenų apsaugos įstatymų yra privalomi arbitražo procese, t. y. juose nurodoma:

• kokie asmens duomenys gali būti tvarkomi;
• kur;
• kokiomis priemonėmis;
• su kokiomis informacijos saugumo priemonėmis; ir
• kiek laiko.[ix]

Tačiau jose nenagrinėjama, kaip šių privalomų įsipareigojimų turėtų būti laikomasi arbitražo procese. Nesant konkrečių reguliuojančiųjų institucijų gairių, šis planas skirtas padėti arbitražo specialistams nustatyti ir suprasti asmens duomenų apsaugos ir privatumo prievoles, kurios jiems gali būti taikomos tarptautinio arbitražo kontekste. Be to, BDAR apsaugos mastas išlieka aktualus tarptautiniuose arbitražo procesuose, daugiausia dėl to, ar BDAR įstatymai taikomi arbitražams, kurių buveinės yra už ES ribų. Jeigu nustatoma, kad BDAR taikomas arbitražo procesui, kyla įvairių papildomų pasekmių: pirma, ar draudžiama tvarkyti asmens duomenis ir, antra, ar yra asmens duomenų perdavimo už ES ribų apribojimų. Galiausiai, dėl vis dažniau pasitaikančių kibernetinių atakų, tokios atakos prieš arbitražą pasekmės gali sukelti didelių nuostolių.

Šiame straipsnyje siekiama pateikti gairių komentarus ir išnagrinėti praktines priemones, į kurias turėtų būti atsižvelgta dėl asmens duomenų apsaugos prievolių tarptautinio arbitražo procese. Jame nurodoma, kad planas yra daug žadanti, nors ir neišbaigta, priemonė, papildanti įvairius iki šiol vykdytus švelniosios teisės bandymus suderinti tarptautinį arbitražą, visų pirma IBA ir Jungtinių Tautų Tarptautinės prekybos teisės komisijos (UNCITRAL) priemones.

Pirmiausia bus pateikta trumpa veiksmų plano santrauka, kurioje pateikiama nuoroda į BDAR principus. Tai neturi būti išsami apžvalga, o veikiau supažindinimas su pagrindiniais Veiksmų plano punktais, kad skaitytojui būtų suteiktas kontekstas tolesnei diskusijai. Antra, bus pateiktas komentaras, kuriame aptariami šeši aktualūs klausimai:

• BDAR taikymą arbitražams, vykstantiems už ES ribų;
• Bendrasis duomenų apsaugos reglamentas Šiaurės Amerikos laisvosios prekybos susitarimo (NAFTA) arbitražo bylose, kaip parodyta byloje Tennant Energy, LLC prieš Kanados vyriausybę;[x]
• vaizdo konferencijų klausimas, kurio svarba labai išaugo per Covid-19 pandemiją, įskaitant nuorodas į "ICCA-NYC Bar-CPR protokolą dėl kibernetinio saugumo tarptautiniame arbitraže" (Kibernetinio saugumo protokolas).[xi] IBA kibernetinio saugumo gairės[xii] ir Tarptautinio baudžiamojo teismo rekomendacijas dėl galimų priemonių, skirtų COVID-19 pandemijos padariniams sušvelninti;[xiii]
• "trečiųjų šalių finansuotojai" ir kaip į juos atsižvelgiama veiksmų plane;
• piktnaudžiavimas BDAR, ypač kaip skydu už informacijos neatskleidimą; ir
• galimybė panaudoti asmens duomenų apsaugos reikalavimų nesilaikymą kaip būdą panaikinti arba atsisakyti pripažinti ir vykdyti arbitražo sprendimą.

Baigiamosios mintys bus pateiktos išvadose.

Kelio planas

Fiziniai ir juridiniai asmenys privalo saugoti duomenų subjektų asmens duomenis. Arbitražui netaikomos asmens duomenų apsaugos prievolės. Tačiau jei asmens duomenų apsaugos prievolės taikomos tik vienam arbitražo dalyviui, tai gali turėti įtakos visam arbitražui. Nuo to, ar asmens duomenų tvarkymas patenka į atitinkamus įstatymus, materialinę ir jurisdikcinę taikymo sritį, priklausys, ar taikomi asmens duomenų apsaugos įstatymai.[xiv]

Šiuolaikiniai asmens duomenų apsaugos įstatymai taikomi visada, kai tvarkomi duomenų subjekto asmens duomenys vykdant veiklą, kuri patenka į atitinkamų asmens duomenų apsaugos įstatymų jurisdikcijos sritį.[xv] Asmens duomenys apima "bet kokią informaciją, susijusią su fiziniu asmeniu, kurio tapatybė nustatyta arba gali būti nustatyta".[xvi] Įprasto arbitražo proceso metu keičiamasi didele dalimi informacijos, inter alia, susijusios su šalimis, jų advokatais, arbitražo teismu ir trečiosiomis šalimis. Todėl tikėtina, kad jie gali būti laikomi atitinkančiais "asmens duomenų" apibrėžtį. "Duomenų subjektai" - tai pirmiau minėti asmenys, kurių tapatybė nustatyta arba kurių tapatybė gali būti nustatyta.[xvii] Tvarkymas apima aktyvias ir pasyvias operacijas, taigi apima asmens duomenų naudojimą, platinimą ir ištrynimą, taip pat asmens duomenų gavimą, tvarkymą ir saugojimą.[xviii] Taikymo sritis apima veiksmus, kai asmens duomenys tvarkomi vykdant duomenų valdytojo arba duomenų tvarkytojo padalinio veiklą ES.[xix] ir ekstrateritorialiai, pavyzdžiui, kai asmens duomenys perduodami už ES ribų subjektams ar asmenims, kuriems dėl kitų priežasčių dar netaikomas BDAR.[xx]

Arbitrai bus laikomi duomenų valdytojais, o tai reiškia, kad jie bus atsakingi už asmens duomenų apsaugos įstatymų laikymąsi. Tačiau, remiantis "duomenų valdytojo" apibrėžtimi;[xxi] dauguma arbitražo dalyvių[xxii] gali būti laikomi tokiais, įskaitant advokatus, šalis ir instituciją. Duomenų valdytojai gali perduoti duomenų tvarkymą duomenų tvarkytojams,[xxiii] kurie bus jų kontroliuojami ir kuriems bus reikalingos duomenų tvarkymo sutartys pagal taikytinuose teisės aktuose nustatytas sąlygas. Taigi sekretorės, transkribuotojai, vertėjai ir kiti asmenys greičiausiai bus laikomi duomenų tvarkytojais. Be to, dar vienas klausimas yra susijęs su bendrais duomenų valdytojais, kurie kartu nustato duomenų tvarkymo tikslus ir priemones. Bendro duomenų valdytojo atsakomybė aiškinama plačiai, tačiau bendro duomenų valdytojo atsakomybė apsiriboja tik duomenų tvarkymu, kurį nustatė duomenų valdytojas, jo tikslu ir priemonėmis, o ne bendru duomenų tvarkymu.[xxiv]

Tarptautiniuose arbitražuose asmens duomenų perdavimo iš vienos jurisdikcijos į kitą apribojimai yra akivaizdus asmens duomenų apsaugos įstatymų taikymo būdas. Skirtingų arbitražo dalyvių kilmė lemia skirtingų asmens duomenų apsaugos režimų taikymą. Šiuolaikiniai asmens duomenų apsaugos įstatymai riboja asmens duomenų perdavimą į trečiąsias šalis, siekdami užtikrinti, kad teisinės prievolės nebūtų apeinamos perduodant asmens duomenis į jurisdikcijas, kuriose taikomi žemesni asmens duomenų apsaugos standartai.[xxv] Pagal BDAR asmens duomenis leidžiama perduoti į trečiąją šalį, jei įvyksta vienas iš šių atvejų:

• ES Komisija pripažino, kad šalyje užtikrinama tinkama asmens duomenų apsauga;
• taikoma viena iš aiškiai išvardytų apsaugos priemonių;
• nukrypti leidžianti nuostata, leidžianti perduoti duomenis, kai tai būtina teisiniams reikalavimams pareikšti, vykdyti ar ginti; arba
• įtikinamas teisėtas šalies interesas.[xxvi]

Šios taisyklės taikomos arbitražo dalyviams, o ne visam arbitražui, todėl kiekvienas arbitražo dalyvis privalo apsvarstyti, kokie asmens duomenų perdavimo apribojimai jam taikomi.

Arbitraže taikomi šie asmens duomenų apsaugos principai: sąžiningas ir teisėtas duomenų tvarkymas, proporcingumas, duomenų kiekio mažinimas, tikslo apribojimas, duomenų subjekto teisės, tikslumas, duomenų saugumas, skaidrumas ir atskaitomybė.[xxvii]

Keletą šių principų reikia plačiau pakomentuoti. Sąžiningas ir teisėtas duomenų tvarkymas reiškia, kad asmens duomenys turėtų būti tvarkomi tik tokiais būdais, kurių duomenų subjektai pagrįstai tikisi, ir kad tvarkymui turi būti teisinis pagrindas. Taikydami sąžiningumo principą, šalis ir jos advokatas turėtų paklausti savęs, ar, atsižvelgiant į visus faktus, asmenys tikėjosi, kad jų asmens duomenys bus tvarkomi tokiu būdu, ar tai sukels jiems neigiamų pasekmių ir ar šios pasekmės yra pagrįstos. Šis principas netrukdys verslo elektroniniuose laiškuose rastus asmens duomenis pripažinti įrodymais.

Teisėtas duomenų tvarkymas reiškia teisinį pagrindą, kuris priklauso nuo faktų ir konkretaus atvejo. Užuot rėmusis sutikimu, reikėtų remtis konkrečiais BDAR nustatytais teisiniais pagrindais.[xxviii]

Siekiant proporcingumo reikia atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, atsižvelgiant į duomenų subjektui keliamą pavojų.[xxix] Duomenų kiekio mažinimas reikalauja, kad arbitražo dalyviai apribotų asmens duomenų tvarkymą iki adekvataus, tinkamo ir būtino.[xxx] Skaidrumas reikalauja, kad duomenų subjektai būtų informuojami apie asmens duomenų tvarkymą ir tvarkymo tikslą pateikiant bendruosius pranešimus, konkrečius pranešimus arba ir vieną, ir kitą.[xxxi] Atskaitomybė susijusi su asmenine atsakomybe už duomenų apsaugos reikalavimų laikymąsi, t. y. arbitražo dalyviai turėtų dokumentuoti visas asmens duomenų apsaugos priemones ir priimtus sprendimus, kad įrodytų jų laikymąsi.[xxxii]

Asmens duomenų apsaugos reikalavimų laikymasis turi įtakos atskiriems tarptautinio arbitražo proceso etapams, ne tik paties arbitražo metu, bet ir pasirengimo jam metu. Arbitražo dalyviai nuo pat pradžių turėtų apsvarstyti, kokie asmens duomenų apsaugos įstatymai taikomi jiems patiems ir kitiems arbitražo dalyviams ir kurie arbitražo dalyviai tvarkys asmens duomenis kaip duomenų valdytojai, tvarkytojai ar bendri duomenų valdytojai. Taip pat reikėtų apsvarstyti trečiųjų šalių asmens duomenų perdavimo taisykles ir asmens duomenų tvarkymo susitarimus dėl trečiųjų šalių paslaugų teikėjų. Dokumentų rinkimo ir nagrinėjimo proceso metu šalims ir jų teisininkams reikia teisinio pagrindo duomenų tvarkymo veiklai ir asmens duomenų perdavimui trečiosiose šalyse.[xxxiii]

Arbitražo prašyme ir vėliau pateiktuose dokumentuose bus pateikiami asmens duomenys, kurie visiškai atitinka duomenų tvarkymo sritį. Jei arbitražo institucijai privalomi taikytini asmens duomenų apsaugos įstatymai, ji turi apsvarstyti galimus asmens duomenų apsaugos įpareigojimus, kurie taikomi kiekviename procedūriniame etape. Jei arbitražo institucijai taikomas BDAR, ji paprastai tampa asmens duomenų valdytoja. Kad atitiktų BDAR 13 ir 14 straipsnius, tokia institucija į savo privatumo pranešimą turėtų įtraukti informaciją apie saugumo priemones, naudojimąsi duomenų subjekto teisėmis, įrašų tvarkymą ir duomenų pažeidimo bei saugojimo politiką.[xxxiv] Tačiau tarptautinėms organizacijoms, administruojančioms investuotojo ir valstybės arbitražą, asmens duomenų apsaugos įstatymai gali būti netaikomi dėl privilegijų ir imunitetų, nustatytų steigiamojoje valstybėje arba priimančiosios šalies susitarime. Todėl šiuo atveju reikia atlikti atskirus svarstymus, įskaitant, inter alia, tai, ar organizacijai privalomi asmens duomenų apsaugos įstatymai ir ar arbitražo dalyviams būtų taikomos privilegijos ir imunitetai ir kokiu mastu.[xxxv]

Skiriant arbitrus į arbitražo teismą paprastai keičiamasi dideliu kiekiu potencialių arbitrų asmens duomenų. Arbitražo dalyviai turėtų įtraukti šių asmens duomenų tvarkymo teisinį pagrindą į savo teisinius pranešimus ir aiškiai informuoti arbitrus, kuriuos svarstoma paskirti arbitrais, apie jų asmens duomenų tvarkymą, ypač asmens duomenų perdavimo trečiosioms šalims atveju.[xxxvi]

Prasidėjus arbitražiniam procesui, siekiant sumažinti riziką, reikėtų iš anksto paskirstyti atsakomybę už asmens duomenų apsaugos reikalavimų laikymąsi. Asmens duomenų apsauga turėtų būti įtraukta į pirmosios procedūrinės konferencijos darbotvarkę, o arbitražo dalyviai turėtų stengtis kuo anksčiau susitarti, kaip spręsti asmens duomenų apsaugos reikalavimų laikymosi klausimus. Šalys, jų advokatai ir arbitrai turėtų apsvarstyti galimybę sudaryti asmens duomenų apsaugos protokolą, kad būtų galima veiksmingai valdyti atitikties klausimus. Jeigu tai neįmanoma, alternatyvi galimybė - arbitražo teismui įtraukti juos į Procedūrinį nurodymą Nr. 1.[xxxvii]

Dokumentų rengimo ir atskleidimo procese ypač svarbus asmens duomenų kiekio mažinimo principas. Pagal BDAR tai greičiausiai reikštų, kad reikia:

• atskleisti tik tuos asmens duomenis, kurie yra svarbūs ir nesidubliuoja;
• identifikuoti atsakomojoje medžiagoje esančius asmens duomenis; ir
• nereikalingų asmens duomenų redagavimas arba pseudonimų suteikimas.

Šiuos klausimus taip pat reikėtų apsvarstyti proceso pradžioje, pageidautina per pirmąją procedūrinę konferenciją arba iki jos.[xxxviii]

Arbitrai ir institucijos, priimdami sprendimus, turėtų apsvarstyti asmens duomenų įtraukimo į sprendimus pagrindą ir būtinybę. Jei arbitražas yra konfidencialus, vis dėlto yra rizika, kad vykdant sprendimą jis taps viešas. Net jei asmens duomenys redaguojami, jie paprastai lieka asmens duomenimis, nes duomenų subjektą galima identifikuoti iš likusios arbitražo sprendimo ar susijusios medžiagos.[xxxix]

Duomenų saugojimas ir ištrynimas laikomi duomenų tvarkymu pagal BDAR, kuriame nustatyta, kad asmens duomenys "saugomi tokia forma, kad duomenų subjektus būtų galima identifikuoti ne ilgiau, nei to reikia tais tikslais, kuriais asmens duomenys tvarkomi".[xl] Kontrolieriai turi apsvarstyti, dokumentuoti ir sugebėti pagrįsti saugojimo trukmę. Arbitražo dalyviai turi apsvarstyti, koks duomenų saugojimo laikotarpis yra pagrįstas, ir turėtų laikytis proporcingo požiūrio, kad subalansuotų savo poreikius ir duomenų saugojimo poveikį subjektui.[xli]

BDAR taikymas arbitražams, vykstantiems už ES ribų

Bendrojo duomenų apsaugos reglamento teritorinė taikymo sritis yra gana plati. Praktikuojantys specialistai turėtų žinoti apie jo taikymą nepriklausomai nuo to, ar jie yra įsikūrę ES, ar arbitražas vyksta ES, ar ne. Bendrasis duomenų apsaugos reglamentas taikomas ES įsisteigusių duomenų valdytojų arba duomenų tvarkytojų atliekamam asmens duomenų tvarkymui, neatsižvelgiant į tai, ar pats duomenų tvarkymas vyksta ES (3 straipsnio 1 dalis). Be to, kai kalbama apie prekių ar paslaugų siūlymą ES piliečiams arba elgesio, kuris vyksta ES, stebėseną, BDAR taikomas ES neįsisteigusio duomenų valdytojo arba duomenų tvarkytojo atliekamam asmens duomenų tvarkymui (3 straipsnio 2 dalis).

Taikant BDAR arbitražo kontekste, prievolės nustatomos duomenų valdytojams ir tvarkytojams - arbitrams, advokatams, šalims ir institucijoms - kurie patenka į jo materialinę ir teritorinę taikymo sritį, o ne tiesiogiai arbitražo procesui. Net jei tik vienas arbitražo dalyvis yra susijęs su ES, jis privalės tvarkyti asmens duomenis pagal BDAR. Gali kilti pasekmių visam procesui.[xlii]

Tarptautinio arbitražo kontekste, kur arbitražo medžiagos, kurioje yra asmens duomenų, perdavimas yra įprastas dalykas, bene labiausiai pastebimi apribojimai, taikomi asmens duomenų perdavimui į "trečiąsias šalis" už Europos ekonominės erdvės (EEE) ribų. Tokiu atveju, kad būtų leista perduoti asmens duomenis, būtinas vienas iš keturių teisėtų pagrindų. Pirma, perduoti duomenis į trečiąją šalį leidžiama, jei trečioji šalis yra priimto sprendimo dėl tinkamumo (45 straipsnio 1 dalis).[xliii] Priešingu atveju, jei įmanoma, turėtų būti taikoma viena iš atitinkamų apsaugos priemonių (46 straipsnio 1 dalis).[xliv] Jei sprendimas dėl tinkamumo nėra priimtas ir tinkamos apsaugos priemonės neįmanoma taikyti, galima remtis specialia leidžiančia nukrypti nuostata (49 straipsnio 1 dalis).[xlv] Galiausiai, jei nėra pirmiau minėtų aplinkybių, šalis gali remtis įtikinamu teisėtu interesu (49 straipsnio 1 dalis).[xlvi] kaip teisėtą trečiosios šalies asmens duomenų perdavimo pagrindą.

Veiksmų plane gana išsamiai išdėstyti būtini aspektai, kuriuos turi apsvarstyti arbitražo dalyviai. Jame ne kartą pabrėžiama, kad asmens duomenų apsaugos principai ir perdavimo taisyklės taikomos ne arbitražui, o arbitražo dalyviams.[xlvii] Atsižvelgiant į tai, daroma prielaida, kad ES įsikūręs arbitras, dalyvaujantis ne ES arbitraže, kuriam BDAR kitaip netaikomas, vis tiek turės laikytis BDAR nustatytų asmens duomenų tvarkymo ir perdavimo reikalavimų. Tai iš tiesų visuotinai pripažįstama komercinio arbitražo procese,[xlviii] tačiau situacija nėra tokia aiški, kai kalbama apie investuotojo ir valstybės arbitražą.

Byla Tennant Energy, LLC prieš Kanados vyriausybę

2019 m. NAFTA 11 skyriaus arbitraže Tennant Energy, LLC prieš Kanados vyriausybę (Tennant),[xlix] Ieškovas Tennant iškėlė klausimą dėl BDAR taikymo nagrinėjant bylą, atsižvelgiant į vieno iš tribunolo narių pilietybę ir gyvenamąją vietą Jungtinėje Karalystėje. Tačiau tribunolas šalims pateikė nurodymus, kuriuose teigė, kad "arbitražas pagal NAFTA 11 skyrių, t. y. sutartį, kurios šalimi nėra nei Europos Sąjunga, nei jos valstybės narės, iš esmės nepatenka į BDAR taikymo sritį".[l]

Svarbu atskirti sutartimis grindžiamą arbitražą nuo komercinio arbitražo, o "Tennant" priklauso pirmajai kategorijai. Veiksmų plane atsižvelgiama į šį skirtumą, pažymint, kad tarptautinėms organizacijoms gali būti netaikomi asmens duomenų apsaugos įstatymai.[li] Tennant arbitražo tribunolo nariams gali būti taikomi tam tikri imunitetai, kylantys iš Nuolatinio arbitražo teismo (NTA) susitarimo dėl būstinės su Nyderlandais. Tačiau NAFTA tribunolas nesvarstė, ar PCA, kaip tarptautinei organizacijai, būtų taikomos BDAR perdavimo taisyklės ir ar tribunolo nariai iš šio susitarimo įgytų tam tikrų imunitetų.

The Tennant kryptis kelia daugiau klausimų nei atsakymų dėl BDAR taikymo NAFTA procedūroms ir apskritai sutartimis grindžiamiems arbitražams, kurių subtilesnis aptarimas peržengia šios temos ribas. Nepaisant to, Tennant nurodymas, vertinant jį atsižvelgiant į veiksmų planą, rodo, kad ši tema tebėra labai neaiški. Geriausiu atveju abejotina, ar veiksmų planas suteikia kokio nors aiškumo arbitražo dalyviams, susiduriantiems su tokiu klausimu, ypač atsižvelgiant į tai, kad veiksmų planas buvo paskelbtas po to, kai Tennant nurodymas, tačiau pastarajai nebuvo suteikta jokio atlygio.

Vaizdo konferencijų klausimas

Veiksmų plane pripažįstama asmens duomenų saugumo svarba. Tačiau pastaruoju metu, kai naudojamos papildomos technologijos, palengvinančios virtualius posėdžius, taip pat darbą iš namų - daugiausia dėl dabartinių aplinkybių, kurias mums primetė Covid-19 pandemija, - šis klausimas tampa dar svarbesnis. Kibernetinio saugumo protokolas[lii] ir IBA kibernetinio saugumo gairės[liii] šiek tiek nušvietė šį klausimą.

Kibernetinio saugumo protokole, kaip ir veiksmų plane, nustatyti keli pagrindiniai principai. Taikomas proporcingumo principas, Tarnautojų teismas turi įgaliojimus ir diskreciją nustatyti taikomas saugumo priemones, o informacijos saugumas yra klausimas, kuris turėtų būti aptartas per pirmąją bylos valdymo konferenciją. Kibernetinio saugumo protokolo A priede pateikiamas kontrolinis sąrašas, kurį arbitražo šalys gali naudoti siekdamos apsaugoti procesą.

Dėl Covid-19 pandemijos pastaruoju metu pasikeitus darbo modeliams ir aplinkai, šiems klausimams turėtų būti skiriama daugiau dėmesio. Pasaulyje, kuris buvo priverstas ieškoti naujų verslo vykdymo būdų ir prisitaikyti prie netikrumo laikų, viena iš problemų, su kuriomis susidūrė teisinis sektorius, yra išklausymo klausimas, derinamas su apribojimais ir socialinio atsiribojimo poreikiu. Todėl vaizdo konferencijų populiarumas ir jų naudojimas tarptautiniuose arbitražo procesuose yra tai, į ką turėtų būti atsižvelgta veiksmų plane, tačiau to nebuvo padaryta - arba bent jau kol kas nebuvo padaryta.

Nors daug kas aptarė ir nurodė vaizdo įrašų klausymų problemas, dauguma jų nesvarstė, kaip jiems turėtų būti taikomi asmens duomenų apsaugos įstatymai, ne tik asmens duomenų apsaugos, bet ir saugumo požiūriu, nes kai kurios platformos patyrė saugumo atakų.[liv]

Kaip aptarta pirmiau, labai svarbu suprasti skirtingus arbitražo procese dalyvaujančių šalių vaidmenis, susijusius su BDAR, t. y. kas yra "duomenų valdytojai" ir "duomenų tvarkytojai". Jei vaizdo konferencijų programinė įranga tvarko kokius nors asmens duomenis, pavyzdžiui, naudotojo vardą ir el. pašto adresą, gautus šaliai naudojantis paslauga, ji bus laikoma "duomenų tvarkytoju". Tai reiškia, kad jos privalo laikytis BDAR taisyklių, jei kuris nors iš dalyvių gyvena ES. Kadangi Tribunolas yra "duomenų valdytojas", tokiu atveju jis bus atsakingas už tai, kad būtų užtikrintas toks duomenų laikymasis.

Tarptautiniai prekybos rūmai (ICC) paskelbė gaires[lv] kuriame šalims pateikiamos siūlomos kibernetinio saugumo protokolų ir virtualių posėdžių sąlygos. Juo siekiama spręsti saugumo klausimą, tačiau jame nenagrinėjamas asmens duomenų apsaugos aspektas. Veiksmų plane turėtų būti aptartos galimybės, kaip asmens duomenų apsauga būtų taikoma virtualiai vykstantiems klausymams, taip pat kaip to laikytis. Nors BDAR nurodyti reikalavimai, kurių turi būti laikomasi vaizdo konferencijų atveju, jame nepateikiama gairių, kaip jo reikalavimai taikomi tiesiogiai.

Nors plane nepateikiama rekomendacijų dėl konkrečių programinės įrangos tiekėjų, jame galėtų būti sudarytas ir specialistams pateiktas būtinų idealios vaizdo posėdžiams skirtos programinės įrangos specifikacijų sąrašas, kaip ir jo prieduose pateikiami kontroliniai sąrašai įvairiais kitais klausimais.

Kokią vietą užima trečiųjų šalių finansuotojai?

Trečiąja finansuojančia šalimi laikomas bet kuris arbitražo proceso dalyvis, nesantis arbitražo proceso šalimi, kuris sudaro susitarimą finansuoti visas arba dalį proceso išlaidų mainais už sumą, kuri visiškai arba iš dalies priklauso nuo bylos baigties.[lvi] Trečiosios šalys finansuotojai turi prieigą prie įvairių asmens duomenų arbitražo bylose, kurias jie finansuoja arba ketina finansuoti. Nors planas aiškiai skirtas tik arbitražo dalyviams, jame teigiama, kad gairės aktualios ir paslaugų teikėjams, kuriems taip pat taikomi asmens duomenų apsaugos reikalavimai.[lvii]

Veiksmų plane paslaugų teikėjams priskiriami "e. atskleidimo ekspertai, informacinių technologijų specialistai, teismo pranešėjai, vertimo paslaugos ir kt.[lviii] tačiau trečiųjų šalių finansuotojai nėra aiškiai paminėti. Pagal BDAR asmens duomenų rinkimas ir saugojimas priskiriamas duomenų tvarkymui. Taigi, jei trečiųjų šalių finansuotojai renka kitų asmenų asmens duomenis, asmens duomenų įstatymai būtų taikomi ir jiems.[lix]

BDAR leidžia šaliai tvarkyti asmens duomenis, jei "tvarkyti duomenis būtina duomenų valdytojo arba trečiosios šalies teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis, tikslais".[lx] kurį arbitražo dalyviai gali nurodyti kaip taikytiną teisinį pagrindą atitinkamiems asmens duomenims tvarkyti. Gairės šia tema yra ribotos.[lxi] Veiksmų plane teigiama:

"Pirmasis teisėtų interesų vertinimo žingsnis yra nustatyti teisėtą interesą - koks yra asmens duomenų tvarkymo tikslas ir kodėl jis svarbus jums, kaip duomenų valdytojui? Arbitražo kontekste teisėtas interesas gali būti susijęs su teisingumo vykdymu, šalių teisių laikymosi užtikrinimu ir greitu bei sąžiningu ieškinių sprendimu pagal taikytinas arbitražo taisykles, taip pat su daugeliu kitų interesų.[lxii]

Sąvoka "taip pat ir daugelis kitų interesų" gali apimti teisėtus trečiųjų šalių finansuotojų piniginius interesus. Jei taip, tuomet jie akivaizdžiai privalėtų sudaryti duomenų tvarkymo susitarimus su arbitražo proceso šalimis ir būtų įtraukti į asmens duomenų apsaugos reglamentų ir reikalavimų taikymo sritį. Įdomu tai, kad veiksmų plane aiškiai nenurodoma, kaip trečiosios šalys finansuotojos įsilieja į šią schemą, ypač atsižvelgiant į tai, kad jų įtraukimas į arbitražo procesą vis dažniau pasitaiko.

Informacijos neatskleidimo skydas

Dėl asmens duomenų apsaugos prievolių atsiranda galimybė piktnaudžiauti. Arbitražo šalys gali nesąžiningai naudotis BDAR kaip skydu, kad neleistų atskleisti informacijos, kuri yra svarbi bylos nagrinėjimui arba kurios prašo sandorio šalis. Pavyzdžiui, šalis gali prieštarauti prašymui atskleisti informaciją, teigdama, kad dokumentuose yra su ginču nesusijusių asmens duomenų arba kad asmens informacijos redagavimas būtų pernelyg apsunkintas.[lxiii]

Veiksmų plane atkreipiamas dėmesys į galimą piktnaudžiavimą. Jame siūloma kuo anksčiau iškelti ir išaiškinti asmens duomenų apsaugos įpareigojimus, kad būtų sumažinta rizika, jog jie turės įtakos teismo procesams. Dalyviai turėtų apsvarstyti galimybę sudaryti "duomenų apsaugos protokolą" - susitarimą dėl to, kaip asmens duomenų apsauga bus taikoma konkrečiomis aplinkybėmis. Arba, jei neįmanoma pasirašyti duomenų apsaugos protokolo, šie klausimai turėtų būti sprendžiami procedūriniame nurodyme Nr. 1.[lxiv]

Palyginimui, galima pažvelgti į BDAR laikymąsi JAV teisminiuose ginčuose. JAV federaliniai teismai taiko pusiausvyros testus, kad nuspręstų, ar nurodyti atskleisti informaciją arba laikytis šaukimų į teismą ar nurodymų atskleisti informaciją, kurie galimai pažeidžia užsienio įstatymus, įskaitant asmens duomenų apsaugos įstatymus.[lxv] JAV federalinių teismų nagrinėjamų veiksnių sąrašas nėra baigtinis:

• prašomų dokumentų ar kitos informacijos svarbą teismo procesui;
• prašymo konkretumo laipsnį;
• ar informacija gauta JAV;
• ar yra alternatyvių informacijos užtikrinimo priemonių; ir
• kiek nesilaikymas pakenktų svarbiems JAV interesams.[lxvi]

Dažniausiai federaliniai teismai reikalauja atskleisti informaciją nepaisant galimų užsienio asmens duomenų apsaugos įstatymų pažeidimų.[lxvii]

Arbitrai, spręsdami, ar įpareigoti šalį atskleisti informaciją, susiduria su skirtingomis aplinkybėmis nei teismai. Kaip teigiama literatūroje, tai teisinga,[lxviii] kad teismai turi atsižvelgti į konkuruojančias teises ir pareigas, atsižvelgiant į panaikinimo arba atsisakymo vykdyti grėsmę pagal 1958 m. Konvenciją dėl užsienio arbitražų sprendimų pripažinimo ir vykdymo (Niujorko konvencija). Tačiau šioje nuomonėje neatsižvelgiama į tai, kad, atsižvelgiant į teisminio nesikišimo principą, nutartys dėl informacijos atskleidimo valstybės teismuose peržiūrimos minimaliai.[lxix] Yra daugybė pavyzdžių, kai valstijų teismai susilaiko nuo nutarčių dėl informacijos atskleidimo peržiūros.[lxx]

Atsižvelgiant į tribunolams suteiktą diskreciją procedūriniais klausimais, mažai tikėtina, kad panaikinimo ar atsisakymo vykdyti grėsmė bus pagrindinis aspektas. Neišvengiamybė, kad šalys bandys piktnaudžiauti BDAR įpareigojimais, siekdamos įgyti galimą procesinį pranašumą, tribunolams sudarys sudėtingas sąlygas suderinti duomenų subjekto interesus, viena vertus, ir išlaikyti patikimą įrodinėjimo procesą, kita vertus.[lxxi] Siekiant patikrinti tokį elgesį, būtina išaiškinti asmens duomenų apsaugos reikalavimų laikymąsi proceso pradžioje, pageidautina pasirašyti duomenų apsaugos protokolą, laikantis veiksmų plano rekomendacijų.

Asmens duomenų apsaugos reikalavimų nesilaikymas - pagrindas panaikinti sprendimą ir atsisakyti jį pripažinti bei vykdyti

Veiksmų plane nenagrinėjama, ar asmens duomenų apsaugos reikalavimų nesilaikymas gali būti panaudotas arbitražo sprendimui panaikinti arba atsisakyti jį pripažinti ir vykdyti. Šalys turi labai ribotas galimybes skųsti arbitražo sprendimus. Nepaisant to, pralaimėjusi šalis gali norėti užginčyti jo rezultatą ir pasinaudoti vienu iš pagrindinių bendrųjų pagrindų, kad užginčytų arbitražo sprendimą arba neleistų jo pripažinti ar vykdyti.

Šiuo metu Niujorko konvenciją yra pasirašiusios 168 valstybės, todėl ji yra pagrindinis užsienio arbitražo sprendimų pripažinimo ir vykdymo tarptautiniame komerciniame arbitraže teisinis pagrindas. Konvencijos V straipsnyje numatyti riboti pagrindai, kuriais remiantis galima atsisakyti pripažinti ir vykdyti arbitražo sprendimą. Šiuo metu svarbiausia, kad V straipsnio 2 dalies b punkte pripažįstama galimybė pasirašiusios valstybės kompetentingai institucijai atsisakyti pripažinti ar vykdyti viešąją tvarką pažeidžiantį arbitražo sprendimą.[lxxii]

Pagrindai, kuriais remiantis arbitražo sprendimas gali būti panaikintas, įvairiose jurisdikcijose skiriasi. UNCITRAL tarptautinio komercinio arbitražo pavyzdiniame įstatyme, kuris buvo plačiai priimtas, 34 straipsnio 2 dalyje pateikiamas panaikinimo pagrindų sąrašas. Šis sąrašas buvo sudarytas pagal Niujorko konvencijos V straipsnį.[lxxiii] 34 straipsnio 2 dalies b punkto ii papunktyje nustatyta, kad teismas gali panaikinti arbitražo sprendimą, jeigu jis prieštarauja valstybės viešajai tvarkai.[lxxiv]

Europos Teisingumo Teismas (ETT) byloje Eco Swiss prieš Benetton nusprendė, kad viršesnės privalomos ES teisės nuostatos gali būti pagrindinės viešosios tvarkos taisyklės, kurių pažeidimas gali būti pagrindas panaikinti arbitražo sprendimą, grindžiamą tokiu nacionalinėje teisėje numatytu pagrindu.[lxxv] Todėl tai, ar sprendimas gali būti panaikintas, ar gali būti atsisakyta jį pripažinti arba vykdyti dėl asmens duomenų apsaugos reikalavimų nesilaikymo, priklausys nuo to, ar BDAR taisyklės laikytinos imperatyviomis nuostatomis, kurių pažeidimas prieštarauja nacionalinei viešajai tvarkai.[lxxvi]

Reglamento "Roma I" 9 straipsnio 1 dalyje imperatyvios nuostatos apibrėžiamos kaip nuostatos, "kurių laikymąsi šalis laiko itin svarbiu jos viešiesiems interesams apsaugoti... tokiu mastu, kad jos taikomos bet kuriai situacijai, patenkančiai į jų taikymo sritį, neatsižvelgiant į kitaip taikytiną teisę". Kaip anksčiau pripažino Cervenka ir Schwarz, dauguma BDAR taisyklių, tikėtina, gali būti laikomos viršesnėmis privalomomis nuostatomis pagal ES teisę. Todėl jų pažeidimas gali būti laikomas viešosios tvarkos pažeidimu.[lxxvii]

Galimybė, kad dėl asmens duomenų apsaugos reikalavimų nesilaikymo arbitražo sprendimas gali būti panaikintas arba nepripažintas ir nevykdomas, kelia įvairių rūpesčių. Pirma, reikėtų tiksliai apibrėžti, kokie asmens duomenų apsaugos įpareigojimai būtų laikomi viršesnėmis privalomomis nuostatomis, nes ne visi pažeidimai yra vienodai svarbūs. Galiausiai ESTT tikriausiai bus paprašytas pateikti išsamesnių paaiškinimų. Antra, taip pat reikėtų atsižvelgti į galimą piktnaudžiavimą galimybe užginčyti arba ginčyti sprendimo vykdymą remiantis BDAR pažeidimu, kad šalys negalėtų tyčia pažeisti asmens duomenų apsaugos taisyklių, siekdamos vėliau turėti galimybę regreso tvarka ginčyti sprendimą. Galiausiai reikėtų apibrėžti, ar asmens duomenų apsaugos taisyklės būtų procesinės, ar materialinės teisės dalis ir kokiu būdu.[lxxviii]

Nors dar daug ką reikia apibrėžti, reikėtų aptarti asmens duomenų apsaugos reikalavimų nesilaikymo pasekmes arbitražo sprendimų panaikinimui, taip pat pripažinimui ir vykdymui. Įdomiausia, kad veiksmų plane apie tai neužsimenama.

Išvada

Šis planas skirtas padėti arbitražo specialistams nustatyti ir suprasti asmens duomenų apsaugos ir privatumo prievoles, kurios jiems gali būti taikomos tarptautinio arbitražo kontekste. Tačiau, kaip aptarta anksčiau, jame vis dar nenagrinėjami kai kurie konkretūs klausimai, kurie šiandien yra aktualūs ir neatidėliotini. Šeši šiame dokumente nustatyti ir išsamiai aptarti klausimai yra šie:

• BDAR taikymą arbitražams, vykstantiems už ES ribų;
• Bendrasis duomenų apsaugos reglamentas NAFTA arbitražo kontekste;
• virtualių arbitražo posėdžių klausimas;
• trečiųjų šalių finansuotojai ir jų vieta veiksmų plane;
• galimas piktnaudžiavimas BDAR; ir
• galimas neatitikimas BDAR kaip būdas panaikinti arba atsisakyti pripažinti ir vykdyti arbitražo sprendimą.

Kiekvieną iš šių klausimų reikės toliau svarstyti, nes prognozuojama, kad ateinančiais metais jie taps dar aktualesni. Tikimės, kad buvo įrodyta, jog juos verta įtraukti į veiksmų planą.

Priedai[lxxix] į veiksmų planą įtrauktos rekomendacijos skirtos padėti specialistams praktiškai spręsti šiuos reikalavimus. Pridėtas Duomenų apsaugos kontrolinis sąrašas, Teisėtų interesų vertinimo kontrolinis sąrašas, privatumo pranešimų pavyzdžiai ir ES standartinės sutarčių sąlygos - visa tai yra labai vertingi šaltiniai, kuriais specialistai turėtų naudotis siekdami užtikrinti, kad jų veikla atitiktų BDAR reikalavimus.

Tačiau esant konfliktinei situacijai tarp skirtingų jurisdikcijų, dėl įvairių vidaus teisės aktų, susijusių su asmens duomenų apsauga, skirtumų gali kilti dviprasmybių. Nors veiksmų plane pateiktos gairės yra plataus masto, jos vis tiek nėra privalomos. Praeityje UNCITRAL ir IBA savo taisyklėmis, gairėmis ir panašiais dokumentais siekė suderinti tarptautinio arbitražo procesą; nors jie nėra privalomi, jie neabejotinai yra įtikinami. Kaip UNCITRAL ir IBA bandė daryti su įvairiais tarptautinio arbitražo aspektais, taip ir asmens duomenų apsaugos reikalavimų, susijusių su arbitražu, suderinimo labai reikia; todėl, atsižvelgiant į suderinimą, turėtų būti parengtos reikiamos gairės.

Nors vis dar trūksta suderinimo, supratimo ir informuotumo apie BDAR atitikties reikalavimus ir jų poveikį tarptautiniam arbitražui, mes, arbitražo specialistai, ir toliau turėsime tenkintis šiuo metu galiojančia teisine sistema. Vis dėlto, nepaisant jo trūkumų, veiksmų planas yra labai reikalingas ir vilčių teikiantis žingsnis siekiant bendro arbitražo dalyvių asmens duomenų apsaugos prievolių supratimo.

[i] 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), OL 2016 L 119/1.

[ii] "Asmens duomenys" BDAR 4 straipsnyje apibrėžiami kaip:

(1) "asmens duomenys - bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė nustatyta arba gali būti nustatyta (toliau - duomenų subjektas); fizinis asmuo, kurio tapatybė gali būti nustatyta, yra asmuo, kurio tapatybę galima tiesiogiai ar netiesiogiai nustatyti, visų pirma pagal identifikatorių, pavyzdžiui, vardą, pavardę, identifikavimo numerį, buvimo vietos duomenis, internetinį identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, protinės, ekonominės, kultūrinės ar socialinės tapatybės požymius."

[iii] BDAR teritorinė taikymo sritis apibrėžta 3 straipsnyje:

1. "Šis reglamentas taikomas asmens duomenų tvarkymui vykdant duomenų valdytojo arba duomenų tvarkytojo padalinio veiklą Sąjungoje, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne.
2. Šis reglamentas taikomas Sąjungoje esančių duomenų subjektų asmens duomenims, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, kai duomenų tvarkymo veikla yra susijusi su:

(a) prekių ar paslaugų siūlymą tokiems duomenų subjektams Sąjungoje, neatsižvelgiant į tai, ar reikalaujama duomenų subjekto mokėjimo; arba

(b) jų elgesio stebėseną, jei jų elgesys vyksta Sąjungoje.

3. Šis reglamentas taikomas duomenų valdytojui, kuris nėra įsisteigęs Sąjungoje, bet yra vietoje, kurioje pagal tarptautinę viešąją teisę taikoma valstybės narės teisė, tvarkant asmens duomenis.

[iv] Žr. "duomenų tvarkytojo" apibrėžtį BDAR 4 straipsnyje.

[v] BDAR 83 straipsnio 4 dalis.

[vi] "Didžiausia bauda pagal BDAR skirta "Google" (Simmons + Simmons, 2019 m. sausio 22 d.), žr. www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways nubausta 20 mln. svarų sterlingų bauda už duomenų saugumo pažeidimą" (BBC, 2020 m. spalio 16 d.), žr. www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA jungtinė darbo grupė dėl duomenų apsaugos tarptautiniame arbitraže" (ICCA), žr. www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, žiūrėta 2021 m. rugpjūčio 18 d.

[viii] ICCA-IBA duomenų apsaugos tarptautiniame arbitraže planas" (ICCA, 2020 m. vasaris), žr. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, žiūrėta 2021 m. rugpjūčio 18 d.

[ix] Ten pat, 1.

[x] PCA byla Nr. 2018-54.

[xi] ICCA ir Niujorko advokatūra bei Tarptautinis konfliktų prevencijos ir sprendimo institutas, "ICCA-NYC Bar-CPR protokolas dėl kibernetinio saugumo tarptautiniame arbitraže (2020 m. leidimas)", žr. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, žiūrėta 2021 m. rugpjūčio 18 d.

[xii] "Kibernetinio saugumo gairės" (IBA, 2018 m. spalio mėn.), žr. www.ibanet.org/LPRU/Cybersecurity, žiūrėta 2020 m. gruodžio 1 d.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Tarptautiniai prekybos rūmai, 2020 m. balandžio 9 d.), žiūrėta 2021 m. rugpjūčio 18 d.

[xiv] Planas, B skirsnis.

[xv] Ten pat.

[xvi] BDAR 4 straipsnis.

[xvii] Ten pat.

[xviii] BDAR 4 straipsnis

[xix] Ten pat, 3 straipsnio 1 dalis.

[xx] Kelio planas, 7.

[xxi] BDAR 4 straipsnis.

[xxii] Veiksmų plane "arbitražo dalyviai" apibrėžiami kaip "įskaitant šalis, jų teisininkus, arbitrus ir arbitražo institucijas (tik)". Žr. veiksmų planą (n 3), 2.

[xxiii] BDAR 4 straipsnis.

[xxiv] Žr. 2019 m. liepos 29 d. sprendimo Fashion ID GmbH & Co KG prieš Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, 74, 85 punktus. Taip pat žr. 2018 m. birželio 5 d. Sprendimą Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; 2018 m. liepos 10 d. Sprendimą Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Kelio planas, 11

[xxvi] Ten pat, 12.

[xxvii] Bendrojo duomenų apsaugos reglamento 5 ir 12-22 straipsniai; 14-15 veiksmų planas.

[xxviii] Pavyzdžiui, pagal BDAR asmens duomenų tvarkymas tarptautinio arbitražo kontekste yra teisėtas, kai tai būtina duomenų valdytojo teisėtų interesų tikslais, atsižvelgiant į apribojimus, pagrįstus duomenų subjekto interesais ir pagrindinėmis teisėmis, o neskelbtini duomenys arbitražo kontekste gali būti tvarkomi pagal nukrypti leidžiančią nuostatą dėl teisinių reikalavimų (9 straipsnio 2 dalies f punktas).

[xxix] Kelio planas, 19.

[xxx] Ten pat, 20-21.

[xxxi] Ten pat, 30-31.

[xxxii] Ten pat, 32.

[xxxiii] Ten pat, 33-36.

[xxxiv] Ten pat, 37-39.

[xxxv] Ten pat, 37.

[xxxvi] Ten pat, 39.

[xxxvii] Ten pat, 40-41.

[xxxviii] Ten pat, 42.

[xxxix] Ten pat, 43.

[xl] BDAR 5 straipsnio 1 dalies e punktas.

[xli] Kelio planas, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] ES Komisija nusprendė, kad šalyje užtikrinama tinkama duomenų apsauga.

[xliv] Tarptautinio arbitražo atveju tai greičiausiai būtų standartinė sutarties sąlyga.

[xlv] Išimtis dėl teisinių reikalavimų, pagal kurią leidžiama perduoti duomenis, kai tai "būtina teisiniams reikalavimams pareikšti, vykdyti ar ginti", yra labiausiai taikoma arbitražo kontekste.

[xlvi] Dėl aukštos ribos ir pranešimo reikalavimo rėmimasis įtikinamais teisėtais interesais neturi praktinės reikšmės. Žr. 2018 m. vasario 6 d. EDPB "Gairės 2/2018 dėl nukrypti leidžiančių nuostatų, susijusių su 49 straipsniu pagal Reglamentą 2016/679" (Duomenų perdavimo gairės).

[xlvii] Veiksmų planas, 8, 13.

[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Ar negalime priversti jį pasitraukti? (Kluwer Arbitration Blog, 2019 m. rugpjūčio 29 d.), žr. http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [žiūrėta 2021 m. rugpjūčio 18 d.].

[xlix] PCA byla Nr. 2018-54.

[l] Ten pat, Tarnautojų teismo pranešimas šalims (Perm Ct Arb, 2019).

[li] Kelio planas, 37.

[lii] ICCA ir Niujorko advokatūra bei Tarptautinis konfliktų prevencijos ir sprendimo institutas, "ICCA-NYC Bar-CPR protokolas dėl kibernetinio saugumo tarptautiniame arbitraže (2020 m. leidimas)" (ICCA), žr. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, žiūrėta 2021 m. rugpjūčio 18 d.

[liii] "Kibernetinio saugumo gairės" (IBA, 2018 m. spalio mėn.), žr. www.ibanet.org/LPRU/Cybersecurity, žiūrėta 2020 m. gruodžio 1 d.

[liv] Andreas Respondek, Tasha Lim, "Ar ICCA/IBA duomenų apsaugos darbo grupė turėtų atsižvelgti į BDAR poveikį vaizdo konferencijoms tarptautinio arbitražo procese? (Kluwer Arbitration Blog, 2020 m. liepos 18 d.), žr. http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, žiūrėta 2021 m. rugpjūčio 18 d.

[lv] "ICC gairės dėl galimų priemonių, skirtų COVID-19 pandemijos padariniams sušvelninti" (ICC, 2020 m. balandžio 9 d.), žiūrėta 2021 m. rugpjūčio 18 d.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Kelio planas, 2.

[lviii] Ten pat, 23-25.

[lix] Bendrojo duomenų apsaugos reglamento 4 straipsnio 2 dalis, žr. n 1 pirmiau.

[lx] BDAR 6 straipsnio 1 dalies f punktas.

[lxi] Allan J Arffa ir kiti, "BDAR klausimai tarptautiniame arbitraže" (Lexology, 2020 m. rugpjūčio 10 d.), žr. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, žiūrėta 2021 m. rugpjūčio 18 d.

[lxii] Veiksmų planas, 5 priedas.

[lxiii] Allan J Arffa ir kiti, "BDAR klausimai tarptautiniame arbitraže" (Lexology, 2020 m. rugpjūčio 10 d.), žr. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> žiūrėta 2021 m. rugpjūčio 18 d.

[lxiv] 40-41 veiksmų planas.

[lxv] Pavyzdžiui, žr: David M. Howard, "Užsienio duomenų apsaugos įstatymai tarptautiniame arbitraže ir Jungtinių Valstijų teisminiuose ginčuose" (2020) 55 Tex Int'l L J 395.

[lxvi] Ten pat; Richmark Corp prieš Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] "Užsienio duomenų apsaugos įstatymai JAV teisminiuose ginčuose ir tarptautiniame arbitraže" (Baker Botts, 2020 m. vasario 6 d.), žr. www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> žiūrėta 2021 m. rugpjūčio 18 d.

[lxviii] David M. Howard, "Užsienio duomenų apsaugos įstatymai tarptautiniame arbitraže ir Jungtinių Valstijų teisminiuose procesuose" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, Tarptautinis komercinis arbitražas (2-asis leidimas, Kluwer Law International 2014), 2335.

[lxx] Ten pat. Šiam argumentui pagrįsti Bornas cituoja šiuos sprendimus: 2004 m. sausio 22 d. Sprendimas Société Nat'l Cie for Fishing & Marketing "Nafimco" prieš Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "Arbitražo teismo sprendimas nurodyti atskleisti informaciją priklauso jo procesinei diskrecijai ir negali būti peržiūrėtas teismų"; Karaha Bodas Co prieš Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Prašymai atskleisti informaciją yra "protingas Tarnautojų teismo diskrecijos įgyvendinimas".

[lxxi] Natalia M Szlarb, "BDAR ir tarptautinis arbitražas kryžkelėje" (The National Law Review, 2019 m. gruodžio 4 d.), žr. www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, žiūrėta 2021 m. rugpjūčio 18 d.

[lxxii] Niujorko konvencijos V straipsnio 2 dalis: "Arbitražo sprendimą taip pat gali būti atsisakyta pripažinti ir vykdyti, jei šalies, kurioje prašoma pripažinti ir vykdyti, kompetentinga institucija nustato, kad... b) sprendimo pripažinimas ar vykdymas prieštarautų tos šalies viešajai tvarkai.

[lxxiii] JT Generalinis Sekretorius, Tarptautinio komercinio arbitražo pavyzdinio įstatymo projekto analitinis komentaras, A/CN.9/264 (1985), 34 straipsnis, 6 dalis.

[lxxiv] UNCITRAL Tarptautinio komercinio arbitražo pavyzdinio įstatymo 34 straipsnio 2 dalis: "6 straipsnyje nurodytas teismas gali panaikinti arbitražo sprendimą tik tuo atveju, jei...(b) teismas nustato, kad...(ii) arbitražo sprendimas prieštarauja šios valstybės viešajai tvarkai".

[lxxv] 1999 m. birželio 1 d. sprendimas Eco Swiss China Time Ltd prieš Benetton International NV C-126/97, Rink. 1999, p. I-03055, par. 39 ir 41. Išsamiai apie ES viešąją politiką žr: Sacha Prechal ir Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka ir Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ten pat.

[lxxviii] Išsamiau apie šiuos ir kitus klausimus žr: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration", José R Mata Dona ir Nikos Lavranos (red.), International Arbitration and EU Law (Edward Elgar Publishing, 2021 m.), 5.63 ir tolesni punktai; Cervenka ir Schwarz, žr. 76 punktą, 84-85.

[lxxix] "ICCA-IBA duomenų apsaugos tarptautiniame arbitraže planas, priedai" (ICCA, 2020 m. vasaris), žr. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, žiūrėta 2021 m. rugpjūčio 18 d.

Šis straipsnis pirmą kartą buvo paskelbtas žurnale "Dispute Resolution International", t. 15 Nr. 2, 2021 m. spalis, ir skelbiamas Tarptautinės advokatų asociacijos, Londonas, Jungtinė Karalystė, leidimu. © Tarptautinė teisininkų asociacija.