Inleiding

In de afgelopen jaren zijn vragen gerezen over de praktische gevolgen van de bescherming van persoonsgegevens en cyberbeveiliging voor de feitelijke uitvoering van internationale arbitrages - vooral wanneer rekening wordt gehouden met het constante tempo van de technologische veranderingen.

De algemene verordening gegevensbescherming (GDPR)[i] vierde in mei 2020 haar tweede verjaardag. Het GDPR-kader voor de bescherming van persoonsgegevens heeft tot doel het vrije verkeer van persoonsgegevens van "geïdentificeerde of identificeerbare natuurlijke perso[o]nen" te waarborgen.[ii] Zij is van toepassing binnen de Europese Unie en heeft een extraterritoriale werkingssfeer die zich tot buiten de EU kan uitstrekken;[iii] De GDPR kan niet alleen betrekking hebben op alle natuurlijke of rechtspersonen, maar onderwerpt ook overheidsinstanties, agentschappen en andere organen - waaronder mogelijk internationale organisaties - aan verplichtingen inzake de bescherming van persoonsgegevens.[iv] GDPR-sancties kunnen oplopen tot 4 procent van de wereldwijde jaaromzet van de inbreukmakende entiteit over het voorgaande boekjaar of tot 20 miljoen euro, als dat meer is.[v] De noodzaak om de toepassing ervan ernstig te nemen, is reeds gebleken uit de miljoenenboetes die in verschillende rechtsgebieden zijn opgelegd.[vi]

Hoewel de toepassing van wetten inzake de bescherming van persoonsgegevens op arbitrage vaststaat, is de manier waarop de wetten moeten worden toegepast dat niet. Om die reden hebben de International Council for Commercial Arbitration (ICCA) en de International Bar Association (IBA) in februari 2019 een gezamenlijke taskforce voor gegevensbescherming in internationale arbitrageprocedures opgericht, met als doel een gids op te stellen die praktische richtsnoeren biedt voor de bescherming van persoonsgegevens in internationale arbitrage. De taskforce heeft in maart 2020 een consultatieontwerp van deze gids gepubliceerd.[vii] Deze toelichting is gebaseerd op deze ontwerp-routekaart (de routekaart),[viii] De definitieve, herziene versie van de routekaart zal naar verwachting in september 2021 worden gepubliceerd. Hoewel de termijn voor het indienen van opmerkingen over de ontwerptekst van de raadpleging op het moment van schrijven is verstreken, is de voorlopige versie van de routekaart niettemin illustratief voor de vraagstukken die door de GDPR in internationale arbitrages aan de orde worden gesteld. Zij zal daarom worden gebruikt als basis voor de discussie.

De meeste wetten inzake de bescherming van persoonsgegevens zijn bindend in arbitrageprocedures, wat betekent dat zij voorschrijven:

• welke persoonsgegevens mogen worden verwerkt;
• waar;
• op welke manier;
• met welke informatiebeveiligingsmaatregelen; en
• voor hoe lang.[ix]

Zij gaan echter niet in op de vraag hoe deze bindende verplichtingen in arbitrageprocedures moeten worden nageleefd. Bij gebrek aan specifieke richtsnoeren van de regelgevers is de routekaart bedoeld om arbitrageprofessionals te helpen bij het identificeren en begrijpen van de verplichtingen inzake de bescherming van persoonsgegevens en de persoonlijke levenssfeer waaraan zij in het kader van een internationale arbitrage kunnen worden onderworpen. Voorts blijft de reikwijdte van de GDPR-bescherming relevant in internationale arbitrageprocedures, met name de vraag of de GDPR-wetgeving van toepassing is op arbitrages die buiten de EU zijn gevestigd. Als de GDPR van toepassing blijkt te zijn op arbitrage, heeft dat nog verschillende andere gevolgen: ten eerste of de verwerking van persoonsgegevens verboden is en ten tweede of er beperkingen gelden voor de doorgifte van persoonsgegevens buiten de EU. Ten slotte kunnen de gevolgen van een dergelijke aanval op een arbitragezaak, gezien de toenemende frequentie van cyberaanvallen, tot aanzienlijke schade leiden.

In dit artikel wordt getracht commentaar te geven op de routekaart en te onderzoeken welke praktische maatregelen in aanmerking moeten worden genomen met betrekking tot verplichtingen inzake de bescherming van persoonsgegevens in internationale arbitrageprocedures. De routekaart wordt beschouwd als een veelbelovend, zij het onvolledig, instrument ter aanvulling van de verschillende tot dusverre ondernomen soft law-pogingen om de internationale arbitrage te harmoniseren, met name de instrumenten van de IBA en de Commissie van de Verenigde Naties voor internationaal handelsrecht (UNCITRAL).

Eerst zal een korte samenvatting van de routekaart worden gegeven, waarin ook wordt verwezen naar de GDPR-beginselen. Het is niet de bedoeling een volledig overzicht te geven, maar wel de belangrijkste punten van de routekaart te introduceren om de lezer context te geven voor de daaropvolgende bespreking. Ten tweede zal een toelichting worden gegeven waarin zes relevante kwesties aan de orde komen:

• de toepasselijkheid van de GDPR op arbitrages die buiten de EU worden gehouden;
• GDPR in de context van arbitrages in het kader van de Noord-Amerikaanse Vrijhandelsovereenkomst (NAFTA), zoals geïllustreerd in de zaak Tennant Energy, LLC tegen Government of Canada;[x]
• de kwestie van videoconferenties, die tijdens de Covid-19-pandemie sterk in belang is toegenomen, met verwijzingen naar het "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Cybersecurity-protocol)[xi] de Cybersecurity-richtlijnen van de IBA[xii] en de ICC-richtsnoer over mogelijke maatregelen ter verzachting van de gevolgen van de COVID-19-pandemie;[xiii]
• derden-financiers" en hoe daarmee rekening wordt gehouden in de routekaart;
• misbruik van de GDPR, met name als schild voor niet-openbaarmaking; en
• de mogelijkheid om de niet-naleving van de vereisten inzake de bescherming van persoonsgegevens aan te wenden als een middel tot nietigverklaring of weigering van de erkenning en tenuitvoerlegging van het arbitraal vonnis.

In de conclusie zullen slotbeschouwingen worden opgenomen.

De routekaart

Voor natuurlijke personen en rechtspersonen gelden verplichtingen om de persoonsgegevens van betrokkenen te beschermen. De arbitrage zelf is niet onderworpen aan verplichtingen inzake de bescherming van persoonsgegevens. Indien echter slechts één deelnemer aan de arbitrage onderworpen is aan verplichtingen inzake de bescherming van persoonsgegevens, kan dit gevolgen hebben voor de arbitrage in haar geheel. Of de verwerking van persoonsgegevens onder de relevante wetgeving, het materieel toepassingsgebied en het rechtsgebied valt, zal bepalen of de wetgeving inzake de bescherming van persoonsgegevens van toepassing is.[xiv]

Moderne wetgeving inzake de bescherming van persoonsgegevens is van toepassing telkens wanneer persoonsgegevens over een betrokkene worden verwerkt tijdens activiteiten die onder het rechtsgebied van de desbetreffende wetgeving inzake de bescherming van persoonsgegevens vallen.[xv] Persoonsgegevens omvatten "iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon".[xvi] Tijdens typische arbitrageprocedures worden aanzienlijke hoeveelheden informatie uitgewisseld die onder meer betrekking hebben op de partijen, hun raadslieden, het scheidsgerecht en derden. Als zodanig kunnen zij worden beschouwd als vallende onder de definitie van "persoonsgegevens". Met "betrokkenen" worden de bovengenoemde personen bedoeld die geïdentificeerd of identificeerbaar zijn.[xvii] Verwerking omvat actieve en passieve handelingen, dus zowel het gebruiken, verspreiden en wissen van persoonsgegevens als het ontvangen, ordenen en bewaren van persoonsgegevens.[xviii] Het toepassingsgebied omvat alle handelingen waarbij persoonsgegevens worden verwerkt in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de EU[xix] en extraterritoriaal, zoals wanneer persoonsgegevens buiten de EU worden doorgegeven aan entiteiten of personen die om andere redenen nog niet onder de GDPR vallen.[xx]

Arbiters zullen worden gekwalificeerd als voor de verwerking verantwoordelijken, hetgeen betekent dat zij verantwoordelijk zullen zijn voor de naleving van de wetgeving inzake de bescherming van persoonsgegevens. Echter, op basis van de definitie van "voor de verwerking verantwoordelijke";[xxi] de meeste arbitrale deelnemers[xxii] waarschijnlijk als zodanig zullen worden beschouwd, met inbegrip van raadslieden, partijen en de instelling. De voor de verwerking verantwoordelijken kunnen gegevensverwerking delegeren aan gegevensverwerkers,[xxiii] die onder hun controle zullen staan en waarvoor gegevensverwerkingsovereenkomsten zullen moeten worden gesloten op voorwaarden die door het toepasselijke recht worden voorgeschreven. Secretaresses, transcribenten, vertalers en anderen zullen dus waarschijnlijk allemaal als gegevensverwerkers worden beschouwd. Dan is er nog de kwestie van de gezamenlijk voor de verwerking verantwoordelijken die gezamenlijk het doel van en de middelen voor de gegevensverwerking bepalen. Gezamenlijk voor de verwerking verantwoordelijken worden ruim geïnterpreteerd, maar de aansprakelijkheid van de gezamenlijk voor de verwerking verantwoordelijke is beperkt tot alleen de verwerking die de voor de verwerking verantwoordelijke heeft bepaald, het doel en de middelen ervan, en niet de totale verwerking.[xxiv]

In internationale arbitrages zijn de beperkingen op de doorgifte van persoonsgegevens tussen rechtsgebieden een voor de hand liggende manier waarop de wetgeving inzake de bescherming van persoonsgegevens van toepassing is. De achtergrond van de verschillende arbitragepartijen zal bepalend zijn voor de toepassing van verschillende regelingen inzake de bescherming van persoonsgegevens. Moderne wetgeving inzake de bescherming van persoonsgegevens beperkt de doorgifte van persoonsgegevens naar derde landen om ervoor te zorgen dat wettelijke verplichtingen niet worden omzeild door persoonsgegevens door te geven naar rechtsgebieden met lagere normen voor de bescherming van persoonsgegevens.[xxv] De GDPR staat de doorgifte van persoonsgegevens naar derde landen toe indien een van de volgende situaties zich voordoet:

• het land door de EU-Commissie geacht wordt een passend beschermingsniveau te bieden voor persoonsgegevens;
• een van de uitdrukkelijk genoemde voorzorgsmaatregelen wordt genomen;
• een afwijking die doorgifte toestaat indien dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of
• het dwingende legitieme belang van een partij.[xxvi]

Deze regels zijn van toepassing op de deelnemers aan de arbitrage en niet op de arbitrage in haar geheel, zodat elke deelnemer aan de arbitrage moet nagaan welke beperkingen inzake de doorgifte van persoonsgegevens op hem van toepassing zijn.

De in arbitrage toepasselijke beginselen inzake de bescherming van persoonsgegevens omvatten eerlijke en rechtmatige verwerking, evenredigheid, minimalisering van gegevens, doelbinding, rechten van de betrokkene, nauwkeurigheid, gegevensbeveiliging, transparantie en verantwoordingsplicht.[xxvii]

Enkele van deze beginselen behoeven nadere toelichting. Eerlijke en rechtmatige verwerking houdt in dat persoonsgegevens alleen mogen worden verwerkt op een manier die de betrokkenen redelijkerwijs zouden verwachten en dat er een rechtsgrondslag voor de verwerking moet zijn. Bij toepassing van het billijkheidsbeginsel moeten de partij en haar raadslieden zich afvragen of, in de context van alle feiten, de betrokkenen hadden verwacht dat hun persoonsgegevens op een dergelijke manier zouden worden verwerkt, of dit nadelige gevolgen voor hen zal hebben en of deze gevolgen gerechtvaardigd zijn. Dit beginsel staat er niet aan in de weg dat persoonsgegevens die in zakelijke e-mails zijn aangetroffen, als bewijs worden toegelaten.

Het begrip "rechtmatige verwerking" houdt een rechtsgrondslag in die op feiten is gebaseerd en op specifieke gevallen is toegesneden. In plaats van te vertrouwen op toestemming, moeten specifieke rechtsgrondslagen in de GDPR worden ingeroepen.[xxviii]

Evenredigheid vereist een afweging van de aard, de omvang, de context en de doeleinden van de verwerking in verhouding tot de risico's voor de betrokkene.[xxix] Gegevensminimalisering vereist dat deelnemers aan arbitrage de verwerking beperken tot persoonsgegevens die adequaat, ter zake dienend en beperkt zijn tot hetgeen noodzakelijk is.[xxx] Transparantie vereist dat de betrokkenen in kennis worden gesteld van de verwerking en het doel van de verwerking van de persoonsgegevens door middel van algemene mededelingen, specifieke kennisgevingen, of beide.[xxxi] Verantwoordingsplicht heeft betrekking op de persoonlijke verantwoordelijkheid voor de naleving van de gegevensbescherming, wat betekent dat arbitragedeelnemers alle maatregelen en besluiten inzake de bescherming van persoonsgegevens moeten documenteren om aan te tonen dat zij de regels naleven.[xxxii]

De naleving van de wetgeving inzake de bescherming van persoonsgegevens is van invloed op de verschillende stappen van een internationale arbitrageprocedure, niet alleen tijdens de arbitrage zelf, maar ook tijdens de voorbereidingen. Vanaf het begin moeten arbitragepartijen nagaan welke wetgeving inzake de bescherming van persoonsgegevens van toepassing is op henzelf en andere arbitragepartijen, en welke arbitragepartijen persoonsgegevens zullen verwerken als voor de verwerking verantwoordelijken, verwerkers of gezamenlijk voor de verwerking verantwoordelijken. Regels inzake de doorgifte van persoonsgegevens naar derde landen en overeenkomsten inzake de verwerking van persoonsgegevens met betrekking tot derde dienstverleners moeten ook in overweging worden genomen. Tijdens het verzamelen en beoordelen van documenten hebben de partijen en hun juridisch adviseurs een rechtmatige grondslag nodig voor de verwerkingsactiviteiten en de doorgifte van persoonsgegevens naar derde landen.[xxxiii]

Het verzoek om arbitrage, alsmede de daaropvolgende stukken, zullen persoonsgegevens bevatten die volledig binnen het domein van de verwerking vallen. Als een arbitrage-instelling gebonden is aan de toepasselijke wetgeving inzake de bescherming van persoonsgegevens, moet zij rekening houden met mogelijke verplichtingen inzake de bescherming van persoonsgegevens die tijdens elke procedurestap van toepassing zijn. Als een arbitrage-instelling onder de GDPR valt, wordt zij doorgaans een voor de verwerking verantwoordelijke van persoonsgegevens. Om te voldoen aan de artikelen 13 en 14 van GDPR, moet een dergelijke instelling in haar privacyverklaring informatie opnemen over beveiligingsmaatregelen, de uitoefening van rechten van betrokkenen, het bijhouden van gegevens en het beleid inzake gegevensinbreuk en -bewaring.[xxxiv] Internationale organisaties die arbitrages tussen investeerders en staten beheren, kunnen echter worden uitgesloten van het toepassingsgebied van de wetgeving inzake de bescherming van persoonsgegevens op grond van voorrechten en immuniteiten in de oprichtende staat of in een overeenkomst met het gastland. Hier moeten dus afzonderlijke overwegingen worden gemaakt, onder meer of de organisatie gebonden is door de wetgeving inzake de bescherming van persoonsgegevens en of - en in welke mate - de deelnemers aan de arbitrage onder de voorrechten en immuniteiten zouden vallen.[xxxv]

Bij de benoeming van arbiters voor een scheidsgerecht worden doorgaans aanzienlijke hoeveelheden persoonsgegevens van potentiële arbiters uitgewisseld. Arbitragedeelnemers dienen de rechtsgrondslag voor de verwerking van deze persoonsgegevens in hun juridische aankondigingen op te nemen en arbiters die voor benoeming in aanmerking komen, uitdrukkelijk in kennis te stellen van de verwerking van hun persoonsgegevens, met name in geval van doorgifte van persoonsgegevens naar derde landen.[xxxvi]

Zodra de arbitrage van start is gegaan, moeten de verantwoordelijkheden inzake de naleving van de persoonsgegevensbescherming in een vroeg stadium worden toegewezen om de risico's tot een minimum te beperken. De bescherming van persoonsgegevens moet op de agenda van de eerste procedurevergadering worden geplaatst, en de deelnemers aan de arbitrage moeten zo vroeg mogelijk overeenstemming trachten te bereiken over de wijze waarop de naleving van de voorschriften inzake de bescherming van persoonsgegevens moet worden aangepakt. De partijen, hun raadslieden en de arbiters moeten overwegen een protocol inzake de bescherming van persoonsgegevens op te stellen om nalevingskwesties doeltreffend te beheren. Indien dit niet mogelijk is, is een alternatieve optie dat het scheidsgerecht deze opneemt in procedurele volgorde nummer één.[xxxvii]

In het proces van productie en openbaarmaking van documenten is het beginsel van minimalisering van persoonsgegevens van bijzonder belang. In het kader van de GDPR is dit waarschijnlijk vereist:

• de bekendgemaakte persoonsgegevens te beperken tot hetgeen relevant en niet-duplicatief is;
• het identificeren van de persoonsgegevens in het responsieve materiaal; en
• het redigeren of pseudonimiseren van onnodige persoonsgegevens.

Deze kwesties moeten ook in een vroeg stadium van de procedure worden besproken, bij voorkeur tijdens of voor de eerste procedurevergadering.[xxxviii]

Wanneer het gaat om het wijzen van vonnissen, moeten arbiters en instellingen zich beraden over de grondslag en de noodzaak van het opnemen van persoonsgegevens in vonnissen. Indien de arbitrage vertrouwelijk is, bestaat niettemin het risico dat een arbitraal vonnis openbaar wordt wanneer het ten uitvoer wordt gelegd. Zelfs wanneer persoonsgegevens worden weggelaten, blijven het doorgaans persoonsgegevens, aangezien de betrokkene identificeerbaar is aan de hand van de rest van het vonnis of aanverwant materiaal.[xxxix]

Het bewaren en verwijderen van gegevens worden beschouwd als verwerking in het kader van de GDPR, die bepaalt dat persoonsgegevens "in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer [mogen] worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt".[xl] De voor de verwerking verantwoordelijken moeten de duur van de bewaring overwegen, documenteren en kunnen verantwoorden. De deelnemers aan een arbitrageprocedure moeten nagaan welke termijn voor de bewaring van gegevens redelijk is en moeten een evenredige aanpak hanteren om hun behoeften af te wegen tegen de gevolgen van de bewaring van gegevens voor de betrokkene.[xli]

De toepasselijkheid van GDPR op arbitrages buiten de EU

Het territoriale toepassingsgebied van de Algemene Verordening Gegevensbescherming is relatief ruim. Beoefenaars van juridische beroepen moeten zich bewust zijn van de toepassing ervan, ongeacht of zij al dan niet in de EU gevestigd zijn, of de arbitrage al dan niet in de EU plaatsvindt. De GDPR is van toepassing op de verwerking van persoonsgegevens door voor de verwerking verantwoordelijken of verwerkers die in de EU zijn gevestigd, ongeacht of de verwerking zelf in de EU plaatsvindt (artikel 3, lid 1). Wanneer het gaat om het aanbieden van goederen of diensten aan EU-burgers of het observeren van gedrag dat binnen de EU plaatsvindt, is de GDPR bovendien van toepassing op de verwerking van persoonsgegevens door een niet in de EU gevestigde voor de verwerking verantwoordelijke of verwerker (artikel 3, lid 2).

Toegepast op de arbitragecontext legt de GDPR verplichtingen op aan de voor de verwerking verantwoordelijken en verwerkers van gegevens - arbiters, raadslieden, partijen en instellingen - die binnen het materiële en territoriale toepassingsgebied van de GDPR vallen, en niet zozeer aan de arbitrageprocedure zelf. Zelfs als slechts één deelnemer aan de arbitrageprocedure een band heeft met de EU, zal hij verplicht zijn persoonsgegevens te verwerken in overeenstemming met de GDPR. Dit kan gevolgen hebben voor de procedure in haar geheel.[xlii]

Wellicht het meest opmerkelijk in de context van internationale arbitrage, waar de doorgifte van arbitragemateriaal met persoonsgegevens aan de orde van de dag is, zijn de beperkingen die worden gesteld aan de doorgifte van persoonsgegevens aan "derde landen" buiten de Europese Economische Ruimte (EER). In een dergelijk scenario is een van de vier rechtsgrondslagen vereist om de doorgifte van persoonsgegevens toe te staan. Ten eerste is doorgifte naar een derde land toegestaan indien ten aanzien van het derde land een besluit inzake adequaatheid is genomen (artikel 45, lid 1).[xliii] Indien dit niet het geval is, moet, waar mogelijk, een van de passende waarborgen (artikel 46, lid 1) worden ingebouwd.[xliv] Als er geen besluit is om een beschermingsmaatregel passend te verklaren en een passende vrijwaringsmaatregel niet haalbaar is, kan een beroep worden gedaan op een specifieke afwijking (artikel 49, lid 1).[xlv] Ten slotte kan een partij, bij gebreke van het bovenstaande, zich beroepen op een dwingend rechtmatig belang (artikel 49, lid 1)[xlvi] als rechtmatige grondslag voor een doorgifte van persoonsgegevens aan derden.

In de routekaart wordt vrij uitvoerig uiteengezet welke overwegingen de deelnemers aan arbitrage moeten maken. Meermaals wordt benadrukt dat de beginselen inzake de bescherming van persoonsgegevens en de voorschriften inzake doorgifte van toepassing zijn op de deelnemers aan de arbitrage, en niet op de arbitrage als zodanig.[xlvii] In lijn hiermee is de vooronderstelde conclusie dat een in de EU gevestigde arbiter in een niet-EU-arbitrage die anders niet onder de GDPR valt, niettemin moet voldoen aan de GDPR-vereisten inzake verwerking en doorgifte van persoonsgegevens. Dit is inderdaad algemeen aanvaard in commerciële arbitrageprocedures,[xlviii] maar de situatie is niet zo duidelijk wanneer het gaat om arbitrage tussen investeerders en staten.

De zaak Tennant Energy, LLC tegen de regering van Canada

In 2019, in de NAFTA hoofdstuk 11 arbitrage Tennant Energy, LLC tegen regering van Canada (Tennant),[xlix] Tennant, de eiser, stelde de kwestie aan de orde van de toepassing van de GDPR op de procedure in het licht van de Britse nationaliteit en woonplaats van een van de leden van het tribunaal. Het Tribunaal heeft de partijen echter aanwijzingen gegeven en verklaard dat "een arbitrage op grond van hoofdstuk 11 van de NAFTA, een verdrag waarbij noch de Europese Unie noch haar lidstaten partij zijn, vermoedelijk niet binnen de materiële werkingssfeer van de GDPR valt".[l]

Het is belangrijk een onderscheid te maken tussen op verdragen gebaseerde arbitrage en commerciële arbitrage, waarbij Tennant in de eerste categorie valt. In de routekaart wordt op dit onderscheid ingegaan door op te merken dat internationale organisaties kunnen worden uitgesloten van het toepassingsgebied van de wetgeving inzake de bescherming van persoonsgegevens.[li] De leden van het tribunaal in de Tennant-arbitrage kunnen bepaalde immuniteiten ontlenen aan de zetelovereenkomst van het Permanent Hof van Arbitrage (PCA) met Nederland. Het NAFTA-gerecht heeft echter niet onderzocht of de PCA, als internationale organisatie, onderworpen zou zijn aan de overdrachtsregels van de GDPR, dan wel of de leden van het gerecht bepaalde immuniteiten aan de overeenkomst zouden ontlenen.

De Tennant De richtlijn roept meer vragen op dan zij beantwoordt over de toepasselijkheid van de GDPR op NAFTA-procedures en op verdragsgebaseerde arbitrages meer in het algemeen, en een genuanceerde bespreking daarvan valt buiten het bestek van deze bespreking. Niettemin toont de Tennant-richtlijn, bezien in het licht van de routekaart, aan dat dit onderwerp hoogst onzeker blijft. Het is op zijn best de vraag of de routekaart enige duidelijkheid brengt voor arbitrale deelnemers die met een dergelijke kwestie worden geconfronteerd, met name gelet op het feit dat de routekaart is uitgebracht na de Tennant richtlijn is vastgesteld, zonder dat aan laatstgenoemde enige tegenprestatie is toegekend.

De kwestie van videoconferenties

In de routekaart wordt het belang van de beveiliging van persoonsgegevens erkend. Met het recente gebruik van aanvullende technologie om virtuele hoorzittingen te vergemakkelijken, alsook thuiswerken - veelal gevoed door de huidige omstandigheden die ons worden opgelegd door de Covid-19-pandemie - krijgt deze kwestie echter extra gewicht. Het protocol inzake cyberbeveiliging[lii] en de Cybersecurity-richtlijnen van de IBA[liii] hebben wat licht op de zaak geworpen.

Net als de routekaart stelt het protocol inzake cyberbeveiliging een aantal onderliggende beginselen vast. Het evenredigheidsbeginsel is van toepassing, het Tribunaal heeft de bevoegdheid en de discretionaire bevoegdheid om te bepalen welke beveiligingsmaatregelen worden getroffen, en informatiebeveiliging is een kwestie die moet worden besproken tijdens de eerste casemanagementconferentie. Bijlage A bij het protocol inzake cyberbeveiliging bevat een checklist die de partijen bij een arbitrage kunnen gebruiken om de procedure te beveiligen.

Na de recente verschuiving in werkpatronen en -omgevingen als gevolg van de Covid-19-pandemie, moet aan deze kwesties meer gewicht worden toegekend. In een wereld die onder druk is gezet om nieuwe manieren van zakendoen te vinden en zich aan te passen aan tijden van onzekerheid, is een van de problemen waarmee de juridische sector is geconfronteerd de kwestie van hoorzittingen in combinatie met beperkingen en de behoefte aan sociale distantie. De populariteit van videoconferenties en het gebruik ervan in internationale arbitrageprocedures is dan ook iets waar de routekaart aandacht aan zou moeten besteden, maar dat niet heeft gedaan - of althans nog niet heeft gedaan.

Hoewel velen de problemen van videohoorzittingen hebben besproken en erop hebben gewezen, zijn de meesten niet ingegaan op de vraag hoe de wetgeving inzake de bescherming van persoonsgegevens daarop moet worden toegepast, niet alleen met betrekking tot de bescherming van persoonsgegevens, maar ook met betrekking tot de veiligheid, aangezien sommige platforms het voorwerp zijn geweest van veiligheidsaanvallen.[liv]

Zoals hierboven besproken, is het van essentieel belang om de verschillende rollen van de betrokken partijen in arbitrage met betrekking tot GDPR te begrijpen, namelijk wie de "voor de verwerking verantwoordelijken" en wie de "gegevensverwerkers" zijn. Als de videoconferentiesoftware persoonsgegevens verwerkt, zoals de gebruikersnaam en het e-mailadres van het gebruik van de dienst door een partij, zullen zij worden beschouwd als een "gegevensverwerker". Dit betekent dat zij zich aan de GDPR-regels moeten houden als een van de deelnemers in de EU woonachtig is. Aangezien het Tribunaal de "verantwoordelijke voor de verwerking" is, zal het Tribunaal er dan voor moeten zorgen dat deze regels worden nageleefd.

De Internationale Kamer van Koophandel (ICC) heeft een richtsnoer uitgebracht[lv] dat partijen voorstellen doet voor clausules voor cyberbeveiligingsprotocollen en virtuele hoorzittingen. Het beoogt het veiligheidsaspect aan te pakken, maar gaat niet in op het aspect van de bescherming van persoonsgegevens. In de routekaart moet worden besproken welke mogelijkheden er zijn om persoonsgegevens te beschermen bij hoorzittingen die virtueel plaatsvinden, en hoe daaraan kan worden voldaan. De GDPR bevat weliswaar voorschriften waaraan moet worden voldaan met betrekking tot videoconferenties, maar geeft geen aanwijzingen over de manier waarop de voorschriften rechtstreeks van toepassing zijn.

Hoewel de routekaart geen aanbevelingen doet over specifieke softwareleveranciers, zou zij voor de praktijkmensen een lijst kunnen opstellen met de noodzakelijke specificaties van een ideale software voor videozittingen, net zoals zij in haar bijlagen checklists geeft voor diverse andere aangelegenheden.

Wat is de rol van derden-financiers?

Onder derde-financierder wordt verstaan iedere niet-partij bij de arbitrageprocedure die een regeling treft om de kosten van de procedure geheel of gedeeltelijk te financieren in ruil voor een bedrag dat geheel of gedeeltelijk afhankelijk is van de uitkomst van de zaak.[lvi] Derden-financiers hebben toegang tot verschillende persoonsgegevens in arbitrageprocedures die zij financieren of overwegen te financieren. Hoewel de routekaart uitdrukkelijk alleen gericht is tot deelnemers aan arbitrage, wordt aangegeven dat de richtsnoeren ook relevant zijn voor dienstverleners, die ook te maken hebben met de vereisten inzake de bescherming van persoonsgegevens.[lvii]

In de routekaart wordt onder dienstverleners onder meer verstaan "deskundigen op het gebied van e-discovery, informatietechnologie, rechtbankverslaggevers, vertaaldiensten, enz.[lviii] maar derden-financiers worden niet uitdrukkelijk vermeld. Volgens de GDPR valt het verzamelen en opslaan van persoonsgegevens onder verwerking. Als derden-financiers persoonsgegevens van anderen verzamelen, zou de wetgeving inzake persoonsgegevens dus ook op hen van toepassing zijn.[lix]

GDPR staat toe dat een partij persoonsgegevens verwerkt indien "de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of van een derde,[lx] die mogelijk door arbitragepartijen kan worden aangevoerd als een toepasselijke rechtsgrondslag voor de verwerking van relevante persoonsgegevens. Er bestaan beperkte richtsnoeren over dit onderwerp.[lxi] In de routekaart staat:

"De eerste stap in een beoordeling van een rechtmatig belang is het vaststellen van een rechtmatig belang - wat is het doel van de verwerking van de Persoonsgegevens en waarom is dat voor u als voor de verwerking verantwoordelijke van belang? In de context van arbitrage kan het gerechtvaardigd belang betrekking hebben op de rechtsbedeling, het waarborgen dat de rechten van de partijen worden geëerbiedigd en de snelle en billijke beslechting van vorderingen volgens de toepasselijke arbitrageregels, en ook op vele andere belangen.[lxii]

De opneming van "ook vele andere belangen" zou mogelijkerwijs het rechtmatige geldelijke belang van derde-financiers kunnen omvatten. Als dat het geval is, zouden zij duidelijk verplicht zijn om gegevensverwerkingsovereenkomsten te sluiten met de partijen in de arbitrageprocedure en zouden zij onder het toepassingsgebied van de voorschriften en vereisten inzake de bescherming van persoonsgegevens vallen. Interessant is dat in de routekaart niet uitdrukkelijk wordt vermeld hoe derde-geldverschaffers in het plaatje passen, met name gezien de toename van hun betrokkenheid bij arbitrageprocedures.

Een schild voor geheimhouding

Verplichtingen inzake de bescherming van persoonsgegevens leiden tot de mogelijkheid van misbruik. Arbitragepartijen kunnen de GDPR te kwader trouw als schild gebruiken om openbaarmaking van informatie die relevant is voor de procedure of waarom de tegenpartij heeft verzocht, te voorkomen. Een partij kan bijvoorbeeld bezwaar maken tegen een verzoek tot openbaarmaking met het argument dat de documenten persoonsgegevens bevatten die geen verband houden met het geschil, of dat het redigeren van persoonlijke informatie te belastend zou zijn.[lxiii]

De routekaart gaat in op de mogelijkheid van misbruik. Er wordt voorgesteld de verplichtingen inzake de bescherming van persoonsgegevens in een zo vroeg mogelijk stadium aan de orde te stellen en te verduidelijken om het risico te beperken dat deze van invloed zijn op de procedures. Deelnemers moeten overwegen een "protocol voor gegevensbescherming" aan te gaan - een overeenkomst over hoe de bescherming van persoonsgegevens in een bepaalde context zal worden toegepast. Wanneer het niet mogelijk is tot een ondertekend protocol inzake gegevensbescherming te komen, moeten deze kwesties worden behandeld in procedureel besluit nummer één.[lxiv]

Ter vergelijking kan worden gekeken naar GDPR-naleving tijdens discovery in Amerikaanse rechtszaken. Federale rechtbanken in de VS hebben afwegingen gemaakt om al dan niet openbaarmaking of naleving te gelasten van dagvaardingen of bevelen tot inzage die mogelijk in strijd zijn met buitenlandse wetgeving, waaronder de wetgeving inzake de bescherming van persoonsgegevens.[lxv] Een niet-uitputtende lijst van factoren die door federale rechtbanken in de V.S. worden bekeken is:

• het belang van de gevraagde documenten of andere informatie voor het geschil;
• de mate van specificiteit van het verzoek;
• of de informatie afkomstig is uit de VS;
• de beschikbaarheid van alternatieve middelen om de informatie veilig te stellen; en
• de mate waarin niet-naleving belangrijke belangen van de VS zou ondermijnen.[lxvi]

Vaker wel dan niet eisen federale rechtbanken openbaarmaking ondanks mogelijke schendingen van buitenlandse wetten inzake de bescherming van persoonsgegevens.[lxvii]

Arbiters worden geconfronteerd met andere overwegingen dan rechtbanken wanneer zij beslissen of zij openbaarmaking door een partij bevelen. Het is juist, zoals in de literatuur wordt betoogd,[lxviii] dat de rechterlijke instanties rekening moeten houden met concurrerende rechten en plichten in het licht van de dreiging van nietigverklaring of weigering van tenuitvoerlegging op grond van het Verdrag van 1958 over de erkenning en tenuitvoerlegging van buitenlandse scheidsrechterlijke uitspraken (Verdrag van New York). Deze opvatting houdt echter geen rekening met het feit dat bevelen tot openbaarmaking, gelet op het beginsel van niet-inmenging door de rechter, aan een minimale toetsing door de overheidsrechter zijn onderworpen.[lxix] Er zijn voorbeelden in overvloed van rechtbanken in staten die afzien van een toetsing van bevelen tot openbaarmaking.[lxx]

In het licht van de discretionaire bevoegdheid die de rechtbanken in procedurekwesties hebben, zal de dreiging van nietigverklaring of geweigerde handhaving waarschijnlijk geen centrale overweging zijn. De onvermijdelijkheid van pogingen van partijen om misbruik te maken van de GDPR-verplichtingen om een potentieel procedureel voordeel te behalen, zal de rechtbanken in een moeilijke positie brengen: enerzijds moeten zij een evenwicht zien te vinden tussen de belangen van het gegevenssubject en anderzijds moeten zij een robuuste bewijsprocedure handhaven.[lxxi] Het verduidelijken van de nalevingsverplichtingen inzake de bescherming van persoonsgegevens aan het begin van de procedure - bij voorkeur in een ondertekend protocol inzake gegevensbescherming - overeenkomstig de aanbevelingen van de routekaart, lijkt een noodzakelijke stap te zijn om dit gedrag te controleren.

Niet-naleving van de vereisten inzake de bescherming van persoonsgegevens als een weg naar nietigverklaring en weigering van erkenning en tenuitvoerlegging

In de routekaart wordt niet ingegaan op de vraag of niet-naleving van de vereisten inzake de bescherming van persoonsgegevens kan worden gebruikt om een arbitraal vonnis nietig te verklaren of om de erkenning en tenuitvoerlegging ervan te weigeren. Partijen beschikken over zeer beperkte middelen om beroep in te stellen tegen arbitrale vonnissen. Niettemin kan een in het ongelijk gestelde partij de uitkomst ervan willen aanvechten en een van de belangrijkste gemeenschappelijke gronden aanvoeren om de uitspraak aan te vechten of de erkenning of tenuitvoerlegging ervan te voorkomen.

Het Verdrag van New York telt momenteel 168 verdragsluitende staten, waardoor het de belangrijkste rechtsgrondslag is voor de erkenning en tenuitvoerlegging van buitenlandse scheidsrechterlijke uitspraken in internationale handelsarbitrage. Het Verdrag voorziet in artikel V in beperkte gronden waarop de erkenning en tenuitvoerlegging van een arbitrale uitspraak kan worden geweigerd. Met name artikel V, lid 2, onder b), biedt de bevoegde autoriteit van een ondertekenende staat de mogelijkheid om de erkenning of tenuitvoerlegging te weigeren van een arbitraal vonnis dat in strijd is met de openbare orde.[lxxii]

De gronden waarop een arbitraal vonnis kan worden vernietigd, verschillen van rechtsgebied tot rechtsgebied. Het UNCITRAL-modelrecht inzake internationale arbitrage in handelszaken, dat op ruime schaal is aangenomen, bevat in artikel 34, lid 2, een lijst van gronden voor vernietiging. Deze lijst is nauw gemodelleerd naar artikel V van het Verdrag van New York.[lxxiii] Artikel 34, lid 2, onder b), ii), bepaalt dat een arbitraal vonnis door de rechter kan worden vernietigd indien het vonnis in strijd is met de openbare orde van de staat.[lxxiv]

Het Europese Hof van Justitie (HvJ) heeft in de zaak Eco Swiss/Benetton geoordeeld dat bepalingen van bijzonder dwingend recht van de Unie fundamentele regels van openbare orde kunnen vormen, waarvan de schending een grond kan vormen voor de nietigverklaring van een arbitraal vonnis dat op een dergelijke grond in het nationale recht is gebaseerd.[lxxv] Of een vonnis al dan niet kan worden vernietigd, of de erkenning of tenuitvoerlegging ervan kan worden geweigerd, wegens niet-naleving van de vereisten inzake de bescherming van persoonsgegevens, hangt derhalve af van de vraag of de regels van de GDPR moeten worden beschouwd als bepalingen van bijzonder dwingend recht, waarvan de schending in strijd is met de nationale openbare orde.[lxxvi]

Artikel 9, lid 1, van de Rome I-verordening definieert bepalingen van bijzonder dwingend recht als bepalingen "waarvan de eerbiediging door een land van wezenlijk belang wordt geacht voor de bescherming van zijn openbare belangen [...], en wel in zodanige mate dat zij van toepassing zijn op elk geval dat binnen de werkingssfeer ervan valt, ongeacht het recht dat voor het overige van toepassing is". Zoals Cervenka en Schwarz eerder hebben erkend, kunnen de meeste regels van de GDPR waarschijnlijk worden beschouwd als bepalingen van bijzonder dwingend recht in de zin van het EU-recht. Als zodanig kan de schending ervan worden beschouwd als een schending van de openbare orde.[lxxvii]

De mogelijkheid dat niet-naleving van de vereisten inzake de bescherming van persoonsgegevens kan leiden tot de nietigverklaring of de niet-erkenning en de niet-tenuitvoerlegging van een arbitraal vonnis, geeft aanleiding tot verschillende bezwaren. Ten eerste moet precies worden bepaald welke verplichtingen inzake de bescherming van persoonsgegevens dwingende bepalingen van bijzonder dwingend recht vormen, aangezien niet alle schendingen even zwaar wegen. Uiteindelijk zal het Hof van Justitie waarschijnlijk om nadere verduidelijking worden gevraagd. Ten tweede moet ook rekening worden gehouden met het mogelijke misbruik van de mogelijkheid om de tenuitvoerlegging van een gunning aan te vechten of te betwisten op grond van een schending van de GDPR, om te voorkomen dat partijen opzettelijk de regels inzake de bescherming van persoonsgegevens schenden om later de mogelijkheid te hebben om tegen de gunning in beroep te gaan. Tot slot moet worden bepaald of voorschriften inzake de bescherming van persoonsgegevens deel uitmaken van het procesrecht of van het materiële recht en op welke wijze.[lxxviii]

Hoewel er nog veel moet worden bepaald, moet aandacht worden besteed aan de gevolgen van niet-naleving van de voorschriften inzake de bescherming van persoonsgegevens voor de nietigverklaring en de erkenning en tenuitvoerlegging van arbitrale vonnissen. Het is zeer interessant dat hierover niets is terug te vinden in de routekaart.

Conclusie

De routekaart is bedoeld om arbitrageprofessionals te helpen bij het identificeren en begrijpen van de verplichtingen inzake de bescherming van persoonsgegevens en de persoonlijke levenssfeer waaraan zij in een internationale arbitragecontext kunnen worden onderworpen. Zoals eerder besproken, wordt in de routekaart echter nog niet ingegaan op een aantal specifieke kwesties die vandaag relevant en dringend zijn. De zes kwesties die in dit document worden genoemd en uitgewerkt, zijn

• de toepasselijkheid van de GDPR op arbitrages die buiten de EU worden gehouden;
• GDPR in de context van NAFTA-arbitrages;
• de kwestie van virtuele arbitragehoorzittingen;
• derde geldverschaffers en hun plaats in de routekaart;
• mogelijk misbruik van de GDPR; en
• mogelijke niet-naleving van de GDPR als weg naar nietigverklaring of weigering van erkenning en tenuitvoerlegging van het arbitraal vonnis.

Over elk van deze kwesties zal verder moeten worden nagedacht, aangezien zij naar verwachting de komende jaren alleen maar relevanter zullen worden. Hopelijk is aangetoond dat zij het waard zijn om in de routekaart te worden opgenomen.

De Bijlagen[lxxix] die aan het stappenplan zijn toegevoegd, zijn bedoeld om professionals te helpen praktisch met deze vereisten om te gaan. De toevoeging van de Checklist gegevensbescherming, de Checklist beoordeling legitiem belang, Voorbeeldprivacyverklaringen en de Standaardcontractbepalingen van de EU zijn stuk voor stuk uiterst waardevolle hulpmiddelen en moeten door professionals worden gebruikt om ervoor te zorgen dat zij GDPR-compliant zijn.

In een conflictsituatie tussen verschillende jurisdicties kunnen de verschillen tussen de diverse nationale wetgevingen inzake de bescherming van persoonsgegevens echter tot dubbelzinnigheid leiden. Hoewel de richtsnoeren in de routekaart veelomvattend zijn, zijn zij nog steeds niet bindend. In het verleden hebben de UNCITRAL en de IBA zich door middel van hun regels, richtsnoeren en dergelijke ingezet voor harmonisatie in internationale arbitrage; hoewel deze niet bindend zijn, zijn zij zeker overtuigend. Zoals de UNCITRAL en de IBA hebben getracht te doen met betrekking tot verschillende aspecten van internationale arbitrage, is er ook dringend behoefte aan harmonisatie van de vereisten inzake de bescherming van persoonsgegevens in het kader van arbitrage; derhalve moeten de nodige richtsnoeren worden vastgesteld met het oog op harmonisatie.

Hoewel harmonisatie, begrip en bewustzijn van de GDPR-nalevingseisen en de implicaties ervan in de context van internationale arbitrage nog steeds ontbreken, zullen wij als arbitrageprofessionals ons moeten blijven behelpen met het huidige juridische kader. Niettemin is de routekaart, ondanks de tekortkomingen ervan, een hoognodige en bemoedigende stap in de richting van een gemeenschappelijk begrip van de verplichtingen inzake de bescherming van persoonsgegevens voor arbitragedeelnemers.

[i] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming), PbEU 2016, L 119/1.

[ii] "Persoonsgegevens" worden in artikel 4 van de GDPR gedefinieerd als:

(1) "persoonsgegevens": iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificatiemiddel of van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

[iii] Het territoriale toepassingsgebied van de GDPR is in artikel 3 als volgt omschreven:

1. "Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking al dan niet in de Unie plaatsvindt.
2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden door een niet in de Unie gevestigde voor de verwerking verantwoordelijke of verwerker, wanneer de verwerkingsactiviteiten verband houden met:

(a) het aanbieden van goederen of diensten, ongeacht of daarvoor een betaling van de betrokkene is vereist, aan dergelijke betrokkenen in de Unie; of

(b) het toezicht op hun gedrag, voor zover hun gedrag binnen de Unie plaatsvindt.

3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het recht van een lidstaat van toepassing is".

[iv] Zie de definitie van "verwerker" in artikel 4 van de GDPR.

[v] Artikel 83, lid 4, GDPR.

[vi] 'Grootste boete onder GDPR opgelegd aan Google' (Simmons + Simmons, 22 januari 2019), zie www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, 'British Airways beboet met 20 miljoen pond over datalek' (BBC, 16 oktober 2020), zie www.bbc.com/news/technology-54568784.

[vii] "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), zie www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, geraadpleegd op 18 augustus 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, februari 2020), zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, geraadpleegd op 18 augustus 2021.

[ix] Ibid, 1.

[x] PCA zaak nr. 2018-54.

[xi] ICCA en New York City Bar en International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, geraadpleegd op 18 augustus 2021.

[xii] "Cybersecurityrichtsnoeren" (IBA, oktober 2018), zie www.ibanet.org/LPRU/Cybersecurity, geraadpleegd op 1 december 2020.

[xiii] ICC Guidance Note on Possible Measures Aim" (Internationale Kamer van Koophandel, 9 april 2020), geraadpleegd op 18 augustus 2021.

[xiv] Stappenplan, Sectie B.

[xv] Ibid.

[xvi] Art 4, GDPR.

[xvii] Ibid.

[xviii] Art 4, GDPR

[xix] Ibid, Art 3(1).

[xx] Wegwezen, 7.

[xxi] Art 4, GDPR.

[xxii] In de routekaart worden "arbitragedeelnemers" gedefinieerd als "met inbegrip van de partijen, hun raadslieden, de arbiters en (uitsluitend) de arbitrage-instanties". Zie Routekaart (n 3), 2.

[xxiii] Art 4, GDPR.

[xxiv] Zie arrest van 29 juli 2019, Fashion ID GmbH & Co KG tegen Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punten 74, 85. Zie ook arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; arrest van 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Wegwezen, 11

[xxvi] Ibid, 12.

[xxvii] Art. 5 en 12-22, GDPR; routekaart 14-15.

[xxviii] Zo is de verwerking van persoonsgegevens in het kader van internationale arbitrage op grond van de GDPR rechtmatig wanneer zij noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke - behoudens beperkingen op grond van de belangen en de grondrechten van de betrokkene - en kunnen gevoelige gegevens in het kader van arbitrage worden verwerkt op grond van de afwijking inzake juridische claims (artikel 9, lid 2, onder f)).

[xxix] Wegwezen, 19.

[xxx] Ibid, 20-21.

[xxxi] Ibid, 30-31.

[xxxii] Ibid, 32.

[xxxiii] Ibid, 33-36.

[xxxiv] Ibid, 37-39.

[xxxv] Ibid, 37.

[xxxvi] Ibid, 39.

[xxxvii] Ibid, 40-41.

[xxxviii] Ibid, 42.

[xxxix] Ibid, 43.

[xl] Artikel 5, lid 1, onder e), GDPR.

[xli] Wegwezen, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] De EU-Commissie heeft geoordeeld dat het land een adequate gegevensbescherming biedt.

[xliv] In het geval van internationale arbitrage zou dit waarschijnlijk een standaard contractuele clausule zijn.

[xlv] De uitzondering voor rechtsvorderingen, die doorgiften toestaat wanneer deze "noodzakelijk zijn voor de vaststelling, de uitoefening of de verdediging van een rechtsvordering", is het meest van toepassing in de arbitragecontext.

[xlvi] Vanwege de hoge drempel en de meldingsplicht heeft een beroep op dwingende legitieme belangen weinig praktische relevantie. Zie EDPB, "Richtsnoeren 2/2018 inzake afwijkingen van artikel 49 krachtens Verordening 2016/679", 6 februari 2018 (richtsnoeren gegevensoverdracht).

[xlvii] Routekaart, 8, 13.

[xlviii] Emily Hay, 'De onzichtbare arm van GDPR in internationale verdragsarbitrage: Can't We Make It Goway?' (Kluwer Arbitration Blog, 29 augustus 2019), zie http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [geraadpleegd 18 augustus 2021].

[xlix] PCA zaak nr. 2018-54.

[l] Ibid, Mededeling van het Tribunaal aan de partijen (Perm Ct Arb, 2019).

[li] Wegwezen, 37.

[lii] ICCA en New York City Bar en International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, geraadpleegd op 18 augustus 2021.

[liii] "Cybersecurityrichtsnoeren" (IBA, oktober 2018), zie www.ibanet.org/LPRU/Cybersecurity, geraadpleegd op 1 december 2020.

[liv] Andreas Respondek, Tasha Lim, 'Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?' (Kluwer Arbitration Blog, 18 juli 2020), zie http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, geraadpleegd 18 augustus 2021.

[lv] ICC-richtsnoer over mogelijke maatregelen ter verzachting van de gevolgen van de COVID-19-pandemie" (ICC, 9 april 2020), geraadpleegd op 18 augustus 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Wegwezen, 2.

[lviii] Ibid, 23-25.

[lix] Artikel 4, lid 2, GDPR, zie n 1 hierboven.

[lx] Artikel 6, lid 1, onder f), GDPR.

[lxi] Allan J Arffa e.a., "GDPR Issues in International Arbitration" (Lexology, 10 augustus 2020), zie www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, geraadpleegd op 18 augustus 2021.

[lxii] Routekaart, bijlage 5.

[lxiii] Allan J Arffa e.a., "GDPR Issues in International Arbitration" (Lexology, 10 augustus 2020), zie www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> geraadpleegd op 18 augustus 2021.

[lxiv] Wegenkaart 40-41.

[lxv] Zie bijvoorbeeld: David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 februari 2020), zie www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> geraadpleegd op 18 augustus 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.

[lxx] Ibid. Born haalt de volgende arresten aan om dit argument kracht bij te zetten: Arrest van 22 januari 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' tegen Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "the decision of the arbitral tribunal to order discovery is within its procedural discretion and cannot be reviewed by the Courts"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Disclosure requests are 'well within the reasonable exercise of the Tribunal's discretion'.

[lxxi] Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 december 2019), zie www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, geraadpleegd op 18 augustus 2021.

[lxxii] Verdrag van New York, art. V, lid 2: "Erkenning en tenuitvoerlegging van een scheidsrechterlijke uitspraak kan ook worden geweigerd indien de bevoegde autoriteit van het land waar de erkenning en tenuitvoerlegging wordt gevraagd, van oordeel is dat... (b) De erkenning of tenuitvoerlegging van de uitspraak in strijd zou zijn met de openbare orde van dat land.

[lxxiii] Secretaris-Generaal van de VN, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), Art 34, para 6.

[lxxiv] UNCITRAL Model Law on International Commercial Arbitration, art. 34(2): "Een arbitraal vonnis kan door de in artikel 6 genoemde rechter alleen worden vernietigd indien...(b) de rechter van oordeel is dat... (ii) het vonnis in strijd is met de openbare orde van deze staat".

[lxxv] Arrest van 1 juni 1999, Eco Swiss China Time Ltd tegen Benetton International NV C-126/97, Jurispr. 1999, blz. I-03055, r.o. 39 en 41. 39 en 41. Voor een gedetailleerde bespreking van het overheidsbeleid van de EU, zie: Sacha Prechal en Natalya Shelkoplyas, 'National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka en Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] Voor een meer gedetailleerde bespreking van deze en andere kwesties, zie: Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' in José R Mata Dona en Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021), paras 5.63 e.v.; Cervenka en Schwarz, zie n 76 hierboven, 84-85.

[lxxix] "De ICCA-IBA-routekaart naar gegevensbescherming in internationale arbitrage, bijlagen", (ICCA, februari 2020), zie https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, geraadpleegd op 18 augustus 2021.

Dit artikel werd voor het eerst gepubliceerd in Dispute Resolution International, Vol 15 No 2, October 2021, en is overgenomen met vriendelijke toestemming van de International Bar Association, Londen, UK. © Internationale Orde van Advocaten.