Starcie Tytanów: GDPR i arbitraż międzynarodowy - spojrzenie w przyszłość
Autor: Neva Cirkveni i Per Neuburger
Wprowadzenie
W ostatnich latach pojawiły się pytania o praktyczne implikacje prywatności danych osobowych i bezpieczeństwa cybernetycznego dla faktycznego przebiegu międzynarodowych postępowań arbitrażowych - zwłaszcza jeśli weźmie się pod uwagę stałe tempo zmian technologicznych.
Ogólne rozporządzenie o ochronie danych (GDPR)[i] w maju 2020 r. obchodziła swoje drugie urodziny. Ramy ochrony danych osobowych zawarte w GDPR mają na celu zapewnienie swobodnego przepływu danych osobowych "zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych".[ii] Ma ona zastosowanie w Unii Europejskiej i ma eksterytorialny zakres, który może wykraczać poza UE;[iii] GDPR może dotyczyć nie tylko wszystkich osób fizycznych i prawnych, ale również nakłada na władze publiczne, agencje i inne podmioty - w tym ewentualnie organizacje międzynarodowe - obowiązki w zakresie ochrony danych osobowych.[iv] Sankcje wynikające z GDPR mogą wynosić do 4 procent rocznego światowego obrotu podmiotu naruszającego w poprzednim roku finansowym lub 20 milionów euro, w zależności od tego, która z tych kwot jest wyższa.[v] Konieczność poważnego potraktowania jego stosowania została już potwierdzona wielomilionowymi karami pieniężnymi, które zostały nałożone w wielu jurysdykcjach.[vi]
Chociaż zastosowanie przepisów o ochronie danych osobowych do arbitrażu jest ustalone, sposób, w jaki przepisy te powinny być stosowane, nie jest. Z tego powodu Międzynarodowa Rada Arbitrażu Handlowego (ICCA) i Międzynarodowe Stowarzyszenie Prawników (IBA) powołały w lutym 2019 r. wspólną grupę zadaniową ds. ochrony danych w międzynarodowych postępowaniach arbitrażowych, której celem jest opracowanie przewodnika zawierającego praktyczne wskazówki dotyczące ochrony danych osobowych w arbitrażu międzynarodowym. Grupa zadaniowa opublikowała projekt konsultacyjny tego przewodnika w marcu 2020 roku.[vii] Niniejszy komentarz będzie oparty na projekcie planu działania ("plan działania"),[viii] a ostateczna, zmieniona wersja mapy drogowej ma zostać opublikowana we wrześniu 2021 r. Chociaż w chwili pisania tego tekstu termin zgłaszania uwag do projektu konsultacyjnego już minął, wstępna wersja mapy drogowej ilustruje jednak kwestie związane z GDPR w arbitrażu międzynarodowym. Dlatego też zostanie ona wykorzystana jako podstawa do dyskusji.
Większość przepisów o ochronie danych osobowych ma charakter bezwzględnie obowiązujący w postępowaniu arbitrażowym, co oznacza, że nakazują one:
- jakie dane osobowe mogą być przetwarzane;
- gdzie;
- za pomocą jakich środków;
- z jakimi środkami bezpieczeństwa informacji; oraz
- na jak długo.[ix]
Nie odnoszą się one jednak do tego, w jaki sposób należy przestrzegać tych wiążących obowiązków w postępowaniu arbitrażowym. Wobec braku konkretnych wytycznych ze strony organów regulacyjnych, Mapa drogowa ma pomóc osobom zawodowo zajmującym się arbitrażem w identyfikacji i zrozumieniu obowiązków w zakresie ochrony danych osobowych i prywatności, którym mogą podlegać w kontekście arbitrażu międzynarodowego. Ponadto zakres ochrony wynikającej z GDPR pozostaje istotny w międzynarodowych postępowaniach arbitrażowych, głównie ze względu na to, czy przepisy GDPR mają zastosowanie do arbitrażu z siedzibą poza UE. Jeżeli okaże się, że GDPR ma zastosowanie do arbitrażu, może to mieć różne dalsze konsekwencje: po pierwsze, czy przetwarzanie danych osobowych jest zabronione, a po drugie, czy istnieją ograniczenia w zakresie przekazywania danych osobowych poza UE. Wreszcie, ze względu na rosnącą częstotliwość ataków cybernetycznych, konsekwencje takiego ataku na arbitraż mogą wiązać się ze znacznymi szkodami.
Niniejszy artykuł ma na celu przedstawienie komentarza do Mapy drogowej oraz zbadanie praktycznych środków, które należy wziąć pod uwagę w odniesieniu do obowiązków w zakresie ochrony danych osobowych w międzynarodowych postępowaniach arbitrażowych. Określa on mapę drogową jako obiecujące, choć niekompletne, narzędzie uzupełniające różne dotychczasowe próby harmonizacji międzynarodowego arbitrażu podejmowane w ramach prawa miękkiego, w szczególności instrumenty IBA i Komisji Narodów Zjednoczonych do spraw Międzynarodowego Prawa Handlowego (UNCITRAL).
Po pierwsze, przedstawione zostanie krótkie podsumowanie mapy drogowej, zawierające odniesienie do zasad GDPR. Nie ma to być wyczerpujący przegląd, ale raczej wprowadzenie do głównych punktów mapy drogowej, aby dać czytelnikowi kontekst do dalszej dyskusji. Po drugie, przedstawiony zostanie komentarz, który dotyczyć będzie sześciu istotnych kwestii:
- możliwość zastosowania GDPR do arbitrażu odbywającego się poza UE;
- GDPR w kontekście arbitrażu w ramach Północnoamerykańskiego Układu Wolnego Handlu (NAFTA), jak pokazano w sprawie Tennant Energy, LLC przeciwko rządowi Kanady;[x]
- kwestia wideokonferencji, której znaczenie znacznie wzrosło w czasie pandemii wirusa Covid-19, w tym odniesienia do "Protokołu ICCA-NYC Bar-CPR w sprawie bezpieczeństwa cybernetycznego w międzynarodowym postępowaniu arbitrażowym" (Protokół w sprawie bezpieczeństwa cybernetycznego)[xi] wytyczne IBA dotyczące bezpieczeństwa cybernetycznego[xii] oraz wytyczne MTK w sprawie możliwych środków mających na celu złagodzenie skutków pandemii COVID-19;[xiii]
- osoby trzecie finansujące" i sposób ich uwzględnienia w planie działania;
- nadużywanie GDPR, zwłaszcza jako osłony dla nieujawniania informacji; oraz
- możliwość wykorzystania nieprzestrzegania wymogów ochrony danych osobowych jako drogi do uchylenia lub odmowy uznania i wykonania orzeczenia arbitrażowego.
Końcowe refleksje zostaną przedstawione w podsumowaniu.
Mapa drogowa
Osoby fizyczne i prawne podlegają obowiązkom ochrony danych osobowych osób, których dane dotyczą. Arbitraż sam w sobie nie podlega obowiązkom ochrony danych osobowych. Jeżeli jednak tylko jeden z uczestników arbitrażu podlega obowiązkom ochrony danych osobowych, może to mieć wpływ na cały arbitraż. O tym, czy przetwarzanie danych osobowych podlega odpowiednim przepisom, zakresowi przedmiotowemu i jurysdykcyjnemu, decyduje zastosowanie przepisów o ochronie danych osobowych.[xiv]
Nowoczesne przepisy o ochronie danych osobowych mają zastosowanie zawsze wtedy, gdy dane osobowe dotyczące osoby, której dane dotyczą, są przetwarzane podczas działań objętych zakresem jurysdykcji odpowiednich przepisów o ochronie danych osobowych.[xv] Dane osobowe obejmują "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej".[xvi] Podczas typowego postępowania arbitrażowego wymieniane są znaczne ilości informacji dotyczących między innymi stron, ich doradców, trybunału i osób trzecich. Jako takie mogą być one postrzegane jako podlegające definicji "danych osobowych". Podmiot danych" odnosi się do wyżej wymienionych osób, które są zidentyfikowane lub możliwe do zidentyfikowania.[xvii] Przetwarzanie obejmuje aktywne i pasywne operacje, a zatem obejmuje wykorzystywanie, rozpowszechnianie i usuwanie danych osobowych, jak również otrzymywanie, organizowanie i przechowywanie danych osobowych.[xviii] Zakres stosowania obejmuje działania w każdym przypadku, gdy dane osobowe są przetwarzane w kontekście działalności zakładu administratora lub podmiotu przetwarzającego w UE.[xix] oraz eksterytorialnie, np. gdy dane osobowe są przekazywane poza UE podmiotom lub osobom, które z innych powodów nie podlegają już GDPR.[xx]
Arbitrzy zostaną zakwalifikowani jako administratorzy danych, co oznacza, że będą odpowiedzialni za przestrzeganie przepisów o ochronie danych osobowych. Jednakże, w oparciu o definicję "administratora danych";[xxi] większość uczestników postępowania arbitrażowego[xxii] mogą być za takich uważani, w tym adwokaci, strony i instytucja. Administratorzy danych mogą powierzać przetwarzanie danych podmiotom przetwarzającym dane,[xxiii] którzy będą pod ich kontrolą i będą wymagać umów o przetwarzaniu danych na warunkach określonych przez prawo właściwe. Tak więc sekretarki, transkrybenci, tłumacze i inni mogą być uważani za przetwarzających dane. Istnieje również kwestia współadministratorów, którzy wspólnie określają cele i sposoby przetwarzania danych. Współkontrola jest interpretowana szeroko, ale odpowiedzialność współkontrolera jest ograniczona tylko do przetwarzania, które określił, jego celu i środków, a nie do całości przetwarzania.[xxiv]
W arbitrażach międzynarodowych ograniczenia w przekazywaniu danych osobowych między jurysdykcjami są oczywistym sposobem stosowania przepisów o ochronie danych osobowych. Pochodzenie różnych uczestników postępowania arbitrażowego będzie determinowało stosowanie różnych systemów ochrony danych osobowych. Nowoczesne przepisy o ochronie danych osobowych ograniczają przekazywanie danych osobowych do państw trzecich w celu zapewnienia, że zobowiązania prawne nie są obchodzone poprzez przekazywanie danych osobowych do jurysdykcji o niższych standardach ochrony danych osobowych.[xxv] GDPR zezwala na przekazywanie danych osobowych z państw trzecich, jeśli wystąpi jedna z poniższych sytuacji:
- kraj ten został uznany przez Komisję UE za zapewniający odpowiednią ochronę danych osobowych;
- wprowadzono jedno z wyraźnie wymienionych zabezpieczeń;
- odstępstwo umożliwiające przekazywanie danych, jeżeli jest to konieczne do ustanowienia, wykonania lub obrony roszczeń prawnych; lub
- istotny uzasadniony interes strony.[xxvi]
Przepisy te mają zastosowanie do uczestników arbitrażu, a nie do arbitrażu jako całości, co oznacza, że każdy uczestnik arbitrażu musi rozważyć, jakie ograniczenia w zakresie przekazywania danych osobowych mają do niego zastosowanie.
Zasady ochrony danych osobowych mające zastosowanie w arbitrażu obejmują rzetelne i zgodne z prawem przetwarzanie, proporcjonalność, minimalizację danych, ograniczenie celu, prawa osób, których dane dotyczą, dokładność, bezpieczeństwo danych, przejrzystość i rozliczalność.[xxvii]
Kilka z tych zasad wymaga dalszego komentarza. Uczciwe i zgodne z prawem przetwarzanie oznacza, że dane osobowe powinny być przetwarzane wyłącznie w sposób, którego osoby, których dane dotyczą, mogłyby racjonalnie oczekiwać oraz że musi istnieć podstawa prawna do przetwarzania. Stosując zasadę rzetelności, strona i jej doradca powinni zadać sobie pytanie, czy w kontekście wszystkich faktów osoby fizyczne spodziewałyby się, że ich dane osobowe będą przetwarzane w taki sposób, czy będzie to miało dla nich niekorzystne konsekwencje i czy te konsekwencje są uzasadnione. Zasada ta nie uniemożliwi dopuszczenia jako dowodu danych osobowych znalezionych w służbowej poczcie elektronicznej.
Pojęcie zgodnego z prawem przetwarzania pociąga za sobą podstawę prawną, która jest uzależniona od faktów i specyficzna dla danego przypadku. Zamiast polegać na zgodzie, należy powoływać się na konkretne podstawy prawne w GDPR.[xxviii]
Proporcjonalność wymaga rozważenia charakteru, zakresu, kontekstu i celów przetwarzania w odniesieniu do ryzyka stwarzanego dla osoby, której dane dotyczą.[xxix] Minimalizacja danych wymaga od uczestników postępowania arbitrażowego ograniczenia przetwarzania do danych osobowych, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne.[xxx] Przejrzystość wymaga, by osoby, których dane dotyczą, były powiadamiane o przetwarzaniu i celu przetwarzania danych osobowych za pomocą ogólnych zawiadomień, szczegółowych zawiadomień lub obu tych form.[xxxi] Rozliczalność odnosi się do osobistej odpowiedzialności za przestrzeganie zasad ochrony danych, co oznacza, że uczestnicy postępowania arbitrażowego powinni dokumentować wszystkie środki i decyzje dotyczące ochrony danych osobowych podjęte w celu wykazania zgodności.[xxxii]
Przestrzeganie przepisów o ochronie danych osobowych wpływa na poszczególne etapy międzynarodowego postępowania arbitrażowego, nie tylko w trakcie samego arbitrażu, ale także w trakcie przygotowań. Uczestnicy postępowania arbitrażowego powinni od początku rozważyć, jakie przepisy o ochronie danych osobowych obowiązują ich samych oraz innych uczestników postępowania arbitrażowego, a także którzy uczestnicy postępowania arbitrażowego będą przetwarzać dane osobowe jako administratorzy, podmioty przetwarzające lub współadministratorzy. Należy również wziąć pod uwagę zasady przekazywania danych osobowych z państw trzecich oraz umowy o przetwarzaniu danych osobowych dotyczące usługodawców zewnętrznych. Podczas procesu zbierania i przeglądania dokumentów, strony i ich doradcy prawni potrzebują podstawy prawnej dla czynności przetwarzania i przekazywania danych osobowych do państw trzecich.[xxxiii]
Wniosek o arbitraż, jak również późniejsze oświadczenia, będą zawierać dane osobowe, które w pełni podlegają przetwarzaniu. Jeśli instytucja arbitrażowa jest związana obowiązującymi przepisami o ochronie danych osobowych, musi rozważyć potencjalne obowiązki w zakresie ochrony danych osobowych, które mają zastosowanie na każdym etapie postępowania. Jeśli instytucja arbitrażowa podlega GDPR, zazwyczaj staje się ona administratorem danych osobowych. Aby zachować zgodność z art. 13 i 14 GDPR, taka instytucja powinna zawrzeć w swojej informacji o ochronie prywatności informacje dotyczące środków bezpieczeństwa, wykonywania praw osób, których dane dotyczą, prowadzenia dokumentacji oraz polityki naruszania i przechowywania danych.[xxxiv] Organizacje międzynarodowe zarządzające arbitrażami inwestor-państwo mogą być jednak wyłączone z zakresu przepisów o ochronie danych osobowych ze względu na przywileje i immunitety w państwie założycielskim lub w umowie z państwem przyjmującym. W tym przypadku należy zatem poczynić odrębne rozważania, w tym między innymi, czy organizacja jest związana przepisami o ochronie danych osobowych oraz czy - i w jakim zakresie - uczestnicy arbitrażu byliby objęci przywilejami i immunitetami.[xxxv]
Podczas powoływania arbitrów do trybunału arbitrażowego dochodzi zazwyczaj do wymiany znacznej ilości danych osobowych potencjalnych arbitrów. Uczestnicy postępowania arbitrażowego powinni podawać podstawę prawną przetwarzania tych danych osobowych w swoich informacjach prawnych oraz wyraźnie informować arbitrów, których powołanie jest rozważane, o przetwarzaniu ich danych osobowych, zwłaszcza w przypadku przekazywania danych osobowych z państw trzecich.[xxxvi]
Po rozpoczęciu postępowania arbitrażowego, w celu zminimalizowania ryzyka, należy wcześnie przydzielić obowiązki związane z przestrzeganiem przepisów o ochronie danych osobowych. Ochrona danych osobowych powinna zostać włączona do porządku obrad pierwszej konferencji proceduralnej, a uczestnicy postępowania arbitrażowego powinni starać się jak najwcześniej uzgodnić sposób podejścia do kwestii zgodności z przepisami o ochronie danych osobowych. Strony, ich doradcy i arbitrzy powinni rozważyć zawarcie protokołu ochrony danych osobowych w celu skutecznego zarządzania kwestiami zgodności. Jeżeli nie jest to możliwe, alternatywnym rozwiązaniem jest włączenie tych kwestii przez Sąd do Zarządzenia proceduralnego numer jeden.[xxxvii]
W procesie tworzenia i ujawniania dokumentów szczególnie istotna jest zasada minimalizacji danych osobowych. Zgodnie z GDPR będzie to prawdopodobnie wymagało:
- ograniczenie ujawnianych danych osobowych do tych, które są istotne i nie powielają się;
- identyfikację danych osobowych zawartych w materiale responsywnym; oraz
- redagowanie lub pseudonimizowanie niepotrzebnych danych osobowych.
Kwestie te należy również rozważyć na wczesnym etapie postępowania, najlepiej na pierwszej konferencji proceduralnej lub przed nią.[xxxviii]
Jeśli chodzi o wydawanie orzeczeń, arbitrzy i instytucje powinny rozważyć podstawę i konieczność umieszczania danych osobowych w orzeczeniach. Jeśli arbitraż jest poufny, istnieje jednak ryzyko, że orzeczenie stanie się publiczne w momencie jego wykonania. Nawet jeśli dane osobowe zostaną zredagowane, zazwyczaj pozostają one danymi osobowymi, ponieważ osobę, której dane dotyczą, można zidentyfikować na podstawie pozostałej części orzeczenia lub powiązanych materiałów.[xxxix]
Zatrzymywanie i usuwanie danych uznaje się za przetwarzanie na mocy GDPR, który stanowi, że dane osobowe "przechowuje się w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy niż jest to konieczne do celów, w których dane osobowe są przetwarzane".[xl] Administratorzy danych muszą rozważyć, udokumentować i być w stanie uzasadnić okres przechowywania danych. Uczestnicy postępowania arbitrażowego muszą rozważyć, jaki okres zatrzymywania danych jest rozsądny i powinni przyjąć proporcjonalne podejście, aby zrównoważyć swoje potrzeby z wpływem zatrzymywania danych na podmiot.[xli]
Możliwość zastosowania GDPR do arbitrażu prowadzonego poza UE
Zakres terytorialny ogólnego rozporządzenia o ochronie danych jest stosunkowo szeroki. Praktycy powinni być świadomi jego zastosowania bez względu na to, czy ich siedziba lub miejsce arbitrażu znajduje się w UE, czy też nie. GDPR ma zastosowanie do przetwarzania danych osobowych przez administratorów lub podmioty przetwarzające dane mające siedzibę w UE, niezależnie od tego, czy samo przetwarzanie odbywa się w UE (art. 3 ust. 1). Ponadto, jeśli chodzi o oferowanie towarów lub usług obywatelom UE lub monitorowanie zachowań, które mają miejsce w UE, GDPR ma zastosowanie do przetwarzania danych osobowych przez administratora lub podmiot przetwarzający niemający siedziby w UE (art. 3 ust. 2).
Zastosowane w kontekście arbitrażu GDPR nakłada obowiązki na administratorów danych i podmioty przetwarzające dane - arbitrów, doradców, strony i instytucje - które są objęte jego zakresem przedmiotowym i terytorialnym, a nie bezpośrednio na postępowanie arbitrażowe. Nawet jeśli tylko jeden z uczestników postępowania arbitrażowego ma związek z UE, będzie on zobowiązany do przetwarzania danych osobowych zgodnie z GDPR. Mogą pojawić się implikacje dla postępowania jako całości.[xlii]
Być może najbardziej znaczące w kontekście międzynarodowego arbitrażu, gdzie przekazywanie materiałów arbitrażowych zawierających dane osobowe jest powszechne, są ograniczenia nałożone na przekazywanie danych osobowych do "państw trzecich" poza Europejski Obszar Gospodarczy (EOG). W takim przypadku, aby zezwolić na przekazanie danych osobowych, wymagana jest jedna z czterech podstaw prawnych. Po pierwsze, przekazanie danych do państwa trzeciego jest dozwolone, jeżeli państwo trzecie jest objęte decyzją stwierdzającą odpowiedni stopień ochrony (art. 45 ust. 1).[xliii] Jeżeli tak nie jest, należy w miarę możliwości wprowadzić jedno z odpowiednich zabezpieczeń (art. 46 ust. 1).[xliv] Jeżeli nie ma decyzji stwierdzającej odpowiedni poziom ochrony, a odpowiednie zabezpieczenie nie jest wykonalne, można powołać się na szczególne odstępstwo (art. 49 ust. 1).[xlv] Wreszcie, w przypadku braku powyższego, strona może powołać się na ważny interes prawny (art. 49 ust. 1)[xlvi] jako podstawa prawna do przekazania danych osobowych przez stronę trzecią.
W harmonogramie dość wyczerpująco określono niezbędne względy, które muszą zostać uwzględnione przez uczestników postępowania arbitrażowego. Wielokrotnie podkreśla się w niej, że to do uczestników arbitrażu, a nie do arbitrażu jako takiego, mają zastosowanie zasady ochrony danych osobowych i reguły przekazywania danych.[xlvii] W związku z tym przypuszczalny wniosek jest taki, że arbiter z siedzibą w UE w postępowaniu arbitrażowym poza UE, które w innym przypadku nie podlega GDPR, musiałby jednak spełnić wymogi GDPR dotyczące przetwarzania i przekazywania danych osobowych. Jest to rzeczywiście ogólnie przyjęte w komercyjnych postępowaniach arbitrażowych,[xlviii] ale sytuacja nie jest tak jasna, jeśli chodzi o arbitraż między inwestorem a państwem.
Sprawa Tennant Energy, LLC przeciwko rządowi Kanady
W 2019 r. w ramach arbitrażu NAFTA na podstawie rozdziału 11 Tennant Energy, LLC przeciwko rządowi Kanady (Tennant),[xlix] Tennant, powód, podniósł kwestię zastosowania GDPR do postępowania w świetle brytyjskiego obywatelstwa i miejsca zamieszkania jednego z członków trybunału. Trybunał wydał jednak wskazówki dla stron, stwierdzając, że "arbitraż na podstawie rozdziału 11 NAFTA, traktatu, którego stroną nie jest ani Unia Europejska, ani jej państwa członkowskie, nie wchodzi z założenia w zakres przedmiotowy GDPR".[l]
Ważne jest rozróżnienie między arbitrażem opartym na traktatach a arbitrażem handlowym, przy czym Tennant należy do tej pierwszej kategorii. W planie działania uwzględniono to rozróżnienie, zauważając, że organizacje międzynarodowe mogą być wyłączone z zakresu przepisów o ochronie danych osobowych.[li] Członkowie trybunału w arbitrażu Tennant mogą podlegać pewnym immunitetom wynikającym z umowy w sprawie siedziby Stałego Trybunału Arbitrażowego (PCA) z Holandią. Trybunał NAFTA nie rozważył jednak, czy PCA jako organizacja międzynarodowa podlegałby zasadom przekazywania danych GDPR lub czy członkowie trybunału korzystaliby z pewnych immunitetów wynikających z tej umowy.
Strona Tennant W odniesieniu do możliwości zastosowania GDPR do postępowań NAFTA i ogólnie do arbitrażu opartego na traktatach, kierunek ten rodzi więcej pytań niż daje odpowiedzi, a szczegółowa dyskusja na ten temat wykracza poza obecny zakres. Niemniej jednak kierunek Tennant, postrzegany w świetle mapy drogowej, pokazuje, że kwestia ta pozostaje wysoce niepewna. Wątpliwe jest w najlepszym razie, czy Mapa Drogowa wnosi jakąkolwiek jasność dla uczestników arbitrażu stojących w obliczu takiej kwestii, zwłaszcza biorąc pod uwagę, że Mapa Drogowa została wydana po Tennant wydany został wyrok nakazowy, który jednak nie uwzględnił tego ostatniego.
Kwestia wideokonferencji
W planie uznaje się znaczenie bezpieczeństwa danych osobowych. Jednakże w związku z niedawnym wykorzystaniem dodatkowych technologii w celu ułatwienia wirtualnych przesłuchań, jak również pracy w domu - głównie podsycanej obecnymi okolicznościami narzuconymi nam przez pandemię Covid-19 - kwestia ta nabiera dodatkowego znaczenia. Protokół w sprawie bezpieczeństwa cybernetycznego[lii] oraz wytyczne IBA dotyczące bezpieczeństwa cybernetycznego[liii] rzuciły nieco światła na tę kwestię.
Podobnie jak mapa drogowa, protokół w sprawie bezpieczeństwa cybernetycznego ustanawia kilka podstawowych zasad. Obowiązuje zasada proporcjonalności, Trybunał ma prawo i swobodę decydowania o stosowanych środkach bezpieczeństwa, a bezpieczeństwo informacji jest kwestią, która powinna zostać omówiona na pierwszej konferencji dotyczącej zarządzania sprawą. Załącznik A do protokołu w sprawie bezpieczeństwa cybernetycznego zawiera listę kontrolną, którą strony postępowania arbitrażowego mogą wykorzystać w celu zabezpieczenia postępowania.
W związku z niedawną zmianą wzorców i środowisk pracy spowodowaną pandemią Covid-19, kwestiom tym należy nadać większą wagę. W świecie, który zmuszony jest znaleźć nowe sposoby prowadzenia działalności i dostosować się do czasów niepewności, jednym z problemów, z jakimi boryka się sektor prawny, jest kwestia przesłuchań połączonych z ograniczeniami i koniecznością zachowania dystansu społecznego. W związku z tym popularność wideokonferencji i ich wykorzystania w międzynarodowych postępowaniach arbitrażowych jest czymś, co powinno zostać uwzględnione w mapie drogowej, ale tak się nie stało - a przynajmniej jeszcze nie teraz.
Chociaż wielu dyskutowało i wskazywało na problemy związane z przesłuchaniami wideo, większość z nich nie zajęła się tym, w jaki sposób należy stosować do nich przepisy dotyczące ochrony danych osobowych, nie tylko w odniesieniu do ochrony danych osobowych, ale także bezpieczeństwa, ponieważ niektóre platformy były przedmiotem ataków bezpieczeństwa.[liv]
Jak wspomniano powyżej, istotne jest, aby zrozumieć różne role stron zaangażowanych w arbitraż dotyczący GDPR, a mianowicie kto jest "administratorem danych", a kto "przetwarzającym dane". Jeśli oprogramowanie do wideokonferencji przetwarza jakiekolwiek dane osobowe, takie jak nazwa użytkownika i adres e-mail strony korzystającej z usługi, będzie ono uważane za "przetwarzającego dane". Oznacza to, że musi ono przestrzegać zasad GDPR, jeśli którykolwiek z uczestników ma miejsce zamieszkania w UE. Ponieważ Trybunał jest "administratorem danych", to na nim będzie spoczywał obowiązek zapewnienia takiej zgodności.
Międzynarodowa Izba Handlowa (ICC) wydała wytyczne[lv] w którym strony otrzymują sugerowane klauzule dotyczące protokołów bezpieczeństwa cybernetycznego i wirtualnych przesłuchań. Ma on na celu uwzględnienie aspektu bezpieczeństwa, ale nie porusza aspektu ochrony danych osobowych. W planie działania należy omówić możliwości zastosowania ochrony danych osobowych do przesłuchań prowadzonych wirtualnie oraz sposoby przestrzegania tej ochrony. GDPR określa wprawdzie wymogi, które należy spełnić w odniesieniu do wideokonferencji, nie daje jednak wskazówek co do sposobu bezpośredniego stosowania tych wymogów.
Chociaż mapa drogowa nie zawiera zaleceń dotyczących konkretnych dostawców oprogramowania, można by w niej zebrać i udostępnić praktykom listę niezbędnych specyfikacji idealnego oprogramowania do wideosłuchań, podobnie jak w załącznikach znajdują się listy kontrolne dotyczące różnych innych kwestii.
Gdzie w tym wszystkim mieszczą się fundusze zewnętrzne?
Przez osobę trzecią finansującą rozumie się każdą osobę niebędącą stroną postępowania arbitrażowego, która zawiera porozumienie w celu sfinansowania całości lub części kosztów postępowania w zamian za kwotę, która w całości lub częściowo zależy od wyniku sprawy.[lvi] Finansujący będący osobami trzecimi mają dostęp do różnych danych osobowych w postępowaniach arbitrażowych, które finansują lub rozważają finansowanie. Chociaż mapa drogowa jest wyraźnie skierowana wyłącznie do uczestników postępowania arbitrażowego, stwierdza się w niej, że wytyczne są istotne dla usługodawców, których również dotyczą wymogi ochrony danych osobowych.[lvii]
W planie działania dostawcy usług obejmują "ekspertów ds. e-discovery, specjalistów ds. technologii informacyjnych, reporterów sądowych, usługi tłumaczeniowe itp.[lviii] ale fundatorzy będący osobami trzecimi nie są wyraźnie wymienieni. Zgodnie z GDPR gromadzenie i przechowywanie danych osobowych jest zaliczane do przetwarzania. Jeśli zatem osoby trzecie zbierają dane osobowe od innych, przepisy dotyczące danych osobowych miałyby zastosowanie również do nich.[lix]
GDPR zezwala stronie na przetwarzanie danych osobowych, jeśli "przetwarzanie jest konieczne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub osobę trzecią,[lx] które mogą być potencjalnie przywoływane przez uczestników postępowania arbitrażowego jako właściwa podstawa prawna do przetwarzania odpowiednich danych osobowych. Wytyczne na ten temat są ograniczone.[lxi] W mapie drogowej stwierdza się:
Pierwszym krokiem w ocenie uzasadnionego interesu jest określenie uzasadnionego interesu - jaki jest cel przetwarzania danych osobowych i dlaczego jest on ważny dla Państwa jako administratora? W kontekście arbitrażu prawnie uzasadniony interes może obejmować wymiar sprawiedliwości, zapewnienie poszanowania praw stron oraz sprawne i sprawiedliwe rozstrzygnięcie roszczeń zgodnie z obowiązującym regulaminem arbitrażu, a także wiele innych interesów".[lxii]
Włączenie "wielu innych interesów" mogłoby ewentualnie obejmować uzasadniony interes pieniężny osób trzecich będących fundatorami. Jeśli tak, byliby oni wówczas wyraźnie zobowiązani do zawierania umów o przetwarzaniu danych ze stronami postępowania arbitrażowego i byliby objęci zakresem przepisów i wymogów dotyczących ochrony danych osobowych. Co ciekawe, w planie działania nie określono wyraźnie, w jaki sposób osoby trzecie finansujące wpisują się w ten obraz, w szczególności biorąc pod uwagę wzrost ich udziału w postępowaniach arbitrażowych.
Osłona przed nieujawnianiem informacji
Obowiązki w zakresie ochrony danych osobowych stwarzają możliwość nadużyć. Strony postępowania arbitrażowego mogą w złej wierze wykorzystywać GDPR jako tarczę ochronną, aby zapobiec ujawnieniu informacji istotnych dla postępowania lub żądanych przez kontrahenta. Na przykład strona może sprzeciwić się wnioskowi o ujawnienie informacji, twierdząc, że dokumenty zawierają dane osobowe niezwiązane ze sporem lub że redakcja danych osobowych byłaby nadmiernie uciążliwa.[lxiii]
W planie działania poruszono kwestię możliwości nadużyć. Sugeruje się w niej jak najwcześniejsze podnoszenie i wyjaśnianie obowiązków w zakresie ochrony danych osobowych, aby zmniejszyć ryzyko, że będą one miały wpływ na postępowanie. Uczestnicy powinni rozważyć zawarcie "protokołu ochrony danych" - porozumienia o tym, jak ochrona danych osobowych będzie stosowana w danym kontekście. Ewentualnie, jeśli nie jest możliwe podpisanie protokołu o ochronie danych, kwestie te powinny zostać poruszone w zarządzeniu proceduralnym numer jeden.[lxiv]
Dla porównania można przyjrzeć się zgodności z GDPR podczas ujawniania informacji w amerykańskich postępowaniach sądowych. Amerykańskie sądy federalne stosują testy bilansujące, aby zdecydować, czy nakazać ujawnienie lub zastosowanie się do wezwań lub nakazów ujawnienia, które potencjalnie naruszają zagraniczne ustawy, w tym przepisy o ochronie danych osobowych.[lxv] Niewyczerpująca lista czynników branych pod uwagę przez amerykańskie sądy federalne jest następująca:
- znaczenie żądanych dokumentów lub innych informacji dla postępowania sądowego;
- stopień szczegółowości wniosku;
- czy informacje pochodzą z USA;
- dostępność alternatywnych sposobów zabezpieczenia informacji; oraz
- zakres, w jakim nieprzestrzeganie przepisów zagrażałoby ważnym interesom USA.[lxvi]
Najczęściej sądy federalne wymagają ujawnienia danych mimo potencjalnego naruszenia zagranicznych przepisów o ochronie danych osobowych.[lxvii]
Arbitrzy, podejmując decyzję o nakazaniu ujawnienia informacji przez stronę, kierują się innymi względami niż sądy. Jest to słuszne, co podnosi się w literaturze,[lxviii] że trybunały muszą być świadome konkurujących ze sobą praw i obowiązków w świetle groźby unieważnienia lub odmowy wykonania na podstawie Konwencji o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych z 1958 r. (Konwencja Nowojorska). Jednakże pogląd ten nie uwzględnia faktu, że nakazy ujawnienia podlegają minimalnej kontroli sądów państwowych, zważywszy na zasadę nieingerencji sądów.[lxix] Przykłady sądów stanowych powstrzymujących się od angażowania się w przegląd nakazów ujawnienia informacji są liczne.[lxx]
W świetle swobody, jaką dysponują trybunały w kwestiach proceduralnych, zagrożenie unieważnieniem lub odmową wykonania prawdopodobnie nie będzie stanowić głównego czynnika. Nieuchronność prób nadużywania przez strony obowiązków wynikających z GDPR w celu uzyskania potencjalnej przewagi proceduralnej postawi trybunały w trudnej sytuacji równoważenia z jednej strony interesów osoby, której dane dotyczą, a z drugiej - utrzymania solidnego procesu dowodowego.[lxxi] Wyjaśnienie obowiązków związanych z przestrzeganiem ochrony danych osobowych na początku postępowania - najlepiej w formie podpisanego protokołu ochrony danych - zgodnie z zaleceniami zawartymi w harmonogramie wydaje się być niezbędnym krokiem do sprawdzenia tego zachowania.
Niezgodność z wymogami ochrony danych osobowych jako droga do stwierdzenia nieważności i odmowy uznania i wykonania
W planie działania nie poruszono kwestii, czy nieprzestrzeganie wymogów ochrony danych osobowych może być wykorzystane do uchylenia orzeczenia arbitrażowego lub odmowy jego uznania i wykonania. Strony mają bardzo ograniczone środki odwoławcze od orzeczeń. Niemniej jednak strona przegrywająca może chcieć zakwestionować jego wynik i wykorzystać jedną z głównych wspólnych podstaw do zakwestionowania orzeczenia lub uniemożliwienia jego uznania lub wykonania.
Konwencja Nowojorska liczy obecnie 168 umawiających się państw, co czyni ją podstawową podstawą prawną dla uznawania i wykonywania zagranicznych orzeczeń w międzynarodowym arbitrażu handlowym. Konwencja przewiduje w art. V ograniczone podstawy, na podstawie których można odmówić uznania i wykonania orzeczenia arbitrażowego. Przede wszystkim dla obecnych celów art. V ust. 2 lit. b) uznaje możliwość odmowy przez właściwy organ państwa-sygnatariusza uznania lub wykonania orzeczenia naruszającego porządek publiczny.[lxxii]
Podstawy uchylenia orzeczenia arbitrażowego różnią się w zależności od jurysdykcji. Ustawa modelowa UNCITRAL o międzynarodowym arbitrażu handlowym, która została powszechnie przyjęta, zawiera wykaz podstaw uchylenia w art. 34 ust. 2. Wykaz ten był ściśle wzorowany na art. V konwencji nowojorskiej.[lxxiii] Artykuł 34 ust. 2 lit. b) ppkt (ii) stanowi, że orzeczenie arbitrażowe może zostać uchylone przez sąd, jeżeli jest ono sprzeczne z porządkiem publicznym państwa.[lxxiv]
Europejski Trybunał Sprawiedliwości (ETS) orzekł w sprawie Eco Swiss przeciwko Benetton, że nadrzędne bezwzględnie obowiązujące przepisy prawa UE mogą stanowić podstawowe zasady porządku publicznego, których naruszenie może stanowić podstawę do uchylenia orzeczenia arbitrażowego opartego na takiej podstawie w prawie krajowym.[lxxv] Możliwość uchylenia orzeczenia lub odmowy jego uznania lub wykonania z powodu niezgodności z wymogami ochrony danych osobowych będzie zatem zależeć od tego, czy przepisy GDPR należy uznać za nadrzędne przepisy bezwzględnie obowiązujące, których naruszenie jest sprzeczne z krajowym porządkiem publicznym.[lxxvi]
Artykuł 9 ust. 1 rozporządzenia Rzym I definiuje nadrzędne przepisy bezwzględnie obowiązujące jako przepisy, "których przestrzeganie jest uznawane przez państwo za kluczowe dla ochrony jego interesów publicznych [...] w takim zakresie, że mają one zastosowanie do każdej sytuacji objętej ich zakresem, bez względu na prawo mające zastosowanie w innych okolicznościach". Jak już wcześniej stwierdzili Cervenka i Schwarz, większość przepisów GDPR można prawdopodobnie uznać za nadrzędne przepisy bezwzględnie obowiązujące zgodnie z prawem UE. Jako takie, ich naruszenie może być uznane za naruszenie porządku publicznego.[lxxvii]
Możliwość, że nieprzestrzeganie wymogów ochrony danych osobowych może prowadzić do uchylenia lub nieuznania i niewykonania orzeczenia arbitrażowego, budzi różne obawy. Po pierwsze, należy dokładnie określić, które obowiązki w zakresie ochrony danych osobowych stanowiłyby nadrzędne przepisy bezwzględnie obowiązujące, ponieważ nie wszystkie naruszenia mają taką samą wagę. W ostateczności ETS zostanie prawdopodobnie wezwany do przedstawienia dalszych wyjaśnień. Po drugie, należy również wziąć pod uwagę potencjalne nadużycie możliwości zakwestionowania lub podważenia wykonania orzeczenia na podstawie naruszenia GDPR, aby zapobiec celowemu naruszaniu przez strony zasad ochrony danych osobowych w celu uzyskania możliwości odwołania się od orzeczenia w późniejszym czasie. Wreszcie, należy określić, czy przepisy o ochronie danych osobowych stanowiłyby część prawa procesowego czy materialnego i w jaki sposób.[lxxviii]
Choć wiele pozostaje jeszcze do określenia, należy zająć się konsekwencjami nieprzestrzegania wymogów ochrony danych osobowych w odniesieniu do unieważniania, jak również uznawania i wykonywania orzeczeń arbitrażowych. Najbardziej interesujące jest to, że w mapie drogowej nie ma żadnej wzmianki na ten temat.
Wniosek
Mapa drogowa ma pomóc osobom zawodowo zajmującym się arbitrażem w określeniu i zrozumieniu obowiązków w zakresie ochrony danych osobowych i prywatności, którym mogą podlegać w kontekście arbitrażu międzynarodowego. Jednakże, jak wspomniano wcześniej, nadal nie poruszono w niej pewnych konkretnych kwestii, które są obecnie istotne i naglące. Sześć kwestii zidentyfikowanych i omówionych w niniejszym dokumencie to:
- możliwość zastosowania GDPR do arbitrażu odbywającego się poza UE;
- GDPR w kontekście arbitrażu NAFTA;
- kwestia wirtualnych przesłuchań arbitrażowych;
- fundatorzy zewnętrzni i ich miejsce w mapie drogowej;
- potencjalne nadużycie GDPR; oraz
- potencjalna niezgodność z GDPR jako droga do uchylenia lub odmowy uznania i wykonania orzeczenia arbitrażowego.
Każda z tych kwestii będzie wymagała dalszej refleksji, ponieważ przewiduje się, że w nadchodzących latach staną się one jeszcze bardziej istotne. Mamy nadzieję, że wykazano, iż są one warte włączenia do mapy drogowej.
Załączniki[lxxix] dodane do mapy drogowej mają na celu pomóc specjalistom w praktycznym radzeniu sobie z tymi wymogami. Dodanie listy kontrolnej ochrony danych, listy kontrolnej oceny uzasadnionego interesu, przykładowych powiadomień o ochronie prywatności oraz standardowych klauzul umownych UE to niezwykle cenne zasoby, które powinny być wykorzystywane przez profesjonalistów w celu zapewnienia zgodności z GDPR.
Jednak w sytuacji konfliktu między różnymi jurysdykcjami, różnice między różnymi krajowymi przepisami dotyczącymi ochrony danych osobowych mogą prowadzić do niejasności. Mimo że wytyczne zawarte w mapie drogowej są szeroko zakrojone, nadal nie są wiążące. W przeszłości UNCITRAL i IBA skłaniały się ku zapewnieniu harmonizacji w międzynarodowym arbitrażu poprzez swoje regulaminy, wytyczne i tym podobne; choć nie są one wiążące, z pewnością mają charakter perswazyjny. Podobnie jak UNCITRAL i IBA próbowały zająć się różnymi aspektami arbitrażu międzynarodowego, istnieje również pilna potrzeba harmonizacji wymogów dotyczących ochrony danych osobowych w odniesieniu do arbitrażu; w związku z tym należy wprowadzić niezbędne wytyczne z myślą o harmonizacji.
Chociaż nadal brakuje harmonizacji, zrozumienia i świadomości wymogów zgodności z GDPR oraz jego skutków w kontekście arbitrażu międzynarodowego, my, jako specjaliści w dziedzinie arbitrażu, będziemy nadal musieli radzić sobie z obecnie obowiązującymi ramami prawnymi. Niemniej jednak, pomimo swoich wad, mapa drogowa stanowi bardzo potrzebny i zachęcający krok w kierunku wspólnego zrozumienia obowiązków w zakresie ochrony danych osobowych przez uczestników postępowania arbitrażowego.
[i] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE 2016 L 119/1.
[ii] Dane osobowe" są zdefiniowane w art. 4 GDPR jako:
(1) ""dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej".
[iii] Zakres terytorialny GDPR jest określony w art. 3 w następujący sposób:
- Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w kontekście działalności zakładu administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii, czy nie.
- Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii, przez administratora lub podmiot przetwarzający niemający siedziby w Unii, jeżeli czynności przetwarzania są związane z:
(a) oferowania towarów lub usług, niezależnie od tego, czy wymagana jest zapłata ze strony podmiotu danych, takim podmiotom danych w Unii; lub
(b) monitorowanie ich zachowania w zakresie, w jakim ich zachowanie ma miejsce w Unii.
- Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego siedziby w Unii, lecz w miejscu, w którym na mocy międzynarodowego prawa publicznego stosuje się prawo państwa członkowskiego.
[iv] Zob. definicję "podmiotu przetwarzającego" w art. 4 GDPR.
[v] Art. 83 ust. 4 GDPR.
[vi] 'Largest fine under GDPR levied against Google' (Simmons + Simmons, 22 stycznia 2019 r.), zob. www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, 'British Airways fined £20m over data breach' (BBC, 16 października 2020 r.), zob. www.bbc.com/news/technology-54568784.
[vii] ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), zob. www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, dostęp: 18 sierpnia 2021 r.
[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, luty 2020 r.), zob. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, dostęp: 18 sierpnia 2021 r.
[ix] Ibid, 1.
[x] Sprawa PCA nr 2018-54.
[xi] ICCA i New York City Bar oraz International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", zob. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostęp: 18 sierpnia 2021 r.
[xii] 'Cybersecurity Guidelines' (IBA, październik 2018 r.), zob. www.ibanet.org/LPRU/Cybersecurity, dostęp 1 grudnia 2020 r.
[xiii] ICC Guidance Note on Possible Measures Aim" (Międzynarodowa Izba Handlowa, 9 kwietnia 2020 r.), dostęp: 18 sierpnia 2021 r.
[xiv] Mapa drogowa, sekcja B.
[xv] Ibidem.
[xvi] Art. 4 GDPR.
[xvii] Ibidem.
[xviii] Artykuł 4, GDPR
[xix] Ibid, art. 3 ust. 1.
[xx] Mapa drogowa, 7.
[xxi] Art. 4 GDPR.
[xxii] Mapa drogowa definiuje "uczestników postępowania arbitrażowego" jako "obejmujących strony, ich doradców prawnych, arbitrów i (wyłącznie) instytucje arbitrażowe". Zob. Mapa drogowa (n 3), 2.
[xxiii] Art. 4 GDPR.
[xxiv] Zob. wyrok z dnia 29 lipca 2019 r., Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, pkt 74, 85. Zob. też wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C-25/17, EU:C:2018:551.
[xxv] Mapa drogowa, 11
[xxvi] Ibid, 12.
[xxvii] Art. 5 i 12-22 GDPR; mapa drogowa 14-15.
[xxviii] Na przykład na mocy GDPR przetwarzanie danych osobowych w kontekście międzynarodowego arbitrażu jest zgodne z prawem, jeżeli jest konieczne do celów wynikających z uzasadnionych interesów administratora danych - z zastrzeżeniem ograniczeń wynikających z interesów i praw podstawowych osoby, której dane dotyczą - a dane szczególnie chronione mogą być przetwarzane na mocy odstępstwa dotyczącego roszczeń prawnych (art. 9 ust. 2 lit. f)) w kontekście arbitrażu.
[xxix] Mapa drogowa, 19.
[xxx] Tamże, 20-21.
[xxxi] Tamże, 30-31.
[xxxii] Ibid, 32.
[xxxiii] Tamże, 33-36.
[xxxiv] Tamże, 37-39.
[xxxv] Ibid, 37.
[xxxvi] Ibid, 39.
[xxxvii] Tamże, 40-41.
[xxxviii] Ibid, 42.
[xxxix] Tamże, 43.
[xl] Art. 5 ust. 1 lit. e) GDPR.
[xli] Mapa drogowa, 44.
[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.
[xliii] Komisja UE uznała, że kraj ten zapewnia odpowiednią ochronę danych.
[xliv] W przypadku arbitrażu międzynarodowego będzie to najprawdopodobniej standardowa klauzula umowna.
[xlv] W kontekście arbitrażu największe zastosowanie ma odstępstwo dotyczące roszczeń prawnych, pozwalające na przekazywanie danych, gdy jest to "konieczne do ustalenia, wykonania lub obrony roszczeń prawnych".
[xlvi] Ze względu na wysoki próg i wymóg powiadomienia, poleganie na istotnych uzasadnionych interesach ma niewielkie znaczenie praktyczne. Zob. EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6 lutego 2018 r. (Data Transfer Guidance).
[xlvii] Mapa drogowa, 8, 13.
[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away? (Kluwer Arbitration Blog, 29 sierpnia 2019 r.), zob. http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [dostęp: 18 sierpnia 2021 r.].
[xlix] Sprawa PCA nr 2018-54.
[l] Ibid, Komunikat trybunału do stron (Perm Ct Arb, 2019).
[li] Mapa drogowa, 37.
[lii] ICCA i New York City Bar oraz International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), zob. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostęp: 18 sierpnia 2021 r.
[liii] 'Cybersecurity Guidelines' (IBA, październik 2018 r.), zob. www.ibanet.org/LPRU/Cybersecurity, dostęp 1 grudnia 2020 r.
[liv] Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings? (Kluwer Arbitration Blog, 18 lipca 2020 r.), zob. http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, dostęp 18 sierpnia 2021 r.
[lv] ICC Guidance Note on Possible Measures Aimeded to Mitigating the Effects of the COVID-19 Pandemic" (Wytyczne MTK w sprawie możliwych środków mających na celu złagodzenie skutków pandemii COVID-19) (MTK, 9 kwietnia 2020 r.), dostęp 18 sierpnia 2021 r.
[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.
[lvii] Mapa drogowa, 2.
[lviii] Tamże, 23-25.
[lix] Art. 4(2), GDPR, zob. n 1 powyżej.
[lx] Art. 6 ust. 1 lit. f) GDPR.
[lxi] Allan J Arffa i inni, "GDPR Issues in International Arbitration" (Lexology, 10 sierpnia 2020 r.), zob. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, dostęp 18 sierpnia 2021 r.
[lxii] Mapa drogowa, załącznik 5.
[lxiii] Allan J Arffa i inni, "GDPR Issues in International Arbitration" (Lexology, 10 sierpnia 2020 r.), zob. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> dostęp 18 sierpnia 2021 r.
[lxiv] Mapa drogowa 40-41.
[lxv] Zob. na przykład: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
[lxvi] Ibid; Richmark Corp przeciwko Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 lutego 2020 r.), zob. www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> dostęp 18 sierpnia 2021 r.
[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
[lxix] Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
[lxx] Ibid. Na poparcie tego argumentu Born przytacza następujące orzeczenia: Wyrok z dnia 22 stycznia 2004 r., Société Nat'l Cie for Fishing & Marketing "Nafimco" przeciwko Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "decyzja sądu arbitrażowego o nakazaniu ujawnienia informacji należy do jego proceduralnego uznania i nie może być przedmiotem kontroli sądowej"; Karaha Bodas Co przeciwko Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Wnioski o ujawnienie są "dobrze w ramach rozsądnego wykonywania uprawnień dyskrecjonalnych Trybunału".
[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 grudnia 2019 r.), zob. www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, dostęp 18 sierpnia 2021 r.
[lxxii] Konwencja nowojorska, art. V ust. 2: "Można również odmówić uznania i wykonania orzeczenia arbitrażowego, jeżeli właściwy organ w państwie, w którym wystąpiono o uznanie i wykonanie, stwierdzi, że: a) uznanie lub wykonanie orzeczenia byłoby sprzeczne z porządkiem publicznym tego państwa; b) uznanie lub wykonanie orzeczenia byłoby sprzeczne z porządkiem publicznym tego państwa".
[lxxiii] Sekretarz Generalny ONZ, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), art. 34, ust. 6.
[lxxiv] Ustawa modelowa UNCITRAL o międzynarodowym arbitrażu handlowym, art. 34 ust. 2: "Orzeczenie arbitrażowe może zostać uchylone przez sąd określony w art. 6 tylko wtedy, gdy: a) sąd stwierdzi, że ... (ii) orzeczenie jest sprzeczne z porządkiem publicznym tego państwa".
[lxxv] Wyrok z dnia 1 czerwca 1999 r., Eco Swiss China Time Ltd przeciwko Benetton International NV C-126/97, Rec. 1999, s. I-03055, pkt. 39 i 41. Szczegółowe omówienie polityki publicznej UE, patrz: Sacha Prechal i Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
[lxxvi] Anja Cervenka i Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
[lxxvii] Ibidem.
[lxxviii] Bardziej szczegółowe omówienie tych i innych kwestii można znaleźć w: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" w José R Mata Dona i Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka i Schwarz, patrz n 76 powyżej, 84-85.
[lxxix] The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, luty 2020 r.), zob. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, dostęp: 18 sierpnia 2021 r.
Niniejszy artykuł został opublikowany po raz pierwszy w Dispute Resolution International, Vol 15 No 2, October 2021, i został powielony za uprzejmą zgodą International Bar Association, Londyn, Wielka Brytania. © Międzynarodowe Stowarzyszenie Prawników.