Talen

Botsing der Titanen: GDPR en internationale arbitrage - een blik op de toekomst

Publicaties: november 10, 2021

Terug naar overzicht

Auteurs

Catherine Raudaschl

Gerelateerde deskundige gidsen

Inleiding

In de afgelopen jaren zijn er vragen gerezen over de praktische implicaties van de privacy van persoonsgegevens en cyberbeveiliging op het feitelijke verloop van internationale arbitrages - vooral wanneer rekening wordt gehouden met de voortdurende technologische veranderingen.

De Algemene Verordening Gegevensbescherming (GDPR)[1] vierde haar tweede verjaardag in mei 2020. Het GDPR-kader voor de bescherming van persoonsgegevens heeft als doel het vrije verkeer van persoonsgegevens van "geïdentificeerde of identificeerbare natuurlijke personen" te waarborgen.[2] De verordening is van toepassing binnen de Europese Unie en heeft een extraterritoriale werkingssfeer die zich kan uitstrekken tot buiten de EU;[3] GDPR kan niet alleen gevolgen hebben voor alle natuurlijke of rechtspersonen, maar onderwerpt ook overheidsinstanties, agentschappen en andere organen - waaronder mogelijk internationale organisaties - aan verplichtingen op het gebied van de bescherming van persoonsgegevens.[4] De GDPR-sancties kunnen oplopen tot 4 procent van de wereldwijde jaaromzet van de overtredende entiteit in het voorgaande boekjaar of tot 20 miljoen euro, afhankelijk van welk bedrag hoger is.[5] De noodzaak om de toepassing ervan serieus te nemen is al aangetoond door de miljoenenboetes die in meerdere rechtsgebieden zijn opgelegd.[6]

Hoewel de toepassing van de wetten op de bescherming van persoonsgegevens bij arbitrage vaststaat, is de manier waarop de wetten moeten worden toegepast dat niet. Om die reden hebben de International Council for Commercial Arbitration (ICCA) en de International Bar Association (IBA) in februari 2019 een Joint Task Force on Data Protection in International Arbitration Proceedings opgericht, met als doel een gids op te stellen die praktische handvatten biedt voor de bescherming van persoonsgegevens bij internationale arbitrage. De Task Force heeft in maart 2020 een consultatieontwerp van deze gids gepubliceerd.[7] Het huidige commentaar zal worden gebaseerd op dit ontwerp-stappenplan (de Roadmap),[8] waarbij de definitieve, herziene versie van de Roadmap naar verwachting in september 2021 zal worden gepubliceerd. Hoewel de termijn voor het geven van commentaar op het consultatieontwerp op het moment van schrijven is verstreken, is de voorlopige versie van de routekaart niettemin illustratief voor de kwesties die GDPR in internationale arbitrages opwerpt. Het zal daarom worden gebruikt als basis voor de discussie.

De meeste wetten inzake de bescherming van persoonsgegevens zijn dwingend in arbitrageprocedures, wat betekent dat ze voorschrijven:

  • welke persoonsgegevens mogen worden verwerkt;
  • waar;
  • met welke middelen
  • met welke informatiebeveiligingsmaatregelen; en
  • voor hoe lang.[9]

Er wordt echter niet ingegaan op hoe deze bindende verplichtingen moeten worden nageleefd in arbitrageprocedures. Bij gebrek aan specifieke richtlijnen van regelgevende instanties is de routekaart bedoeld om arbitrageprofessionals te helpen bij het identificeren en begrijpen van de verplichtingen op het gebied van de bescherming van persoonsgegevens en privacy waaraan zij onderworpen kunnen zijn in het kader van een internationale arbitrage. Bovendien blijft de omvang van de GDPR-bescherming relevant in internationale arbitrageprocedures, voornamelijk met betrekking tot de vraag of de GDPR-wetgeving van toepassing is op arbitrages die buiten de EU worden gevoerd. Als blijkt dat de GDPR van toepassing is op arbitrage, zijn er nog verschillende andere implicaties: ten eerste of de verwerking van persoonsgegevens verboden is en ten tweede of er beperkingen zijn op de doorgifte van persoonsgegevens buiten de EU. Tot slot kunnen de gevolgen van een dergelijke aanval op een arbitrage door de toenemende frequentie van cyberaanvallen aanzienlijke schade met zich meebrengen.

Dit artikel geeft commentaar op de routekaart en onderzoekt praktische maatregelen waarmee rekening moet worden gehouden met betrekking tot de verplichtingen inzake de bescherming van persoonsgegevens in internationale arbitrageprocedures. Het beschouwt de routekaart als een veelbelovend, zij het onvolledig, instrument ter aanvulling van verschillende soft law pogingen om internationale arbitrage tot nu toe te harmoniseren, met name instrumenten van de IBA en de Commissie van de Verenigde Naties voor Internationaal Handelsrecht (UNCITRAL).

Eerst wordt een korte samenvatting van de Routekaart gegeven, waarin wordt verwezen naar de GDPR-beginselen. Dit is niet bedoeld als een uitgebreid overzicht, maar zal eerder de belangrijkste punten van de Routekaart introduceren om de lezer context te geven voor de daaropvolgende discussie. Ten tweede zal er commentaar worden gegeven op zes relevante kwesties:

  • de toepasselijkheid van GDPR op arbitrages buiten de EU;
  • GDPR in de context van arbitrages in het kader van de Noord-Amerikaanse Vrijhandelsovereenkomst (NAFTA), zoals geïllustreerd in Tennant Energy, LLC v Government of Canada;[10]
  • de kwestie van videoconferenties, die tijdens de Covid-19 pandemie sterk in belang is toegenomen, met inbegrip van verwijzingen naar het 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration' (Cybersecurity Protocol)[11] de Cybersecurity Guidelines van de IBA[12] en de ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic;[13]
  • "derde financiers" en hoe daarmee rekening wordt gehouden in de routekaart;
  • misbruik van GDPR, met name als schild voor niet-openbaarmaking; en
  • de mogelijkheid om niet-naleving van de vereisten inzake de bescherming van persoonsgegevens te gebruiken als een weg naar nietigverklaring of weigering van erkenning en tenuitvoerlegging van het arbitraal vonnis.

In de conclusie worden slotoverwegingen gegeven.

De routekaart

Personen en rechtspersonen zijn onderworpen aan verplichtingen om de persoonsgegevens van betrokkenen te beschermen. Arbitrage zelf is niet onderworpen aan verplichtingen inzake de bescherming van persoonsgegevens. Als echter slechts één deelnemer aan de arbitrage onderworpen is aan verplichtingen inzake de bescherming van persoonsgegevens, kan dit gevolgen hebben voor de arbitrage als geheel. Of de verwerking van persoonsgegevens binnen de relevante wetgeving, het materiële toepassingsgebied en het rechtsgebied valt, zal bepalen of de wetgeving inzake de bescherming van persoonsgegevens van toepassing is.[14]

De moderne wetgeving inzake de bescherming van persoonsgegevens is van toepassing wanneer persoonsgegevens over een betrokkene worden verwerkt tijdens activiteiten die binnen het toepassingsgebied van de desbetreffende wetgeving inzake de bescherming van persoonsgegevens vallen.[15] Persoonsgegevens omvatten "alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon".[16] Tijdens typische arbitrageprocedures worden aanzienlijke hoeveelheden informatie uitgewisseld over onder andere de partijen, hun raadslieden, het tribunaal en derden. Als zodanig vallen deze gegevens waarschijnlijk onder de definitie van "persoonsgegevens". Met 'betrokkenen' worden de bovengenoemde personen bedoeld die geïdentificeerd of identificeerbaar zijn.[17] Verwerking omvat actieve en passieve handelingen, dus zowel het gebruiken, verspreiden en wissen van persoonsgegevens als het ontvangen, ordenen en opslaan van persoonsgegevens.[18] Het toepassingsgebied omvat handelingen wanneer persoonsgegevens worden verwerkt in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de EU[19] en extraterritoriaal, zoals wanneer persoonsgegevens buiten de EU worden doorgegeven aan entiteiten of personen die niet om andere redenen al onder de GDPR vallen.[20]

Scheidsrechters zullen worden gekwalificeerd als voor de verwerking verantwoordelijken, wat betekent dat zij verantwoordelijk zijn voor de naleving van de wetgeving inzake de bescherming van persoonsgegevens. Echter, op basis van de definitie van 'voor de verwerking verantwoordelijke';[21] zullen de meeste arbitrale deelnemers[22] waarschijnlijk als zodanig worden beschouwd, met inbegrip van raadslieden, partijen en de instelling. Voor de verwerking verantwoordelijken kunnen gegevensverwerking delegeren aan gegevensverwerkers,[23] die onder hun controle zullen staan en gegevensverwerkingsovereenkomsten zullen vereisen op voorwaarden die worden voorgeschreven door de toepasselijke wetgeving. Zo zullen secretaresses, transcribenten, vertalers en anderen waarschijnlijk allemaal als gegevensverwerkers worden beschouwd. Dan is er nog de kwestie van de gezamenlijke verantwoordelijken voor de verwerking die gezamenlijk het doel van en de middelen voor de gegevensverwerking bepalen. Gezamenlijke zeggenschap wordt ruim geïnterpreteerd, maar de aansprakelijkheid van de gezamenlijke voor de verwerking verantwoordelijke is beperkt tot alleen de verwerking die de voor de verwerking verantwoordelijke heeft bepaald, het doel en de middelen, en niet de algehele verwerking.[24]

In internationale arbitrages zijn de beperkingen op de doorgifte van persoonsgegevens tussen rechtsgebieden een duidelijke manier waarop de wetgeving inzake de bescherming van persoonsgegevens van toepassing is. De achtergrond van verschillende arbitrale deelnemers bepaalt de toepassing van verschillende regelingen voor de bescherming van persoonsgegevens. Moderne wetten voor de bescherming van persoonsgegevens beperken de doorgifte van persoonsgegevens naar derde landen om ervoor te zorgen dat wettelijke verplichtingen niet worden omzeild door de doorgifte van persoonsgegevens naar rechtsgebieden met lagere normen voor de bescherming van persoonsgegevens.[25] De GDPR staat de doorgifte van persoonsgegevens naar derde landen toe als een van de volgende situaties zich voordoet:

  • het land is door de EU-Commissie geacht een passende bescherming van persoonsgegevens te bieden;
  • een van de uitdrukkelijk genoemde waarborgen wordt toegepast;
  • een afwijking op grond waarvan doorgifte is toegestaan indien dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of
  • een dwingend legitiem belang van een partij.[26]

Deze regels zijn van toepassing op arbitragedeelnemers en niet op de arbitrage als geheel, waardoor elke arbitragedeelnemer moet nagaan welke beperkingen inzake de doorgifte van persoonsgegevens op hem van toepassing zijn.

De beginselen inzake de bescherming van persoonsgegevens die van toepassing zijn op arbitrage omvatten eerlijke en rechtmatige verwerking, evenredigheid, gegevensminimalisering, doelbinding, rechten van de betrokkene, nauwkeurigheid, gegevensbeveiliging, transparantie en verantwoordingsplicht.[27]

Enkele van deze beginselen behoeven nadere toelichting. Eerlijke en rechtmatige verwerking betekent dat persoonsgegevens alleen mogen worden verwerkt op een manier die betrokkenen redelijkerwijs mogen verwachten en dat er een rechtsgrondslag moet zijn voor de verwerking. Bij de toepassing van het billijkheidsbeginsel moeten de partij en haar raadslieden zich afvragen of, in de context van alle feiten, de personen hadden verwacht dat hun persoonsgegevens op een dergelijke manier zouden worden verwerkt, of dit nadelige gevolgen voor hen zal hebben en of deze gevolgen gerechtvaardigd zijn. Dit beginsel verhindert niet dat persoonsgegevens die in zakelijke e-mails zijn gevonden, als bewijs worden toegelaten.

Het begrip rechtmatige verwerking houdt een rechtsgrondslag in die door feiten wordt bepaald en specifiek is voor het geval. In plaats van te vertrouwen op toestemming, moeten specifieke rechtsgrondslagen in GDPR worden ingeroepen.[28]

Proportionaliteit vereist een afweging van de aard, omvang, context en doeleinden van de verwerking in relatie tot de risico's voor de betrokkene.[29] Dataminimalisatie vereist dat arbitrale deelnemers de verwerking beperken tot persoonsgegevens die adequaat, relevant en beperkt zijn tot wat noodzakelijk is.[30] Transparantie vereist dat betrokkenen in kennis worden gesteld van de verwerking en het doel van de verwerking van de persoonsgegevens door middel van algemene kennisgevingen, specifieke kennisgevingen of beide.[31] Verantwoordingsplicht heeft betrekking op de persoonlijke verantwoordelijkheid voor de naleving van de gegevensbescherming, wat betekent dat arbitragedeelnemers alle maatregelen en beslissingen op het gebied van de bescherming van persoonsgegevens moeten documenteren om aan te tonen dat ze worden nageleefd.[32]

Naleving van de bescherming van persoonsgegevens is van invloed op afzonderlijke stappen van internationale arbitrageprocedures, niet alleen tijdens de arbitrage zelf, maar ook tijdens de voorbereidingen. Vanaf het begin moeten arbitragedeelnemers overwegen welke wetten inzake de bescherming van persoonsgegevens op henzelf en andere arbitragedeelnemers van toepassing zijn, en welke arbitragedeelnemers persoonsgegevens zullen verwerken als voor de verwerking verantwoordelijken, verwerkers of gezamenlijk voor de verwerking verantwoordelijken. Er moet ook rekening worden gehouden met de regels van derde landen voor de doorgifte van persoonsgegevens en overeenkomsten voor de verwerking van persoonsgegevens met betrekking tot externe dienstverleners. Tijdens het verzamelen en beoordelen van documenten hebben de partijen en hun juridisch adviseurs een rechtsgrondslag nodig voor verwerkingsactiviteiten en de doorgifte van persoonsgegevens uit derde landen.[33]

Het verzoek tot arbitrage, evenals de daaropvolgende stukken, zullen persoonsgegevens bevatten die volledig binnen het domein van de verwerking vallen. Als een arbitrage-instituut gebonden is aan de toepasselijke wetgeving inzake de bescherming van persoonsgegevens, moet het rekening houden met mogelijke verplichtingen inzake de bescherming van persoonsgegevens die van toepassing zijn tijdens elke procedurele stap. Als een arbitrage-instelling onder de GDPR valt, wordt het doorgaans een verwerkingsverantwoordelijke voor persoonsgegevens. Om te voldoen aan de artikelen 13 en 14 van de GDPR, moet een dergelijke instelling in haar privacyverklaring informatie opnemen over beveiligingsmaatregelen, de uitoefening van de rechten van betrokkenen, het bijhouden van bestanden en het beleid inzake inbreuken op gegevens en het bewaren van gegevens.[34] Internationale organisaties die arbitrages tussen investeerders en staten uitvoeren, kunnen echter worden uitgesloten van het toepassingsgebied van de wetgeving inzake de bescherming van persoonsgegevens vanwege voorrechten en immuniteiten in de deelstaat of in een overeenkomst met het gastland. Hier moeten dus afzonderlijke overwegingen worden gemaakt, waaronder de vraag of de organisatie gebonden is door wetgeving inzake de bescherming van persoonsgegevens en of - en in welke mate - arbitrale deelnemers onder voorrechten en immuniteiten zouden vallen.[35]

Tijdens de benoeming van arbiters voor een arbitragetribunaal worden doorgaans aanzienlijke hoeveelheden persoonsgegevens van potentiële arbiters uitgewisseld. Arbitrale deelnemers moeten de rechtsgrondslag voor de verwerking van deze persoonsgegevens opnemen in hun wettelijke kennisgevingen en arbiters die in aanmerking komen voor benoeming uitdrukkelijk op de hoogte brengen van de verwerking van hun persoonsgegevens, in het bijzonder in het geval van doorgifte van persoonsgegevens aan derde landen.[36]

Als de arbitrage eenmaal loopt, moeten de verantwoordelijkheden voor de bescherming van persoonsgegevens in een vroeg stadium worden toegewezen om risico's tot een minimum te beperken. De bescherming van persoonsgegevens moet op de agenda staan van de eerste procedurele conferentie en arbitrale deelnemers moeten proberen zo snel mogelijk overeenstemming te bereiken over de manier waarop de naleving van de bescherming van persoonsgegevens moet worden aangepakt. De partijen, hun raadslieden en de arbiters moeten overwegen een protocol voor de bescherming van persoonsgegevens af te sluiten om nalevingskwesties effectief aan te pakken. Wanneer dit niet mogelijk is, is een alternatieve optie dat het Tribunaal deze opneemt in Procedural Order Number One.[37]

Bij de productie en openbaarmaking van documenten is het beginsel van minimalisatie van persoonsgegevens bijzonder relevant. Onder GDPR vereist dit waarschijnlijk

  • het beperken van de openbaar gemaakte persoonsgegevens tot wat relevant en niet-duplicatief is;
  • het identificeren van de persoonsgegevens in het materiaal waarop wordt gereageerd; en
  • het redigeren of pseudonimiseren van onnodige persoonlijke gegevens.

Deze kwesties moeten ook in een vroeg stadium van de procedure worden overwogen, bij voorkeur op of voor de eerste procedureconferentie.[38]

Als het gaat om het wijzen van vonnissen, moeten arbiters en instellingen nadenken over de basis en noodzaak van het opnemen van persoonsgegevens in vonnissen. Als arbitrage vertrouwelijk is, bestaat niettemin het risico dat een vonnis openbaar wordt als het ten uitvoer wordt gelegd. Zelfs als persoonsgegevens worden bewerkt, blijven ze meestal persoonsgegevens, aangezien de betrokkene kan worden geïdentificeerd aan de hand van de rest van het vonnis of het bijbehorende materiaal.[39]

Het bewaren en verwijderen van gegevens wordt beschouwd als verwerking volgens de GDPR, die bepaalt dat persoonsgegevens "in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer [mogen] worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt".[40] Verantwoordelijken voor de verwerking moeten de duur van de opslag overwegen, documenteren en kunnen rechtvaardigen. Arbitrale deelnemers moeten overwegen welke bewaartermijn van gegevens redelijk is en moeten een evenredige benadering hanteren om hun behoeften af te wegen tegen de gevolgen van gegevensbewaring voor de betrokkene.[41]

De toepasselijkheid van de GDPR op arbitrages buiten de EU

Het territoriale toepassingsgebied van de General Data Protection Regulation is relatief breed. Beoefenaars van juridische beroepen moeten zich bewust zijn van de toepassing ervan, ongeacht of ze gevestigd zijn of de arbitrage plaatsvindt in de EU. De GDPR is van toepassing op de verwerking van persoonsgegevens door voor de verwerking verantwoordelijken of verwerkers die in de EU zijn gevestigd, ongeacht of de verwerking zelf in de EU plaatsvindt (artikel 3, lid 1). Als het gaat om het aanbieden van goederen of diensten aan EU-burgers of het monitoren van gedrag dat binnen de EU plaatsvindt, is GDPR bovendien van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke of verwerker die niet in de EU is gevestigd (artikel 3(2)).

Toegepast op de arbitragecontext legt GDPR verplichtingen op aan voor de verwerking verantwoordelijken en verwerkers - arbiters, adviseurs, partijen en instellingen - die binnen het materiële en territoriale toepassingsgebied vallen, in plaats van rechtstreeks aan de arbitrageprocedure. Zelfs als slechts één deelnemer aan de arbitrage een band heeft met de EU, zal deze verplicht zijn om persoonsgegevens te verwerken in overeenstemming met GDPR. Dit kan gevolgen hebben voor de procedure als geheel.[42]

Wellicht het meest opvallend in de context van internationale arbitrage, waar de overdracht van arbitragemateriaal dat persoonsgegevens bevat aan de orde van de dag is, zijn de beperkingen die worden gesteld aan de overdracht van persoonsgegevens naar 'derde landen' buiten de Europese Economische Ruimte (EER). In een dergelijk scenario is een van de vier rechtsgrondslagen vereist om de doorgifte van persoonsgegevens toe te staan. Ten eerste is doorgifte naar een derde land toegestaan als het derde land is onderworpen aan een besluit waarbij het beschermingsniveau passend wordt verklaard (artikel 45, lid 1).[43] Als dit niet het geval is, moet een van de passende waarborgen (artikel 46, lid 1) worden geboden waar dit mogelijk is.[44] Als er geen besluit is genomen waarbij het beschermingsniveau passend wordt verklaard en een passende waarborg niet haalbaar is, kan een beroep worden gedaan op een specifieke afwijking (artikel 49, lid 1). 45] Ten slotte kan een partij, als het bovengenoemde ontbreekt, zich beroepen op een dwingend gerechtvaardigd belang (artikel 49, lid 1)[46] als rechtsgrondslag voor de doorgifte van persoonsgegevens aan derden.

In de routekaart worden de noodzakelijke overwegingen die arbitragedeelnemers moeten maken vrij uitvoerig uiteengezet. Er wordt meermaals benadrukt dat het de arbitragedeelnemers zijn, en niet de arbitrage als zodanig, op wie de beginselen inzake de bescherming van persoonsgegevens en de regels voor doorgifte van toepassing zijn.[47] In overeenstemming hiermee is de veronderstelde conclusie dat een in de EU gevestigde arbiter die deelneemt aan een arbitrage buiten de EU die anders niet onder de GDPR valt, niettemin moet voldoen aan de GDPR-vereisten inzake de verwerking en doorgifte van persoonsgegevens. Dit wordt inderdaad algemeen aanvaard in commerciële arbitrageprocedures,[48] maar de situatie is niet zo duidelijk als het gaat om arbitrage tussen investeerders en staten.

De zaak Tennant Energy, LLC tegen de regering van Canada

In 2019, in de NAFTA Chapter 11 arbitrage Tennant Energy, LLC v Government of Canada (Tennant),[49] stelde Tennant, de eiser, de kwestie van de GDPR van toepassing op de procedure aan de orde in het licht van de Britse nationaliteit en woonplaats van een van de leden van het tribunaal. Het tribunaal gaf echter aanwijzingen aan de partijen dat 'een arbitrage op grond van hoofdstuk 11 van de NAFTA, een verdrag waarbij noch de Europese Unie noch haar lidstaten partij zijn, vermoedelijk niet binnen de materiële werkingssfeer van de GDPR valt'.[50]

Het is belangrijk om onderscheid te maken tussen verdragsrechtelijke en commerciële arbitrage, waarbij Tennant in de eerste categorie valt. De Routekaart gaat in op dit onderscheid door op te merken dat internationale organisaties uitgesloten kunnen zijn van het toepassingsgebied van de wetten op de bescherming van persoonsgegevens.[51] Leden van het tribunaal in de Tennant-arbitrage kunnen onderworpen zijn aan bepaalde immuniteiten die voortvloeien uit de zetelovereenkomst van het Permanent Hof van Arbitrage (PCA) met Nederland. Het NAFTA tribunaal heeft echter niet overwogen of de PCA, als internationale organisatie, onderworpen zou zijn aan de GDPR overdrachtsregels of dat tribunal leden bepaalde immuniteiten zouden ontlenen aan de overeenkomst.

De Tennant-richtlijn roept meer vragen op dan dat ze antwoorden geeft met betrekking tot de toepasselijkheid van de GDPR op NAFTA-procedures en op verdragsgebaseerde arbitrages in het algemeen. Niettemin toont de Tennant-richtlijn, gezien in het licht van de Routekaart, aan dat dit onderwerp zeer onzeker blijft. Het is op zijn best twijfelachtig of de Routekaart enige duidelijkheid brengt aan arbitrale deelnemers die met een dergelijke kwestie worden geconfronteerd, met name gezien het feit dat de Routekaart werd uitgebracht nadat de Tennant-richtlijn was uitgevaardigd, maar geen aandacht schonk aan deze laatste.

De kwestie van videoconferenties

In de routekaart wordt het belang van de beveiliging van persoonsgegevens erkend. Echter, met het recente gebruik van aanvullende technologie om virtuele hoorzittingen mogelijk te maken, evenals thuiswerken - voornamelijk gevoed door de huidige omstandigheden die ons zijn opgelegd door de Covid-19 pandemie - krijgt deze kwestie extra gewicht. Het Cybersecurity Protocol[52] en de Cybersecurity Richtlijnen[53] van de IBA hebben enig licht geworpen op deze kwestie.

Net als de routekaart stelt het cyberbeveiligingsprotocol verschillende onderliggende beginselen vast. Het evenredigheidsbeginsel is van toepassing, het Tribunaal heeft de bevoegdheid en discretie om te bepalen welke beveiligingsmaatregelen worden getroffen, en informatiebeveiliging is een kwestie die moet worden besproken tijdens de eerste zaakmanagementconferentie. Bijlage A bij het Cybersecurity Protocol biedt een checklist die partijen bij een arbitrage kunnen gebruiken om de procedure te beveiligen.

Na de recente verschuiving in werkpatronen en -omgevingen als gevolg van de Covid-19 pandemie, moeten deze kwesties meer gewicht krijgen. In een wereld die onder druk staat om nieuwe manieren van zakendoen te vinden en zich aan te passen aan tijden van onzekerheid, is een van de problemen waar de juridische sector mee te maken heeft gekregen de kwestie van hoorzittingen in combinatie met beperkingen en de behoefte aan sociale afstand. Als zodanig is de populariteit van videoconferenties en het gebruik ervan in internationale arbitrageprocedures iets waar de routekaart aandacht aan zou moeten besteden, maar dat is niet gebeurd - of in ieder geval nog niet.

Hoewel velen de problemen van videohoorzittingen hebben besproken en erop hebben gewezen, hebben de meesten verzuimd in te gaan op de vraag hoe de wetgeving inzake de bescherming van persoonsgegevens hierop moet worden toegepast, niet alleen met betrekking tot de bescherming van persoonsgegevens, maar ook met betrekking tot de veiligheid, aangezien sommige platforms het doelwit zijn geweest van beveiligingsaanvallen.[54]

Zoals hierboven besproken, is het essentieel om de verschillende rollen te begrijpen van de partijen die betrokken zijn bij arbitrage met betrekking tot GDPR, namelijk wie de 'gegevensverantwoordelijken' en 'gegevensverwerkers' zijn. Als de videoconferentiesoftware persoonlijke gegevens verwerkt, zoals de gebruikersnaam en het e-mailadres van een partij bij het gebruik van de dienst, dan worden zij beschouwd als een 'gegevensverwerker'. Dit betekent dat zij zich moeten houden aan de GDPR-regels als een van de deelnemers in de EU is gevestigd. Aangezien het Tribunaal de 'gegevensbeheerder' is, is het de verantwoordelijkheid van het Tribunaal om ervoor te zorgen dat deze regels worden nageleefd.

De Internationale Kamer van Koophandel (ICC) heeft een leidraad[55] uitgegeven die partijen voorziet van voorgestelde clausules voor cyberbeveiligingsprotocollen en virtuele hoorzittingen. Deze richtsnoer is gericht op het beveiligingsaspect, maar gaat niet in op het aspect van de bescherming van persoonsgegevens. In de routekaart moet worden besproken in welke gevallen de bescherming van persoonsgegevens van toepassing is op hoorzittingen die virtueel worden gehouden en hoe men zich daaraan moet houden. GDPR specificeert weliswaar de vereisten waaraan moet worden voldaan met betrekking tot videoconferenties, maar geeft geen richtlijnen over de manier waarop de vereisten rechtstreeks van toepassing zijn.

Hoewel de routekaart geen aanbevelingen doet voor specifieke softwareleveranciers, zou de routekaart een lijst kunnen samenstellen van de noodzakelijke specificaties van de ideale software voor videovergaderingen, net zoals er in de bijlagen checklists staan voor diverse andere zaken.

Wat is de rol van externe financiers?

Onder een derde financier wordt verstaan een niet-partij in een arbitraal proces die een regeling treft om de proceskosten geheel of gedeeltelijk te financieren in ruil voor een bedrag dat geheel of gedeeltelijk afhankelijk is van de uitkomst van de zaak.[56] Derde financiers hebben toegang tot verschillende persoonsgegevens in arbitrale procedures die zij financieren of overwegen te financieren. Hoewel de routekaart uitdrukkelijk alleen gericht is op arbitrale deelnemers, staat er ook in dat de leidraad relevant is voor dienstverleners die ook te maken hebben met de vereisten voor de bescherming van persoonsgegevens.[57]

In de routekaart worden onder dienstverleners onder meer verstaan "e-discovery deskundigen, informatietechnologie professionals, rechtbankverslaggevers, vertaaldiensten, etc."[58] maar derde financiers worden niet expliciet genoemd. Onder GDPR valt het verzamelen en opslaan van persoonsgegevens onder verwerking. Dus als de externe financiers persoonsgegevens van anderen verzamelen, zouden de wetten inzake persoonsgegevens ook op hen van toepassing zijn.[59]

GDPR staat een partij toe om persoonsgegevens te verwerken als "de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of van een derde"[60], wat mogelijk kan worden aangehaald door arbitrale deelnemers als een toepasselijke rechtsgrondslag voor de verwerking van relevante persoonsgegevens. Er zijn beperkte richtsnoeren over dit onderwerp.[61] De routekaart stelt het volgende:

'De eerste stap in een legitiem belang beoordeling is het identificeren van een legitiem belang - wat is het doel voor het verwerken van de Persoonsgegevens en waarom is het belangrijk voor jou als verwerkingsverantwoordelijke? In de context van arbitrage kan het gerechtvaardigd belang betrekking hebben op de rechtsbedeling, het waarborgen van de eerbiediging van de rechten van de partijen en de snelle en eerlijke afhandeling van vorderingen op grond van de toepasselijke arbitrageregels, en vele andere belangen."[62]

Het opnemen van "ook vele andere belangen" zou mogelijk het legitieme monetaire belang van derde financiers kunnen omvatten. Als dat zo is, dan zouden zij duidelijk verplicht zijn om gegevensverwerkingsovereenkomsten aan te gaan met partijen bij de arbitrageprocedure en zouden zij onder het toepassingsgebied van de regelgeving en vereisten inzake de bescherming van persoonsgegevens vallen. Interessant genoeg wordt in de routekaart niet expliciet aangegeven hoe derdenfinanciers in het plaatje passen, met name gezien de toename van hun betrokkenheid bij arbitrageprocedures.

Een schild voor niet-openbaarmaking

Verplichtingen met betrekking tot de bescherming van persoonsgegevens kunnen leiden tot misbruik. Arbitragepartijen kunnen de GDPR te kwader trouw als schild gebruiken om te voorkomen dat informatie die relevant is voor de procedure of waar de tegenpartij om vraagt, openbaar wordt gemaakt. Een partij kan bijvoorbeeld bezwaar maken tegen een openbaarmakingsverzoek met het argument dat de documenten persoonsgegevens bevatten die geen verband houden met het geschil, of dat het redigeren van persoonsgegevens te belastend zou zijn.[63]

De Routekaart gaat in op de mogelijkheid van misbruik. Er wordt voorgesteld om verplichtingen met betrekking tot de bescherming van persoonsgegevens zo vroeg mogelijk aan de orde te stellen en te verduidelijken om het risico te verkleinen dat deze gevolgen hebben voor procedures. Deelnemers moeten overwegen een 'gegevensbeschermingsprotocol' af te sluiten - een overeenkomst over hoe de bescherming van persoonsgegevens in een bepaalde context zal worden toegepast. Als het niet mogelijk is om tot een ondertekend gegevensbeschermingsprotocol te komen, moeten deze kwesties worden behandeld in Procedural Order Number One.[64]

Ter vergelijking kan gekeken worden naar GDPR-compliance tijdens discovery in Amerikaanse rechtszaken. Amerikaanse federale rechtbanken hebben afwegingstoetsen gebruikt om te beslissen of ze al dan niet opdracht geven tot openbaarmaking of naleving van dagvaardingen of bevelen tot inzage die mogelijk in strijd zijn met buitenlandse wetten, waaronder wetten inzake de bescherming van persoonsgegevens.[65] Een niet-uitputtende lijst van factoren waar Amerikaanse federale rechtbanken naar kijken is:

  • het belang van de gevraagde documenten of andere informatie voor het proces;
  • de mate van specificiteit van het verzoek
  • of de informatie afkomstig is uit de VS
  • de beschikbaarheid van alternatieve middelen om de informatie te verkrijgen; en
  • de mate waarin het niet voldoen aan het verzoek belangrijke belangen van de VS zou ondermijnen.[66]

Vaker wel dan niet eisen federale rechtbanken openbaarmaking ondanks mogelijke schendingen van buitenlandse wetten op de bescherming van persoonsgegevens.[67]

Arbiters worden met andere overwegingen geconfronteerd dan rechtbanken wanneer ze beslissen of ze openbaarmaking door een partij bevelen. Het is correct, zoals in de literatuur wordt betoogd,[68] dat arbiters zich bewust moeten zijn van concurrerende rechten en plichten in het licht van de dreiging van vernietiging of weigering van tenuitvoerlegging onder het Verdrag van 1958 over de erkenning en tenuitvoerlegging van buitenlandse scheidsrechterlijke uitspraken (Verdrag van New York). Dit standpunt houdt echter geen rekening met het feit dat openbaarmakingsbevelen onderworpen zijn aan een minimale toetsing door staatsrechtbanken, gezien het beginsel van rechterlijke niet-inmenging.[69] Voorbeelden van staatsrechtbanken die afzien van een toetsing van openbaarmakingsbevelen zijn er in overvloed.[70].

In het licht van de beoordelingsvrijheid die tribunalen krijgen in procedurele zaken, is het onwaarschijnlijk dat de dreiging van vernietiging of weigering van tenuitvoerlegging een centrale overweging zal zijn. Het is onvermijdelijk dat partijen proberen om de GDPR-verplichtingen te misbruiken om een potentieel procedurevoordeel te behalen, waardoor rechtbanken in een moeilijke positie terechtkomen om een evenwicht te vinden tussen enerzijds de belangen van de betrokkene en anderzijds het handhaven van een robuust bewijsproces.[71] Het verduidelijken van de nalevingsverplichtingen met betrekking tot de bescherming van persoonsgegevens aan het begin van de procedure - bij voorkeur in een ondertekend gegevensbeschermingsprotocol - in overeenstemming met de aanbevelingen van de Routekaart, lijkt een noodzakelijke stap om dit gedrag te controleren.

Niet-naleving van de vereisten inzake de bescherming van persoonsgegevens als weg naar nietigverklaring en weigering van erkenning en tenuitvoerlegging

De routekaart gaat niet in op de vraag of niet-naleving van de vereisten inzake de bescherming van persoonsgegevens kan worden gebruikt om een arbitraal vonnis te vernietigen of de erkenning en tenuitvoerlegging ervan te weigeren. Partijen hebben zeer beperkte rechtsmiddelen tegen arbitrale vonnissen. Desalniettemin kan een in het ongelijk gestelde partij de uitkomst aanvechten en een van de belangrijkste gemeenschappelijke gronden gebruiken om de uitspraak aan te vechten of de erkenning of tenuitvoerlegging ervan te voorkomen.

Het Verdrag van New York telt momenteel 168 verdragsluitende staten en is daarmee de belangrijkste rechtsgrondslag voor de erkenning en tenuitvoerlegging van buitenlandse vonnissen in internationale handelsarbitrage. Artikel V van het Verdrag voorziet in beperkte gronden waarop de erkenning en tenuitvoerlegging van een arbitraal vonnis kan worden geweigerd. Het meest in het oog springt artikel V, lid 2, onder b), dat de bevoegde autoriteit van een ondertekenende staat de mogelijkheid biedt om de erkenning of tenuitvoerlegging te weigeren van een arbitraal vonnis dat in strijd is met de openbare orde.[72]

De gronden waarop een arbitraal vonnis kan worden vernietigd verschillen per jurisdictie. De UNCITRAL Model Law on International Commercial Arbitration, die op grote schaal is aangenomen, bevat een lijst van gronden voor vernietiging in artikel 34(2). Deze lijst is sterk gemodelleerd naar artikel V van het Verdrag van New York.[73] Artikel 34(2)(b)(ii) bepaalt dat een arbitraal vonnis door de rechtbank kan worden vernietigd indien het vonnis in strijd is met de openbare orde van de staat.[74]

Het Europese Hof van Justitie (HvJ) oordeelde in Eco Swiss v Benetton dat bepalingen van bijzonder dwingend recht van het EU-recht fundamentele regels van openbare orde kunnen vormen, waarvan de schending een grond kan vormen voor vernietiging van een arbitraal vonnis dat op een dergelijke grond in het nationale recht is gebaseerd.[75] Of een vonnis al dan niet kan worden vernietigd, of de erkenning of tenuitvoerlegging ervan kan worden geweigerd, wegens niet-naleving van de vereisten inzake de bescherming van persoonsgegevens, zal daarom afhangen van de vraag of de regels van de GDPR moeten worden beschouwd als bepalingen van bijzonder dwingend recht, waarvan de schending in strijd is met de nationale openbare orde.[76]

Artikel 9, lid 1, van de Rome I-verordening definieert bepalingen van bijzonder dwingend recht als bepalingen "waarvan de naleving door een land van cruciaal belang wordt geacht voor de bescherming van zijn openbare belangen, [...] in die mate dat zij van toepassing zijn op elke situatie die binnen haar toepassingsgebied valt, ongeacht het recht dat anderszins van toepassing is". Zoals Cervenka en Schwarz eerder hebben erkend, kunnen de meeste regels van de GDPR waarschijnlijk worden beschouwd als bepalingen van bijzonder dwingend recht volgens het EU-recht. Als zodanig kan hun schending worden beschouwd als een schending van de openbare orde.[77]

De mogelijkheid dat niet-naleving van de vereisten inzake de bescherming van persoonsgegevens kan leiden tot de vernietiging of niet-erkenning en niet-tenuitvoerlegging van een arbitraal vonnis, geeft aanleiding tot verschillende problemen. Ten eerste moet nauwkeurig worden bepaald welke verplichtingen inzake de bescherming van persoonsgegevens dwingende bepalingen van bijzonder dwingend recht vormen, aangezien niet alle schendingen even zwaar wegen. Uiteindelijk zal het HvJ waarschijnlijk om verdere verduidelijking worden gevraagd. Ten tweede moet ook rekening worden gehouden met het mogelijke misbruik van de mogelijkheid om de tenuitvoerlegging van een arbitraal vonnis aan te vechten of te betwisten op basis van een schending van de GDPR, om te voorkomen dat partijen de regels inzake de bescherming van persoonsgegevens opzettelijk schenden om op een later tijdstip verhaal te kunnen halen tegen het vonnis. Ten slotte moet worden bepaald of de regelgeving inzake de bescherming van persoonsgegevens deel zou uitmaken van het procesrecht of het materieel recht en op welke manier.[78]

Hoewel er nog veel moet worden bepaald, moeten de gevolgen van niet-naleving van de voorschriften inzake de bescherming van persoonsgegevens voor de nietigverklaring en de erkenning en tenuitvoerlegging van arbitrale vonnissen worden behandeld. Het is zeer interessant dat hierover niets wordt gezegd in de routekaart.

Conclusie

De routekaart is bedoeld om arbitrageprofessionals te helpen bij het identificeren en begrijpen van de verplichtingen op het gebied van de bescherming van persoonsgegevens en de persoonlijke levenssfeer die op hen van toepassing kunnen zijn in een internationale arbitragecontext. Zoals eerder besproken, worden enkele specifieke kwesties die vandaag de dag relevant en urgent zijn, echter niet behandeld. De zes kwesties die in dit document worden geïdentificeerd en uitgewerkt, zijn:

  • de toepasselijkheid van GDPR op arbitrages die buiten de EU plaatsvinden;
  • GDPR in de context van NAFTA-arbitrages;
  • de kwestie van virtuele arbitragezittingen;
  • derdenfinanciers en hun plaats in de routekaart;
  • mogelijk misbruik van GDPR; en
  • mogelijke niet-naleving van GDPR als weg naar vernietiging of weigering van erkenning en tenuitvoerlegging van de arbitrale uitspraak.

Over elk van deze kwesties moet verder worden nagedacht, aangezien ze naar verwachting de komende jaren alleen maar relevanter zullen worden. Hopelijk is aangetoond dat ze het waard zijn om in de routekaart te worden opgenomen.

De bijlagen[79] die aan de routekaart zijn toegevoegd, zijn bedoeld om professionals te helpen praktisch met deze vereisten om te gaan. De toevoeging van de Data Protection Checklist, de Legitimate Interest Assessment Checklist, de Example Privacy Notices en de EU Standard Contractual Clauses zijn allemaal zeer waardevolle hulpmiddelen en zouden door professionals gebruikt moeten worden om ervoor te zorgen dat ze GDPR compliant zijn.

In een conflictsituatie tussen verschillende rechtsgebieden kunnen de verschillen tussen de verschillende nationale wetgevingen met betrekking tot de bescherming van persoonsgegevens echter leiden tot ambiguïteit. Hoewel de richtlijnen van de routekaart veelomvattend zijn, zijn ze nog steeds niet bindend. In het verleden hebben UNCITRAL en de IBA ernaar gestreefd harmonisatie te bieden in internationale arbitrage door middel van hun regels, richtlijnen en dergelijke; hoewel deze niet bindend zijn, zijn ze zeker overtuigend. Zoals UNCITRAL en de IBA hebben geprobeerd te doen met verschillende aspecten van internationale arbitrage, is er ook een dringende behoefte aan harmonisatie in de vereisten voor de bescherming van persoonsgegevens met betrekking tot arbitrage.

Terwijl harmonisatie, begrip en bewustzijn van GDPR-vereisten en de implicaties ervan in de context van internationale arbitrage nog steeds ontbreken, zullen wij als arbitrageprofessionals het moeten blijven doen met het huidige juridische kader. Desalniettemin is de routekaart, ondanks zijn tekortkomingen, een broodnodige en bemoedigende stap in de richting van een gemeenschappelijk begrip van de verplichtingen inzake de bescherming van persoonsgegevens voor arbitrale deelnemers.

Bronnen

  1. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming), PB 2016 L 119/1.
  2. 'Persoonsgegevens' worden in art. 4 GDPR gedefinieerd als: (1) ""persoonsgegevens": iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  3. Het territoriale toepassingsgebied van GDPR wordt in artikel 3 als volgt gedefinieerd:
    1. "Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking al dan niet in de Unie plaatsvindt.

    2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden door een voor de verwerking verantwoordelijke of een verwerker die niet in de Unie is gevestigd, wanneer de verwerkingsactiviteiten verband houden met:

      (a) het aanbieden van goederen of diensten, ongeacht of een betaling van de betrokkene is vereist, aan dergelijke betrokkenen in de Unie; of

      (b) het monitoren van hun gedrag voor zover hun gedrag binnen de Unie plaatsvindt.

    3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar het recht van een lidstaat krachtens het internationaal publiekrecht van toepassing is.
  4. Zie de definitie van "verwerker" in artikel 4 van de GDPR.
  5. Artikel 83, lid 4, GDPR.
  6. 'Grootste boete onder GDPR geheven tegen Google' (Simmons + Simmons, 22 januari 2019), zie www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, 'British Airways beboet met £20m over datalek' (BBC, 16 oktober 2020), zie www.bbc.com/news/technology-54568784.
  7. 'ICCA-IBA Joint Task Force on Data Protection in International Arbitration' (ICCA), zie www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, geraadpleegd op 18 augustus 2021.
  8. 'The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, februari 2020), zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, geraadpleegd 18 augustus 2021.
  9. Ibid, 1.
  10. PCA zaak nr. 2018-54.
  11. ICCA en New York City Bar en International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, geraadpleegd 18 augustus 2021.
  12. 'Cybersecurity Guidelines' (IBA, oktober 2018), zie www.ibanet.org/LPRU/Cybersecurity, geraadpleegd op 1 december 2020.
  13. 'ICC Guidance Note on Possible Measures Aim' (Internationale Kamer van Koophandel, 9 april 2020), geraadpleegd 18 augustus 2021.
  14. Routekaart, deel B.
  15. Ibid.
  16. Art. 4 GDPR.
  17. Ibid.
  18. Artikel 4 GDPR.
  19. Ibid. Artikel 3, lid 1.
  20. Routekaart, 7.
  21. Artikel 4 GDPR.
  22. De routekaart definieert 'arbitrale deelnemers' als 'met inbegrip van (alleen) de partijen, hun raadslieden, de arbiters en de arbitrage-instanties'. Zie Routekaart (n 3), 2.
  23. Art 4, GDPR.
  24. Zie arrest van 29 juli 2019, Fashion ID GmbH & Co KG tegen Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punten 74, 85. Zie ook arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; arrest van 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Stappenplan, 11
  26. Ibid, 12.
  27. Art 5 en 12-22, GDPR; routekaart 14-15.
  28. Zo is onder GDPR de verwerking van persoonsgegevens in het kader van internationale arbitrage rechtmatig wanneer dit noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke - behoudens beperkingen op grond van de belangen en grondrechten van de betrokkene - en kunnen gevoelige gegevens in het kader van arbitrage worden verwerkt op grond van de afwijking voor juridische claims (art. 9, lid 2, onder f).
  29. Routekaart, 19.
  30. Ibid, 20-21.
  31. Ibid, 30-31.
  32. Ibid, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. Artikel 5, lid 1, onder e), GDPR.
  41. Routekaart, 44.
  42. Emily Hay, 'De onzichtbare arm van GDPR in internationale verdragsarbitrage: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 augustus 2019), zie http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, geraadpleegd op 18 augustus 2021.
  43. De EU-Commissie heeft geoordeeld dat het land voldoende gegevensbescherming biedt.
  44. In het geval van internationale arbitrage zou dit waarschijnlijk een standaard contractuele clausule zijn.
  45. De uitzondering voor rechtsvorderingen, die doorgifte toestaat wanneer dit "noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een rechtsvordering", is het meest van toepassing in de arbitragecontext.
  46. Vanwege de hoge drempel en de meldingsplicht is een beroep op dwingende legitieme belangen in de praktijk weinig relevant. Zie EDPB, 'Richtsnoeren 2/2018 inzake afwijkingen van artikel 49 onder Verordening 2016/679', 6 februari 2018 (richtsnoeren gegevensoverdracht).
  47. Routekaart, 8, 13.
  48. Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?' (Kluwer Arbitration Blog, 29 augustus 2019), zie http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [geraadpleegd 18 augustus 2021].
  49. PCA zaak nr. 2018-54.
  50. Ibid, Mededeling van het Tribunaal aan de partijen (Perm Ct Arb, 2019).
  51. Roadmap, 37.
  52. ICCA en New York City Bar en International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, geraadpleegd 18 augustus 2021.
  53. 'Cybersecurity Guidelines' (IBA, oktober 2018), zie www.ibanet.org/LPRU/Cybersecurity, geraadpleegd op 1 december 2020.
  54. Andreas Respondek, Tasha Lim, 'Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?' (Kluwer Arbitration Blog, 18 juli 2020), zie http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, geraadpleegd 18 augustus 2021.
  55. 'ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic' (ICC, 9 april 2020), geraadpleegd op 18 augustus 2021.
  56. Financiering door derden in internationale arbitrage: The ICCA-QMUL report', (ICCA, mei 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, geraadpleegd 18 augustus 2018.
  57. Routekaart, 2.
  58. Ibid, 23-25.
  59. Art 4(2), GDPR, zie n 1 hierboven.
  60. Art 6(1)(f), GDPR.
  61. Allan J Arffa e.a., 'GDPR Issues in International Arbitration' (Lexology, 10 augustus 2020), zie www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, geraadpleegd 18 augustus 2021.
  62. Stappenplan, bijlage 5.
  63. Allan J Arffa e.a., 'GDPR Issues in International Arbitration' (Lexology, 10 augustus 2020), zie www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91 geraadpleegd 18 augustus 2021.
  64. Roadmap 40-41.
  65. Zie bijvoorbeeld: David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 februari 2020), zie www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration geraadpleegd op 18 augustus 2021.
  68. David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
  70. Ibid. Born haalt de volgende arresten aan om dit argument kracht bij te zetten: Arrest van 22 januari 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' tegen Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel te Parijs): De beslissing van het scheidsgerecht om inzage te gelasten valt binnen zijn procedurele beoordelingsvrijheid en kan niet door de rechter worden getoetst'; Karaha Bodas Co/Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Disclosure requests are 'well within the reasonable exercise of the Tribunal's discretion'.
  71. Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 december 2019), zie www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, geraadpleegd op 18 augustus 2021.
  72. Verdrag van New York, Art V(2): 'Erkenning en tenuitvoerlegging van een arbitraal vonnis kan ook worden geweigerd indien de bevoegde autoriteit in het land waar erkenning en tenuitvoerlegging wordt verzocht, van oordeel is dat... (b) De erkenning of tenuitvoerlegging van het vonnis in strijd zou zijn met de openbare orde van dat land.'
  73. Secretaris-generaal van de VN, Analytisch commentaar op de ontwerptekst van een modelwet inzake internationale handelsarbitrage, A/CN.9/264 (1985), Art 34, para 6.
  74. UNCITRAL Model Law on International Commercial Arbitration, Art 34(2): 'An arbitral award may be set aside by the court specified in article 6 only if...(b) the court finds that... (ii) the award is in conflict with the public policy of this State'.
  75. Arrest van 1 juni 1999, Eco Swiss China Time Ltd/Benetton International NV C-126/97, Jurispr. 1999, blz. 39 en 41. Voor een gedetailleerde bespreking van het overheidsbeleid van de EU, zie: Sacha Prechal en Natalya Shelkoplyas, 'National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond' (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka en Philipp Schwarz, 'Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts' (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Voor een meer gedetailleerde bespreking van deze en andere kwesties, zie: Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' in José R Mata Dona en Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 e.v.; Cervenka en Schwarz, zie n 76 hierboven, 84-85.
  79. 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, februari 2020), zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, geraadpleegd op 18 augustus 2021.

Dit artikel werd voor het eerst gepubliceerd in Dispute Resolution International, Vol 15 No 2, oktober 2021, en is overgenomen met vriendelijke toestemming van de International Bar Association, Londen, Verenigd Koninkrijk. © Internationale Orde van Advocaten.

Terug naar overzicht