Kalbos

Titanų susidūrimas: Bendrasis duomenų apsaugos reglamentas ir tarptautinis arbitražas - žvilgsnis į ateitį

Leidiniai: lapkričio 10, 2021

Grįžti į apžvalgą

Autoriai

Catherine Raudaschl

Susiję ekspertų vadovai

Įvadas

Pastaraisiais metais iškilo klausimų dėl praktinio asmens duomenų privatumo ir kibernetinio saugumo poveikio faktiniam tarptautinių arbitražų vykdymui, ypač atsižvelgiant į nuolatinius technologinius pokyčius.

Bendrasis duomenų apsaugos reglamentas (BDAR)[1] 2020 m. gegužės mėn. atšventė antrąjį gimtadienį. BDAR asmens duomenų apsaugos sistema siekiama užtikrinti laisvą "fizinio asmens, kurio tapatybė nustatyta arba gali būti nustatyta, asmens duomenų judėjimą."[2] Jis taikomas Europos Sąjungoje ir turi ekstrateritorinę taikymo sritį, kuri gali būti išplėsta už ES ribų;[3] BDAR gali turėti įtakos ne tik visiems fiziniams ar juridiniams asmenims, bet ir valdžios institucijoms, agentūroms ir kitoms įstaigoms - galbūt įskaitant tarptautines organizacijas - nustatyti asmens duomenų apsaugos prievoles.[4] Sankcijos pagal BDAR gali siekti 4 proc. pažeidimą padariusio subjekto praėjusių finansinių metų pasaulinės metinės apyvartos arba 20 mln. eurų, priklausomai nuo to, kuri suma yra didesnė[5].

Nors asmens duomenų apsaugos teisės aktų taikymas arbitražui yra nustatytas, tačiau nėra nustatyta, kaip šie įstatymai turėtų būti taikomi. Dėl šios priežasties Tarptautinė komercinio arbitražo taryba (ICCA) ir Tarptautinė advokatų asociacija (IBA) 2019 m. vasario mėn. įsteigė jungtinę duomenų apsaugos tarptautinio arbitražo procese darbo grupę, kurios tikslas - parengti vadovą, kuriame būtų pateiktos praktinės asmens duomenų apsaugos tarptautiniame arbitraže gairės. Darbo grupė konsultacinį šio vadovo projektą paskelbė 2020 m. kovo mėn. 2020 m. kovo mėn. šis komentaras bus grindžiamas šiuo vadovo projektu (toliau - vadovas),[8] o galutinė, peržiūrėta vadovo versija turėtų būti paskelbta 2021 m. rugsėjo mėn. Nors terminas, iki kurio buvo galima teikti pastabas dėl konsultacinio projekto, šio dokumento rengimo metu jau buvo pasibaigęs, vis dėlto preliminari Plano versija iliustruoja klausimus, kylančius dėl BDAR tarptautiniuose arbitražuose. Todėl juo bus remiamasi kaip diskusijų pagrindu.

Dauguma asmens duomenų apsaugos įstatymų yra privalomi arbitražo procese, t. y. juose nurodomi:

  • kokie asmens duomenys gali būti tvarkomi;
  • kur;
  • kokiomis priemonėmis;
  • kokiomis informacijos apsaugos priemonėmis; ir
  • kiek laiko[9].

Tačiau jose nenagrinėjama, kaip šių privalomų įpareigojimų turėtų būti laikomasi arbitražo procese. Nesant konkrečių reguliuojančiųjų institucijų gairių, šis planas skirtas padėti arbitražo specialistams nustatyti ir suprasti asmens duomenų apsaugos ir privatumo prievoles, kurios jiems gali būti taikomos tarptautinio arbitražo kontekste. Be to, BDAR apsaugos mastas išlieka aktualus tarptautiniuose arbitražo procesuose, daugiausia dėl to, ar BDAR įstatymai taikomi arbitražams, kurių buveinės yra už ES ribų. Jeigu nustatoma, kad BDAR taikomas arbitražo procesui, kyla įvairių papildomų pasekmių: pirma, ar draudžiama tvarkyti asmens duomenis ir, antra, ar yra asmens duomenų perdavimo už ES ribų apribojimų. Galiausiai dėl vis dažniau pasitaikančių kibernetinių išpuolių tokios atakos prieš arbitražą pasekmės gali sukelti didelių nuostolių.

Šiame straipsnyje siekiama pateikti komentarus apie veiksmų planą ir išnagrinėti praktines priemones, į kurias reikėtų atsižvelgti dėl asmens duomenų apsaugos prievolių tarptautinio arbitražo procese. Jame nurodoma, kad veiksmų planas yra daug žadanti, nors ir neišbaigta, priemonė, papildanti įvairius iki šiol vykdytus švelniosios teisės bandymus suderinti tarptautinį arbitražą, visų pirma IBA ir Jungtinių Tautų Tarptautinės prekybos teisės komisijos (UNCITRAL) priemones.

Pirmiausia bus pateikta trumpa veiksmų plano santrauka, kurioje pateikiama nuoroda į BDAR principus. Tai neturi būti išsami apžvalga, bet veikiau bus pristatyti pagrindiniai Veiksmų plano punktai, kad skaitytojui būtų suteiktas kontekstas tolesnei diskusijai. Antra, bus pateiktas komentaras, kuriame aptariami šeši aktualūs klausimai:

  • Bendrojo duomenų apsaugos reglamento taikymas arbitražams, vykstantiems už ES ribų;
  • BDAR Šiaurės Amerikos laisvosios prekybos susitarimo (NAFTA) arbitražo bylose, kaip parodyta byloje Tennant Energy, LLC prieš Kanados vyriausybę;[10].
  • vaizdo konferencijų klausimas, kurio svarba labai išaugo per Kovid-19 pandemiją, įskaitant nuorodas į "ICCA-NYC Bar-CPR protokolą dėl kibernetinio saugumo tarptautiniame arbitraže" (Kibernetinio saugumo protokolas)[11], IBA Kibernetinio saugumo gaires[12] ir ICC gaires dėl galimų priemonių, kuriomis siekiama sušvelninti Kovid-19 pandemijos poveikį;[13]
  • "trečiųjų šalių finansuotojai" ir tai, kaip į juos atsižvelgiama veiksmų plane;
  • piktnaudžiavimas BDAR, ypač kaip skydu už informacijos neatskleidimą; ir
  • galimybę panaudoti asmens duomenų apsaugos reikalavimų nesilaikymą kaip būdą panaikinti arba atsisakyti pripažinti ir vykdyti arbitražo sprendimą.

Baigiamosios mintys bus pateiktos išvadose.

Veiksmų planas

Fiziniai ir juridiniai asmenys privalo saugoti duomenų subjektų asmens duomenis. Pačiam arbitražui netaikomos asmens duomenų apsaugos prievolės. Tačiau jei asmens duomenų apsaugos prievolės taikomos tik vienam arbitražo dalyviui, tai gali turėti įtakos visam arbitražui. Nuo to, ar asmens duomenų tvarkymas patenka į atitinkamus įstatymus, materialinę ir jurisdikcinę taikymo sritį, priklauso, ar taikomi asmens duomenų apsaugos įstatymai[14].

Šiuolaikiniai asmens duomenų apsaugos įstatymai taikomi visada, kai tvarkomi asmens duomenys apie duomenų subjektą vykdant veiklą, kuri patenka į atitinkamų asmens duomenų apsaugos įstatymų jurisdikcinę taikymo sritį[15]. asmens duomenys apima "bet kokią informaciją, susijusią su fiziniu asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti"[16]. per tipinį arbitražo procesą keičiamasi didelėmis informacijos dalimis, susijusiomis, inter alia, su šalimis, jų advokatais, arbitražo teismu ir trečiosiomis šalimis. Todėl tikėtina, kad jie gali būti laikomi atitinkančiais "asmens duomenų" apibrėžtį. Duomenų subjektai - tai pirmiau minėti asmenys, kurių tapatybė nustatyta arba kurių tapatybę galima nustatyti[17]. Duomenų tvarkymas apima aktyvias ir pasyvias operacijas, taigi apima asmens duomenų naudojimą, platinimą ir ištrynimą, taip pat asmens duomenų gavimą, tvarkymą ir saugojimą.[18] Taikymo sritis apima veiksmus, kai asmens duomenys tvarkomi vykdant duomenų valdytojo arba duomenų tvarkytojo padalinio veiklą ES[19] ir ekstrateritorialiai, pavyzdžiui, kai asmens duomenys perduodami už ES ribų subjektams arba asmenims, kuriems dėl kitų priežasčių BDAR dar netaikomas[20].

Arbitrai bus kvalifikuojami kaip duomenų valdytojai, o tai reiškia, kad jie bus atsakingi už asmens duomenų apsaugos įstatymų laikymąsi. Tačiau, remiantis "duomenų valdytojo" apibrėžtimi;[21] dauguma arbitražo dalyvių[22] greičiausiai bus laikomi tokiais, įskaitant advokatus, šalis ir instituciją. Duomenų valdytojai gali perduoti duomenų tvarkymą duomenų tvarkytojams,[23] kurie bus jų kontroliuojami ir su kuriais reikės sudaryti duomenų tvarkymo sutartis pagal taikytinuose įstatymuose nustatytas sąlygas. Taigi sekretoriai, transkribuotojai, vertėjai ir kiti asmenys greičiausiai bus laikomi duomenų tvarkytojais. Be to, dar vienas klausimas yra susijęs su bendrais duomenų valdytojais, kurie kartu nustato duomenų tvarkymo tikslus ir priemones. Bendro duomenų valdytojo atsakomybė aiškinama plačiai, tačiau bendro duomenų valdytojo atsakomybė apsiriboja tik duomenų tvarkymu, kurį nustatė duomenų valdytojas, jo tikslu ir priemonėmis, o ne bendru duomenų tvarkymu[24].

Tarptautiniuose arbitražuose asmens duomenų perdavimo tarp jurisdikcijų apribojimai yra akivaizdus būdas, kuriuo taikomi asmens duomenų apsaugos įstatymai. Skirtingų arbitražo dalyvių kilmė lemia skirtingų asmens duomenų apsaugos režimų taikymą. Šiuolaikiniai asmens duomenų apsaugos įstatymai riboja asmens duomenų perdavimą į trečiąsias šalis, siekdami užtikrinti, kad nebūtų apeinamos teisinės prievolės perduodant asmens duomenis į jurisdikcijas, kuriose taikomi žemesni asmens duomenų apsaugos standartai[25]. pagal BDAR leidžiama perduoti asmens duomenis į trečiąją šalį, jei įvyksta vienas iš šių atvejų:

  • ES Komisija pripažino, kad toje šalyje užtikrinama tinkama asmens duomenų apsauga;
  • taikoma viena iš aiškiai išvardytų apsaugos priemonių;
  • taikoma nukrypti leidžianti nuostata, pagal kurią leidžiama perduoti duomenis, kai tai būtina teisiniams reikalavimams pareikšti, vykdyti ar ginti; arba
  • šalis turi įtikinamą teisėtą interesą[26].

Šios taisyklės taikomos arbitražo dalyviams, o ne visam arbitražui, todėl kiekvienas arbitražo dalyvis privalo apsvarstyti, kokie asmens duomenų perdavimo apribojimai jam taikomi.

Arbitraže taikomi šie asmens duomenų apsaugos principai: sąžiningas ir teisėtas duomenų tvarkymas, proporcingumas, duomenų kiekio mažinimas, tikslo apribojimas, duomenų subjekto teisės, tikslumas, duomenų saugumas, skaidrumas ir atskaitomybė[27].

Keletą šių principų reikia plačiau pakomentuoti. Sąžiningas ir teisėtas tvarkymas reiškia, kad asmens duomenys turėtų būti tvarkomi tik tokiais būdais, kurių duomenų subjektai pagrįstai tikisi, ir kad tvarkymui turi būti teisinis pagrindas. Taikydami sąžiningumo principą, šalis ir jos patarėjas turėtų paklausti savęs, ar, atsižvelgiant į visus faktus, asmenys tikėjosi, kad jų asmens duomenys bus tvarkomi tokiu būdu, ar tai sukels jiems neigiamų pasekmių ir ar šios pasekmės yra pagrįstos. Šis principas netrukdys verslo elektroniniuose laiškuose rastus asmens duomenis pripažinti įrodymais.

Teisėto duomenų tvarkymo sąvoka apima teisinį pagrindą, kuris priklauso nuo faktų ir konkretaus atvejo. Užuot rėmusis sutikimu, reikėtų remtis konkrečiais BDAR numatytais teisiniais pagrindais[28].

Dėl proporcingumo reikia atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, atsižvelgiant į duomenų subjektui keliamą pavojų[29]. Dėl duomenų kiekio mažinimo reikalaujama, kad arbitražo dalyviai apribotų asmens duomenų tvarkymą iki adekvataus, tinkamo ir tik būtino.[30] Skaidrumas reikalauja, kad duomenų subjektai būtų informuojami apie asmens duomenų tvarkymą ir asmens duomenų tvarkymo tikslą pateikiant bendrus pranešimus, specialius pranešimus arba ir vieną, ir kitą.[31] Atskaitomybė susijusi su asmenine atsakomybe už duomenų apsaugos reikalavimų laikymąsi, t. y. arbitražo dalyviai turėtų dokumentuoti visas asmens duomenų apsaugos priemones ir priimtus sprendimus, kad įrodytų jų laikymąsi[32].

Asmens duomenų apsaugos reikalavimų laikymasis turi įtakos atskiriems tarptautinio arbitražo proceso etapams, ne tik paties arbitražo metu, bet ir pasirengimo metu. Nuo pat pradžių arbitražo dalyviai turėtų apsvarstyti, kokie asmens duomenų apsaugos įstatymai taikomi jiems patiems ir kitiems arbitražo dalyviams ir kurie arbitražo dalyviai tvarkys asmens duomenis kaip duomenų valdytojai, tvarkytojai ar bendri duomenų valdytojai. Taip pat reikėtų apsvarstyti trečiųjų šalių asmens duomenų perdavimo taisykles ir asmens duomenų tvarkymo susitarimus dėl trečiųjų šalių paslaugų teikėjų. Dokumentų rinkimo ir nagrinėjimo proceso metu šalims ir jų teisininkams reikia teisinio pagrindo duomenų tvarkymo veiklai ir asmens duomenų perdavimui trečiosiose šalyse[33].

Arbitražo prašyme ir vėliau pateiktuose dokumentuose bus pateikiami asmens duomenys, kurie patenka į duomenų tvarkymo sritį. Jeigu arbitražo institucijai privalomi taikytini asmens duomenų apsaugos įstatymai, ji turi atsižvelgti į galimas asmens duomenų apsaugos prievoles, kurios taikomos kiekviename procedūriniame etape. Jei arbitražo institucijai taikomas BDAR, ji paprastai tampa asmens duomenų valdytoja. Kad atitiktų BDAR 13 ir 14 straipsnius, tokia institucija į savo privatumo pranešimą turėtų įtraukti informaciją apie saugumo priemones, naudojimąsi duomenų subjekto teisėmis, įrašų tvarkymą ir duomenų pažeidimo bei saugojimo politiką. 34. Tačiau tarptautinėms organizacijoms, administruojančioms investuotojo ir valstybės arbitražą, asmens duomenų apsaugos įstatymai gali būti netaikomi dėl privilegijų ir imunitetų steigiamojoje valstybėje arba priimančiosios šalies susitarime. Todėl šiuo atveju reikia atlikti atskirus svarstymus, įskaitant, inter alia, tai, ar organizacijai privalomi asmens duomenų apsaugos įstatymai ir ar arbitražo dalyviams būtų taikomos privilegijos ir imunitetai ir kokiu mastu[35].

Skiriant arbitrus į arbitražo teismą paprastai keičiamasi dideliu kiekiu potencialių arbitrų asmens duomenų. Arbitražo dalyviai turėtų įtraukti šių asmens duomenų tvarkymo teisinį pagrindą į savo teisinius pranešimus ir aiškiai informuoti arbitrus, kuriuos svarstoma paskirti arbitrais, apie jų asmens duomenų tvarkymą, ypač tuo atveju, kai asmens duomenys perduodami trečiosioms šalims[36].

Prasidėjus arbitražiniam nagrinėjimui, siekiant sumažinti riziką, reikėtų anksti paskirstyti atsakomybę už asmens duomenų apsaugos reikalavimų laikymąsi. Asmens duomenų apsauga turėtų būti įtraukta į pirmosios procedūrinės konferencijos darbotvarkę, o arbitražo dalyviai turėtų stengtis kuo anksčiau susitarti, kaip spręsti asmens duomenų apsaugos atitikties užtikrinimo klausimus. Šalys, jų advokatai ir arbitrai turėtų apsvarstyti galimybę sudaryti asmens duomenų apsaugos protokolą, kad būtų galima veiksmingai valdyti atitikties klausimus. Jei tai neįmanoma, alternatyvi galimybė - arbitražo teismui įtraukti juos į pirmąją procedūrinę nutartį[37].

Dokumentų rengimo ir atskleidimo procese ypač svarbus asmens duomenų kiekio mažinimo principas. Pagal BDAR tai greičiausiai reikštų, kad reikia:

  • apriboti atskleidžiamus asmens duomenis iki svarbių ir nedubliuojančių;
  • nustatyti asmens duomenis, esančius atsakomojoje medžiagoje, ir
  • redaguoti nereikalingus asmens duomenis arba suteikti jiems pseudonimus.

Šiuos klausimus taip pat reikėtų apsvarstyti proceso pradžioje, pageidautina per pirmąją procedūrinę konferenciją arba prieš ją[38].

Kai kalbama apie sprendimų priėmimą, arbitrai ir institucijos turėtų apsvarstyti asmens duomenų įtraukimo į sprendimus pagrindą ir būtinybę. Jei arbitražas yra konfidencialus, vis dėlto yra rizika, kad vykdant sprendimą jis taps viešas. Net jei asmens duomenys redaguojami, jie paprastai lieka asmens duomenimis, nes duomenų subjektą galima identifikuoti iš likusios arbitražo sprendimo ar susijusios medžiagos[39].

Duomenų saugojimas ir ištrynimas laikomi duomenų tvarkymu pagal BDAR, kuriame nustatyta, kad asmens duomenys "saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei to reikia tais tikslais, kuriais asmens duomenys tvarkomi"[40]. Duomenų valdytojai turi apsvarstyti, dokumentuoti ir sugebėti pagrįsti saugojimo trukmę. Arbitražo dalyviai turi apsvarstyti, koks duomenų saugojimo laikotarpis yra pagrįstas, ir turėtų laikytis proporcingo požiūrio, kad subalansuotų savo poreikius ir duomenų saugojimo poveikį subjektui[41].

BDAR taikymas ne ES vykstantiems arbitražams

Bendrojo duomenų apsaugos reglamento teritorinė taikymo sritis yra gana plati. Specialistai turėtų žinoti apie jo taikymą nepriklausomai nuo to, ar jie yra įsikūrę, ar arbitražas vyksta ES, ar ne. Bendrasis duomenų apsaugos reglamentas taikomas ES įsisteigusių duomenų valdytojų arba duomenų tvarkytojų atliekamam asmens duomenų tvarkymui, neatsižvelgiant į tai, ar pats duomenų tvarkymas vyksta ES (3 straipsnio 1 dalis). Be to, kai kalbama apie prekių ar paslaugų siūlymą ES piliečiams arba elgesio, kuris vyksta ES, stebėseną, BDAR taikomas ES neįsisteigusio duomenų valdytojo arba duomenų tvarkytojo atliekamam asmens duomenų tvarkymui (3 straipsnio 2 dalis).

Taikant BDAR arbitražo kontekste, prievolės nustatomos duomenų valdytojams ir duomenų tvarkytojams - arbitrams, advokatams, šalims ir institucijoms - kurie patenka į jo materialinę ir teritorinę taikymo sritį, o ne tiesiogiai arbitražo procesui. Net jei tik vienas arbitražo dalyvis yra susijęs su ES, jis privalės tvarkyti asmens duomenis pagal BDAR. Gali kilti padarinių visam procesui[42].

Tarptautinio arbitražo, kuriame įprasta perduoti arbitražo medžiagą, kurioje yra asmens duomenų, kontekste bene labiausiai pastebimi apribojimai, taikomi asmens duomenų perdavimui į "trečiąsias šalis" už Europos ekonominės erdvės (EEE) ribų. Tokiu atveju, kad būtų leista perduoti asmens duomenis, būtinas vienas iš keturių teisėtų pagrindų. Pirma, duomenų perdavimas į trečiąją šalį leidžiamas, jei tai trečiajai šaliai taikomas sprendimas dėl tinkamumo (45 straipsnio 1 dalis)[43], o jei taip nėra, jei įmanoma, turėtų būti taikoma viena iš atitinkamų apsaugos priemonių (46 straipsnio 1 dalis).[44] Jeigu sprendimas dėl tinkamumo nėra priimtas ir tinkamos apsaugos priemonės neįmanoma taikyti, galima remtis specialia nukrypti leidžiančia nuostata (49 straipsnio 1 dalis)[45]. galiausiai, jeigu pirmiau minėtų nuostatų nėra, šalis gali remtis įtikinamu teisėtu interesu (49 straipsnio 1 dalis)[46] kaip teisėtu trečiosios šalies asmens duomenų perdavimo pagrindu.

Veiksmų plane gana išsamiai išdėstyti būtini svarstymai, kuriuos turi atlikti arbitražo dalyviai. Jame ne kartą pabrėžiama, kad asmens duomenų apsaugos principai ir perdavimo taisyklės taikomos ne arbitražui kaip tokiam, o arbitražo dalyviams[47]. Atsižvelgiant į tai, darytina prielaida, kad ES įsikūręs arbitras, dalyvaujantis ne ES arbitraže, kuriam kitaip netaikomas BDAR, vis tiek turės laikytis BDAR nustatytų asmens duomenų tvarkymo ir perdavimo reikalavimų. Tai iš tiesų visuotinai pripažįstama komercinio arbitražo procese,[48] tačiau situacija nėra tokia aiški, kai kalbama apie investuotojo ir valstybės arbitražą.

Byloje Tennant Energy, LLC prieš Kanados vyriausybę

2019 m. NAFTA 11 skyriaus arbitražo byloje Tennant Energy, LLC prieš Kanados vyriausybę (Tennant)[49] ieškovas Tennant iškėlė klausimą dėl BDAR taikymo procesui atsižvelgiant į vieno iš arbitražo tribunolo narių pilietybę ir nuolatinę gyvenamąją vietą Jungtinėje Karalystėje. Tačiau tribunolas pateikė šalims nurodymus, kuriuose teigė, kad "arbitražas pagal NAFTA 11 skyrių - sutartį, kurios šalimi nėra nei Europos Sąjunga, nei jos valstybės narės, - iš esmės nepatenka į BDAR taikymo sritį"[50].

Svarbu atskirti sutartimis grindžiamą arbitražą nuo komercinio arbitražo, o Tennant patenka į pirmąją kategoriją. Plane atsižvelgiama į šį skirtumą, pažymint, kad tarptautinėms organizacijoms gali būti netaikomi asmens duomenų apsaugos teisės aktai[51]. Tennant arbitražo tribunolo nariams gali būti taikomi tam tikri imunitetai, kylantys iš Nuolatinio arbitražo teismo (NMA) susitarimo dėl būstinės su Nyderlandais. Tačiau NAFTA tribunolas nesvarstė, ar PCA, kaip tarptautinei organizacijai, būtų taikomos BDAR duomenų perdavimo taisyklės ir ar tribunolo nariai iš šio susitarimo įgytų tam tikrų imunitetų.

Dėl Tennant nurodymo kyla daugiau klausimų nei atsakymų dėl BDAR taikymo NAFTA procedūroms ir apskritai sutartimis grindžiamiems arbitražams, kurių niuansų aptarimas peržengia šios temos ribas. Nepaisant to, Tennant nurodymas, vertinant jį atsižvelgiant į veiksmų planą, rodo, kad ši tema tebėra labai neaiški. Geriausiu atveju abejotina, ar veiksmų planas suteikia kokio nors aiškumo arbitražo dalyviams, susiduriantiems su tokiu klausimu, ypač atsižvelgiant į tai, kad veiksmų planas buvo paskelbtas po Tennant nurodymo, tačiau į jį nebuvo atsižvelgta.

Vaizdo konferencijų klausimas

Veiksmų plane pripažįstama asmens duomenų saugumo svarba. Tačiau pastaruoju metu, kai naudojamos papildomos technologijos, palengvinančios virtualius posėdžius, taip pat darbą iš namų - daugiausia dėl dabartinių aplinkybių, kurias mums primetė Covid-19 pandemija, - šis klausimas tampa dar svarbesnis. Kibernetinio saugumo protokolas[52] ir IBA Kibernetinio saugumo gairės[53] šiek tiek nušvietė šį klausimą.

Kibernetinio saugumo protokole, kaip ir gairėse, nustatyti keli pagrindiniai principai. Taikomas proporcingumo principas, teismas turi įgaliojimus ir diskreciją nustatyti taikomas saugumo priemones, o informacijos saugumas yra klausimas, kuris turėtų būti aptartas per pirmąją bylos valdymo konferenciją. Kibernetinio saugumo protokolo A priede pateikiamas kontrolinis sąrašas, kurį arbitražo šalys gali naudoti siekdamos apsaugoti procesą.

Pastaruoju metu dėl Kovid-19 pandemijos pasikeitus darbo modeliams ir aplinkai, šiems klausimams turėtų būti skiriama daugiau dėmesio. Pasaulyje, kuris spaudžiamas ieškoti naujų verslo vykdymo būdų ir prisitaikyti prie neapibrėžtumo laikų, viena iš problemų, su kuriomis susiduria teisės sektorius, yra posėdžių klausimas, derinamas su apribojimais ir socialinio atsiribojimo poreikiu. Todėl vaizdo konferencijų populiarumas ir jų naudojimas tarptautiniuose arbitražo procesuose yra tai, į ką turėtų būti atsižvelgta veiksmų plane, tačiau to nebuvo padaryta - arba bent jau kol kas nebuvo padaryta.

Nors daugelis aptarė ir nurodė vaizdo posėdžių problemas, dauguma jų neaptarė, kaip jiems turėtų būti taikomi asmens duomenų apsaugos įstatymai, ne tik asmens duomenų apsaugos, bet ir saugumo požiūriu, nes kai kurios platformos buvo užpultos saugumo atakų[54].

Kaip aptarta pirmiau, labai svarbu suprasti skirtingus arbitražo procese dalyvaujančių šalių vaidmenis, susijusius su BDAR, t. y. kas yra "duomenų valdytojai" ir "duomenų tvarkytojai". Jeigu vaizdo konferencijų programinė įranga tvarko kokius nors asmens duomenis, pavyzdžiui, naudotojo vardą ir el. pašto adresą, gautus šaliai naudojantis paslauga, ji bus laikoma "duomenų tvarkytoju". Tai reiškia, kad jos privalo laikytis BDAR taisyklių, jei kuris nors iš dalyvių gyvena ES. Kadangi Tribunolas yra "duomenų valdytojas", tokiu atveju jis bus atsakingas už tai, kad būtų užtikrintas toks duomenų laikymasis.

Tarptautiniai prekybos rūmai (ICC) paskelbė rekomendacinį dokumentą[55], kuriame šalims pateikiamos siūlomos kibernetinio saugumo protokolų ir virtualių posėdžių sąlygos. Jame siekiama spręsti saugumo aspektą, tačiau asmens duomenų apsaugos aspektas jame nenagrinėjamas. Veiksmų plane turėtų būti aptartos galimybės, kaip asmens duomenų apsauga būtų taikoma virtualiai vykstantiems teismo posėdžiams, taip pat kaip to laikytis. Nors BDAR nurodyti reikalavimai, kurių turi būti laikomasi vaizdo konferencijų atveju, jame nepateikiama gairių, kaip jo reikalavimai taikomi tiesiogiai.

Nors plane nepateikiama rekomendacijų dėl konkrečių programinės įrangos tiekėjų, jame galėtų būti sudarytas ir specialistams pateiktas būtinų idealios vaizdo posėdžiams skirtos programinės įrangos specifikacijų sąrašas, kaip ir jo prieduose pateikiami kontroliniai sąrašai įvairiais kitais klausimais.

Kur yra trečiųjų šalių finansuotojai?

Trečiąja finansuojančia šalimi laikomas bet kuris arbitražo proceso dalyvis, nesantis arbitražo proceso šalimi, kuris sudaro susitarimą finansuoti visas arba dalį proceso išlaidų mainais už sumą, kuri visiškai arba iš dalies priklauso nuo bylos baigties[56]. Nors planas aiškiai skirtas tik arbitražo dalyviams, jame nurodoma, kad gairės yra svarbios ir paslaugų teikėjams, kuriems taip pat taikomi asmens duomenų apsaugos reikalavimai[57].

Veiksmų plane paslaugų teikėjams priskiriami "e. paieškos ekspertai, informacinių technologijų specialistai, teismo pranešėjai, vertimo paslaugos ir t. t."[58], tačiau trečiųjų šalių finansuotojai nėra aiškiai paminėti. Pagal BDAR asmens duomenų rinkimas ir saugojimas priskiriamas duomenų tvarkymui. Taigi, jei trečiųjų šalių finansuotojai renka kitų asmenų asmens duomenis, asmens duomenų įstatymai būtų taikomi ir jiems[59].

Pagal BDAR šaliai leidžiama tvarkyti asmens duomenis, jeigu "tvarkyti duomenis būtina duomenų valdytojo arba trečiosios šalies teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis, tikslais"[60], o tai arbitražo dalyviai potencialiai gali nurodyti kaip taikytiną atitinkamų asmens duomenų tvarkymo teisinį pagrindą. Gairės šia tema yra ribotos[61]:

"Pirmasis teisėtų interesų vertinimo žingsnis yra nustatyti teisėtą interesą - koks yra asmens duomenų tvarkymo tikslas ir kodėl jis jums, kaip duomenų valdytojui, yra svarbus? Arbitražo kontekste teisėtas interesas gali būti susijęs su teisingumo vykdymu, šalių teisių laikymosi užtikrinimu ir greitu bei sąžiningu ieškinių sprendimu pagal taikytinas arbitražo taisykles, taip pat su daugeliu kitų interesų"[62].

Įtraukus "taip pat daug kitų interesų", galbūt būtų galima įtraukti trečiųjų šalių finansuotojų teisėtus piniginius interesus. Jei taip, tuomet jie akivaizdžiai privalėtų sudaryti duomenų tvarkymo susitarimus su arbitražo proceso šalimis ir būtų įtraukti į asmens duomenų apsaugos reglamentų ir reikalavimų taikymo sritį. Įdomu tai, kad veiksmų plane aiškiai nenurodoma, kaip trečiosios šalys finansuotojos įsilieja į šią schemą, ypač atsižvelgiant į tai, kad jų įtraukimas į arbitražo procesą didėja.

Informacijos neatskleidimo skydas

Dėl asmens duomenų apsaugos įpareigojimų atsiranda galimybė piktnaudžiauti. Arbitražo šalys gali nesąžiningai naudotis BDAR kaip skydu, kad neatskleistų su procesu susijusios arba kitos šalies prašomos informacijos. Pavyzdžiui, šalis gali nesutikti su prašymu atskleisti informaciją, teigdama, kad dokumentuose yra su ginču nesusijusių asmens duomenų arba kad asmens informacijos redagavimas būtų pernelyg apsunkintas[63].

Veiksmų plane atkreipiamas dėmesys į piktnaudžiavimo galimybes. Jame siūloma kuo anksčiau iškelti ir išaiškinti asmens duomenų apsaugos prievoles, kad būtų sumažinta rizika, jog jos turės įtakos procesui. Dalyviai turėtų apsvarstyti galimybę sudaryti "duomenų apsaugos protokolą" - susitarimą dėl to, kaip asmens duomenų apsauga bus taikoma konkrečiomis aplinkybėmis. Arba, jei neįmanoma pasirašyti duomenų apsaugos protokolo, šie klausimai turėtų būti sprendžiami pirmajame procedūriniame nurodyme[64].

Palyginimui galima pažvelgti į BDAR laikymąsi atliekant atskleidimą JAV teisminiuose ginčuose. JAV federaliniai teismai, spręsdami, ar nurodyti atskleisti informaciją arba vykdyti šaukimus į teismą ar nurodymus atskleisti informaciją, kurie galimai pažeidžia užsienio įstatymus, įskaitant asmens duomenų apsaugos įstatymus, taiko balansavimo testus[65]. neišsamus veiksnių, į kuriuos atsižvelgia JAV federaliniai teismai, sąrašas:

  • prašomų dokumentų ar kitos informacijos svarba teismo procesui;
  • prašymo konkretumo laipsnis;
  • ar informacija buvo gauta JAV;
  • alternatyvių priemonių informacijai gauti prieinamumas; ir
  • tai, kokiu mastu prašymo nevykdymas pakenktų svarbiems JAV interesams[66].

Dažniausiai federaliniai teismai reikalauja atskleisti informaciją nepaisant galimų užsienio asmens duomenų apsaugos įstatymų pažeidimų[67].

Arbitrai, spręsdami, ar įpareigoti šalį atskleisti informaciją, susiduria su skirtingomis aplinkybėmis nei teismai. Teisinga, kaip teigiama literatūroje,[68] kad teismai turi atsižvelgti į konkuruojančias teises ir pareigas, atsižvelgiant į panaikinimo arba atsisakymo vykdyti grėsmę pagal 1958 m. Konvenciją dėl užsienio arbitražų sprendimų pripažinimo ir vykdymo (Niujorko konvencija). Tačiau šioje nuomonėje neatsižvelgiama į tai, kad, atsižvelgiant į teisminio nesikišimo principą, nutartys dėl informacijos atskleidimo valstybės teismuose peržiūrimos minimaliai[69].

Atsižvelgiant į teismams suteiktą diskreciją procedūriniais klausimais, mažai tikėtina, kad panaikinimo ar atsisakymo vykdyti grėsmė būtų pagrindinis motyvas. Neišvengiamybė, kad šalys bandys piktnaudžiauti BDAR įpareigojimais, siekdamos įgyti galimą procesinį pranašumą, tribunolus pastatys į sudėtingą padėtį, kai reikės, viena vertus, suderinti duomenų subjekto interesus ir, kita vertus, išlaikyti patikimą įrodinėjimo procesą[71]. asmens duomenų apsaugos atitikties įpareigojimų išaiškinimas proceso pradžioje - pageidautina pasirašytame duomenų apsaugos protokole - laikantis veiksmų plano rekomendacijų, atrodo, yra būtinas žingsnis siekiant patikrinti tokį elgesį.

Asmens duomenų apsaugos reikalavimų nesilaikymas - būdas panaikinti sprendimą ir atsisakyti pripažinti bei vykdyti sprendimą

Veiksmų plane nenagrinėjama, ar asmens duomenų apsaugos reikalavimų nesilaikymas gali būti panaudotas arbitražo sprendimui panaikinti arba atsisakyti jį pripažinti ir vykdyti. Šalys turi labai ribotas galimybes pasinaudoti arbitražo sprendimų apskundimo priemonėmis. Nepaisant to, pralaimėjusi šalis gali norėti užginčyti arbitražo sprendimo rezultatą ir pasinaudoti vienu iš pagrindinių bendrųjų pagrindų, kad užginčytų arbitražo sprendimą arba neleistų jo pripažinti ar vykdyti.

Niujorko konvenciją šiuo metu yra pasirašiusios 168 valstybės, todėl ji yra pagrindinis užsienio arbitražo sprendimų pripažinimo ir vykdymo tarptautiniame komerciniame arbitraže teisinis pagrindas. Konvencijos V straipsnyje numatyti riboti pagrindai, kuriais remiantis galima atsisakyti pripažinti ir vykdyti arbitražo sprendimą. Šiuo metu svarbiausia, kad V straipsnio 2 dalies b punkte pripažįstama galimybė pasirašiusios valstybės kompetentingai institucijai atsisakyti pripažinti ar vykdyti viešąją tvarką pažeidžiantį arbitražo sprendimą[72].

Pagrindai, kuriais remiantis arbitražo sprendimas gali būti panaikintas, įvairiose jurisdikcijose skiriasi. UNCITRAL tarptautinio komercinio arbitražo pavyzdinio įstatymo, kuris buvo plačiai priimtas, 34 straipsnio 2 dalyje pateikiamas panaikinimo pagrindų sąrašas. Šis sąrašas buvo sudarytas pagal Niujorko konvencijos V straipsnį[73]. 34 straipsnio 2 dalies b punkto ii papunktyje nustatyta, kad teismas gali panaikinti arbitražo sprendimą, jeigu jis prieštarauja valstybės viešajai tvarkai[74].

Europos Teisingumo Teismas (ETT) byloje Eco Swiss prieš Benetton nusprendė, kad viršesnės privalomos ES teisės nuostatos gali būti pagrindinės viešosios tvarkos taisyklės, kurių pažeidimas gali būti pagrindas panaikinti arbitražo sprendimą, grindžiamą tokiu nacionalinėje teisėje numatytu pagrindu[75]. Todėl tai, ar arbitražo sprendimas gali būti panaikintas, ar gali būti atsisakyta jį pripažinti arba vykdyti dėl asmens duomenų apsaugos reikalavimų nesilaikymo, priklausys nuo to, ar BDAR taisyklės laikytinos viršesnėmis privalomomis nuostatomis, kurių pažeidimas prieštarauja nacionalinei viešajai tvarkai[76].

Reglamento "Roma I" 9 straipsnio 1 dalyje imperatyviosios nuostatos apibrėžiamos kaip nuostatos, "kurių laikymąsi šalis laiko itin svarbiu jos viešiesiems interesams apsaugoti [...] tiek, kad jos taikomos bet kuriai situacijai, patenkančiai į jų taikymo sritį, neatsižvelgiant į kitaip taikytiną teisę". Kaip anksčiau pripažino Cervenka ir Schwarz, dauguma BDAR taisyklių, tikėtina, gali būti laikomos viršesnėmis privalomomis nuostatomis pagal ES teisę. Todėl jų pažeidimas gali būti laikomas viešosios tvarkos pažeidimu[77].

Galimybė, kad dėl asmens duomenų apsaugos reikalavimų nesilaikymo arbitražo sprendimas gali būti panaikintas arba nepripažintas ir nevykdomas, kelia įvairių rūpesčių. Pirma, reikėtų tiksliai apibrėžti, kurie asmens duomenų apsaugos įpareigojimai būtų laikomi viršesnėmis imperatyviosiomis nuostatomis, nes ne visi pažeidimai yra vienodai svarbūs. Galiausiai ESTT tikriausiai bus paprašytas pateikti daugiau paaiškinimų. Antra, taip pat reikėtų atsižvelgti į galimą piktnaudžiavimą galimybe užginčyti arba ginčyti sprendimo vykdymą remiantis BDAR pažeidimu, kad šalys negalėtų tyčia pažeisti asmens duomenų apsaugos taisyklių, siekdamos vėliau turėti galimybę regreso tvarka ginčyti sprendimą. Galiausiai reikėtų apibrėžti, ar asmens duomenų apsaugos taisyklės būtų procesinės, ar materialinės teisės dalis ir kokiu būdu[78].

Nors dar daug ką reikia apibrėžti, reikėtų aptarti asmens duomenų apsaugos reikalavimų nesilaikymo pasekmes arbitražo sprendimų panaikinimui, taip pat pripažinimui ir vykdymui. Įdomiausia, kad veiksmų plane apie tai neužsimenama.

Išvada

Šiuo veiksmų planu siekiama padėti arbitražo specialistams nustatyti ir suprasti asmens duomenų apsaugos ir privatumo prievoles, kurios jiems gali būti taikomos tarptautinio arbitražo kontekste. Tačiau, kaip aptarta anksčiau, jame vis dar nenagrinėjami kai kurie konkretūs klausimai, kurie šiandien yra aktualūs ir neatidėliotini. Šeši šiame dokumente nustatyti ir išsamiai aptarti klausimai yra šie:

  • BDAR taikymas arbitražams, vykstantiems už ES ribų;
  • BDAR taikymas NAFTA arbitražo bylose;
  • virtualių arbitražo posėdžių klausimas;
  • trečiųjų šalių finansuotojai ir jų vieta plane;
  • galimas piktnaudžiavimas BDAR; ir
  • galimas BDAR nesilaikymas kaip būdas panaikinti arba atsisakyti pripažinti ir vykdyti arbitražo sprendimą.

Kiekvieną iš šių klausimų reikės toliau svarstyti, nes prognozuojama, kad ateinančiais metais jie taps dar aktualesni. Tikimės, kad buvo įrodyta, jog jie verti būti įtraukti į veiksmų planą.

Prie Veiksmų plano pridėtais priedais[79] siekiama padėti specialistams praktiškai spręsti šiuos reikalavimus. Pridėtas Duomenų apsaugos kontrolinis sąrašas, Teisėtų interesų vertinimo kontrolinis sąrašas, Privatumo pranešimų pavyzdžiai ir ES standartinės sutarčių sąlygos - visa tai yra itin vertingi šaltiniai, kuriais turėtų naudotis specialistai, siekdami užtikrinti, kad jų veikla atitiktų BDAR reikalavimus.

Tačiau konfliktinėje situacijoje tarp skirtingų jurisdikcijų dėl įvairių nacionalinių teisės aktų, susijusių su asmens duomenų apsauga, skirtumų gali kilti dviprasmybių. Nors veiksmų plane pateiktos gairės yra plataus masto, jos vis tiek nėra privalomos. Praeityje UNCITRAL ir IBA savo taisyklėmis, gairėmis ir panašiais dokumentais siekė suderinti tarptautinio arbitražo procesą; nors jie nėra privalomi, jie neabejotinai yra įtikinami. Kaip UNCITRAL ir IBA bandė daryti su įvairiais tarptautinio arbitražo aspektais, taip ir asmens duomenų apsaugos reikalavimų, susijusių su arbitražu, suderinimo būtinai reikia; todėl, atsižvelgiant į suderinimą, turėtų būti parengtos būtinos gairės.

Nors vis dar trūksta suderinimo, supratimo ir informuotumo apie BDAR atitikties reikalavimus ir jų poveikį tarptautiniam arbitražui, mes, arbitražo specialistai, ir toliau tenkinsimės šiuo metu galiojančia teisine sistema. Vis dėlto, nepaisant jo trūkumų, veiksmų planas yra labai reikalingas ir vilčių teikiantis žingsnis siekiant bendro arbitražo dalyvių asmens duomenų apsaugos prievolių supratimo.

Ištekliai

  1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), OL 2016 L 119/1.
  2. Bendrojo duomenų apsaugos reglamento 4 straipsnyje "asmens duomenys" apibrėžiami kaip: (Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę galima tiesiogiai ar netiesiogiai nustatyti, visų pirma pagal identifikatorių, pavyzdžiui, vardą, pavardę, identifikavimo numerį, buvimo vietos duomenis, internetinį identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinei, fiziologinei, genetinei, protinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingus požymius.
  3. Bendrojo duomenų apsaugos reglamento teritorinė taikymo sritis apibrėžta 3 straipsnyje:
    1. "Šis reglamentas taikomas asmens duomenų tvarkymui vykdant duomenų valdytojo arba duomenų tvarkytojo padalinio veiklą Sąjungoje, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne.

    2. Šis reglamentas taikomas duomenų subjektų, kurie yra Sąjungoje, asmens duomenų tvarkymui, kurį atlieka Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, kai duomenų tvarkymo veikla yra susijusi su

      (a) prekių ar paslaugų siūlymu tokiems duomenų subjektams Sąjungoje, neatsižvelgiant į tai, ar už jas reikia mokėti, arba

      (b) jų elgesio stebėsena, jei jų elgesys vyksta Sąjungoje.

    3. Šis reglamentas taikomas asmens duomenų valdytojui, kuris yra įsisteigęs ne Sąjungoje, bet vietoje, kurioje pagal tarptautinę viešąją teisę taikoma valstybės narės teisė, tvarkant asmens duomenis.
  4. Žr. sąvokos "duomenų tvarkytojas" apibrėžtį BDAR 4 straipsnyje.
  5. BDAR 83 straipsnio 4 dalis.
  6. "Largest fine under GDPR levied against Google" ("Didžiausia bauda pagal BDAR skirta "Google") (Simmons + Simmons, 2019 m. sausio 22 d.), žr. www. simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" ("British Airways" nubausta 20 mln. svarų sterlingų bauda už duomenų saugumo pažeidimą") (BBC, 2020 m. spalio 16 d.), žr. www.bbc.com/news/technology-54568784.
  7. 'ICCA-IBA Joint Task Force on Data Protection in International Arbitration' (ICCA), žr. www. arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, žiūrėta 2021 m. rugpjūčio 18 d.
  8. ICCA-IBA "Duomenų apsaugos tarptautiniame arbitraže planas" (ICCA, 2020 m. vasaris), žr. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, žiūrėta 2021 m. rugpjūčio 18 d.
  9. Ten pat, 1.
  10. PCA byla Nr. 2018-54.
  11. ICCA ir Niujorko advokatūra bei Tarptautinis konfliktų prevencijos ir sprendimo institutas, "ICCA-NYC Bar-CPR protokolas dėl kibernetinio saugumo tarptautiniame arbitraže (2020 m. leidimas)", žr. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, žiūrėta 2021 m. rugpjūčio 18 d.
  12. "Kibernetinio saugumo gairės" (IBA, 2018 m. spalis), žr. www.ibanet.org/LPRU/Cybersecurity, žiūrėta 2020 m. gruodžio 1 d.
  13. 'ICC Guidance Note on Possible Measures Aim' (Tarptautiniai prekybos rūmai, 2020 m. balandžio 9 d.), žiūrėta 2021 m. rugpjūčio 18 d.
  14. Veiksmų planas, B skirsnis.
  15. Ten pat.
  16. BDAR 4 straipsnis.
  17. Ten pat.
  18. BDAR 4 straipsnis.
  19. Ten pat, 3 straipsnio 1 dalis.
  20. Veiksmų planas, 7.
  21. BDAR 4 straipsnis.
  22. Veiksmų plane "arbitražo dalyviai" apibrėžiami kaip "įskaitant šalis, jų teisinius patarėjus, arbitrus ir (tik) arbitražo institucijas". Žr. veiksmų planą (n 3), 2.
  23. BDAR 4 straipsnis.
  24. Žr. 2019 m. liepos 29 d. sprendimo Fashion ID GmbH & Co KG prieš Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, 74, 85 punktus. Taip pat žr. 2018 m. birželio 5 d. Sprendimą Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; 2018 m. liepos 10 d. Sprendimą Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Veiksmų planas, 11
  26. Ten pat, 12.
  27. Bendrojo duomenų apsaugos reglamento 5 ir 12-22 straipsniai; veiksmų planas, 14-15 straipsniai.
  28. Pavyzdžiui, pagal BDAR asmens duomenų tvarkymas tarptautinio arbitražo kontekste yra teisėtas, kai tai būtina duomenų valdytojo teisėtais interesais - atsižvelgiant į apribojimus, pagrįstus duomenų subjekto interesais ir pagrindinėmis teisėmis, - o neskelbtini duomenys arbitražo kontekste gali būti tvarkomi pagal nukrypti leidžiančią nuostatą dėl teisinių reikalavimų (9 straipsnio 2 dalies f punktas).
  29. Veiksmų planas, 19.
  30. Ten pat, 20-21.
  31. Ten pat, 30-31.
  32. Ten pat, 32.
  33. Ten pat, 33-36.
  34. Ten pat, 37-39.
  35. Ten pat, 37.
  36. Ten pat, 39.
  37. Ten pat, 40-41.
  38. Ten pat, 42.
  39. Ten pat, 43.
  40. BDAR 5 straipsnio 1 dalies e punktas.
  41. Veiksmų planas, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Ar negalime padaryti taip, kad ji pasitrauktų?" (Kluwer Arbitration Blog, 2019 m. rugpjūčio 29 d.), žr. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, žiūrėta 2021 m. rugpjūčio 18 d.
  43. ES Komisija nusprendė, kad šalis užtikrina tinkamą duomenų apsaugą.
  44. Tarptautinio arbitražo atveju tai greičiausiai būtų standartinė sutarties sąlyga.
  45. Arbitražo kontekste labiausiai taikytina nukrypti leidžianti nuostata dėl teisinių reikalavimų, pagal kurią leidžiama perduoti duomenis, kai tai "būtina teisiniams reikalavimams pareikšti, vykdyti ar ginti".
  46. Dėl aukštos ribos ir pranešimo reikalavimo rėmimasis įtikinamais teisėtais interesais yra mažai praktiškai reikšmingas. Žr. 2018 m. vasario 6 d. EDPB "Gairės 2/2018 dėl 49 straipsnio nukrypti leidžiančių nuostatų pagal Reglamentą 2016/679" (Duomenų perdavimo gairės).
  47. Veiksmų planas, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration" ("Nematoma BDAR ranka tarptautiniame sutartiniame arbitraže"): Ar negalime padaryti taip, kad ji pasitrauktų?" (Kluwer Arbitration Blog, 2019 m. rugpjūčio 29 d.), žr. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [žiūrėta 2021 m. rugpjūčio 18 d.].
  49. PCA byla Nr. 2018-54.
  50. Ten pat, Tribunolo pranešimas šalims (Perm Ct Arb, 2019 m.).
  51. Kelio gairės, 37.
  52. ICCA ir Niujorko advokatūra bei Tarptautinis konfliktų prevencijos ir sprendimo institutas, "ICCA-NYC Bar-CPR protokolas dėl kibernetinio saugumo tarptautiniame arbitraže (2020 m. leidimas)" (ICCA), žr. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, žiūrėta 2021 m. rugpjūčio 18 d.
  53. "Kibernetinio saugumo gairės" (IBA, 2018 m. spalis), žr. www. ibanet.org/LPRU/Cybersecurity, žiūrėta 2020 m. gruodžio 1 d.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 2020 m. liepos 18 d.), žr. arbitrationblog. kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, žiūrėta 2021 m. rugpjūčio 18 d.
  55. 'ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic' (ICC, 2020 m. balandžio 9 d.), žiūrėta 2021 m. rugpjūčio 18 d.
  56. "Trečiųjų šalių finansavimas tarptautiniame arbitraže: ICCA-QMUL ataskaita" (ICCA, 2018 m. gegužė), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, žiūrėta 2018 m. rugpjūčio 18 d.
  57. Veiksmų planas, 2.
  58. Ten pat, 23-25.
  59. BDAR 4 straipsnio 2 dalis, žr. 1 išnašą pirmiau.
  60. BDAR 6 straipsnio 1 dalies f punktas.
  61. Allan J Arffa ir kiti, "BDAR klausimai tarptautiniame arbitraže" (Lexology, 2020 m. rugpjūčio 10 d.), žr. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, žiūrėta 2021 m. rugpjūčio 18 d.
  62. Veiksmų planas, 5 priedas.
  63. Allan J Arffa ir kiti, "BDAR klausimai tarptautiniame arbitraže" (Lexology, 2020 m. rugpjūčio 10 d.), žr. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, žiūrėta 2021 m. rugpjūčio 18 d.
  64. Veiksmų planas 40-41.
  65. Žr: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ten pat; Richmark Corp prieš Timber Falling Consultants, 959 F.2d 1468, 1475 (1992 m. 9th Cir).
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 2020 m. vasario 6 d.), žr. www. bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, žiūrėta 2021 m. rugpjūčio 18 d.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020 m.) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2-asis leidimas, Kluwer Law International 2014), 2335.
  70. Ten pat. Šiam argumentui pagrįsti G. Born cituoja šiuos sprendimus: 2004 m. sausio 22 d. sprendimą Société Nat'l Cie for Fishing & Marketing "Nafimco" prieš Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paryžiaus apeliacinis teismas): "arbitražo teismo sprendimas nurodyti atskleisti informaciją priklauso jo procesinei diskrecijai ir negali būti peržiūrėtas teismų"; Karaha Bodas Co prieš Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Prašymai atskleisti informaciją yra "protinga Tarnautojų teismo diskrecijos teisė".
  71. Natalia M Szlarb, "BDAR ir tarptautinis arbitražas kryžkelėje" (The National Law Review, 2019 m. gruodžio 4 d.), žr. www. natlawreview.com/article/gdpr-and-international-arbitration-crossroads, žiūrėta 2021 m. rugpjūčio 18 d.
  72. Niujorko konvencija, V straipsnio 2 dalis: "Arbitražo sprendimą taip pat gali būti atsisakyta pripažinti ir vykdyti, jeigu šalies, kurioje prašoma pripažinti ir vykdyti, kompetentinga institucija nustato, kad... b) sprendimo pripažinimas ar vykdymas prieštarautų tos šalies viešajai tvarkai.
  73. JT Generalinis Sekretorius, Pavyzdinio įstatymo dėl tarptautinio komercinio arbitražo teksto projekto analitinis komentaras, A/CN.9/264 (1985), 34 straipsnis, 6 dalis.
  74. UNCITRAL pavyzdinis tarptautinio komercinio arbitražo įstatymas, 34 straipsnio 2 dalis: Arbitražo sprendimas gali būti panaikintas 6 straipsnyje nurodyto teismo tik tuo atveju, jei... b) teismas nustato, kad... ii) arbitražo sprendimas prieštarauja šios valstybės viešajai tvarkai".
  75. 1999 m. birželio 1 d. sprendimas Eco Swiss China Time Ltd prieš Benetton International NV C-126/97, Rink. 1999, p. I-03055, par. 39 ir 41. Išsamiai apie ES viešąją politiką žr: Sacha Prechal ir Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka ir Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ten pat.
  78. Išsamiau apie šiuos ir kitus klausimus žr: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration", José R Mata Dona ir Nikos Lavranos (red.), International Arbitration and EU Law (Edward Elgar Publishing, 2021), 5.63 ir tolesni punktai; Cervenka ir Schwarz, žr. 76 punktą, 84-85.
  79. 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes' (ICCA, 2020 m. vasaris), žr. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, žiūrėta 2021 m. rugpjūčio 18 d.

Šis straipsnis pirmą kartą paskelbtas žurnale "Dispute Resolution International", t. 15, Nr. 2, 2021 m. spalio mėn. ir atgaminamas Tarptautinės advokatų asociacijos (International Bar Association, Londonas, Jungtinė Karalystė) leidimu. © Tarptautinė teisininkų asociacija.

Grįžti į apžvalgą