Języki

Starcie tytanów: RODO i arbitraż międzynarodowy - spojrzenie w przyszłość

Publikacje: listopada 10, 2021

Powrót do przeglądu

Autorzy

Catherine Raudaschl

Powiązane przewodniki ekspertów

Wprowadzenie

W ostatnich latach pojawiły się pytania o praktyczne implikacje prywatności danych osobowych i cyberbezpieczeństwa dla faktycznego prowadzenia międzynarodowych postępowań arbitrażowych - zwłaszcza biorąc pod uwagę stałe tempo zmian technologicznych.

Ogólne rozporządzenie o ochronie danych (RODO)[1] obchodziło swoje drugie urodziny w maju 2020 roku. Ramy ochrony danych osobowych RODO mają na celu zapewnienie swobodnego przepływu danych osobowych "zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych"[2]. Rozporządzenie ma zastosowanie w Unii Europejskiej i ma zakres eksterytorialny, który może wykraczać poza UE;[3] RODO może mieć wpływ nie tylko na wszystkie osoby fizyczne lub prawne, ale także nakłada na organy publiczne, agencje i inne organy - w tym organizacje międzynarodowe - obowiązki w zakresie ochrony danych osobowych[ 4].[Sankcje wynikające z RODO mogą wynieść do 4 procent światowego rocznego obrotu podmiotu dopuszczającego się naruszenia w poprzednim roku obrotowym lub 20 milionów euro, w zależności od tego, która z tych kwot jest wyższa[5]. Potrzeba poważnego traktowania stosowania RODO została już potwierdzona przez wielomilionowe grzywny nałożone w wielu jurysdykcjach[6].

Chociaż zastosowanie przepisów o ochronie danych osobowych do arbitrażu jest ustalone, sposób, w jaki przepisy te powinny być stosowane, nie jest ustalony. Z tego powodu Międzynarodowa Rada Arbitrażu Handlowego (ICCA) i Międzynarodowe Stowarzyszenie Prawników (IBA) powołały w lutym 2019 r. wspólną grupę zadaniową ds. ochrony danych w międzynarodowych postępowaniach arbitrażowych, której celem jest opracowanie przewodnika zawierającego praktyczne wskazówki dotyczące ochrony danych osobowych w arbitrażu międzynarodowym. Grupa zadaniowa opublikowała projekt tego przewodnika w marcu 2020 r.[7] Niniejszy komentarz będzie opierał się na tym projekcie mapy drogowej (Mapa Drogowa)[8], a ostateczna, poprawiona wersja Mapy Drogowej ma zostać opublikowana we wrześniu 2021 roku. Chociaż termin zgłaszania uwag do projektu konsultacyjnego upłynął w chwili pisania tego tekstu, wstępna wersja mapy drogowej ilustruje jednak kwestie związane z RODO w arbitrażu międzynarodowym. Zostanie ona zatem wykorzystana jako podstawa do dyskusji.

Większość przepisów o ochronie danych osobowych jest obowiązkowa w postępowaniach arbitrażowych, co oznacza, że określają one:

  • jakie dane osobowe mogą być przetwarzane
  • gdzie;
  • w jaki sposób;
  • przy użyciu jakich środków bezpieczeństwa informacji; oraz
  • jak długo.[9]

Nie odnoszą się one jednak do tego, w jaki sposób te wiążące obowiązki powinny być przestrzegane w postępowaniach arbitrażowych. Wobec braku szczegółowych wytycznych ze strony organów regulacyjnych, Roadmap ma na celu pomóc profesjonalistom z branży arbitrażowej zidentyfikować i zrozumieć obowiązki w zakresie ochrony danych osobowych i prywatności, którym mogą podlegać w kontekście międzynarodowego arbitrażu. Co więcej, zakres ochrony RODO pozostaje istotny w międzynarodowych postępowaniach arbitrażowych, głównie w odniesieniu do tego, czy przepisy RODO mają zastosowanie do arbitraży z siedzibą poza UE. Istnieją różne dalsze implikacje, jeśli okaże się, że RODO ma zastosowanie do arbitrażu: po pierwsze, czy przetwarzanie danych osobowych jest zabronione, a po drugie, czy istnieją ograniczenia dotyczące przekazywania danych osobowych poza UE. Wreszcie, ze względu na rosnącą częstotliwość cyberataków, konsekwencje takiego ataku na arbitraż mogą wiązać się ze znacznymi szkodami.

Niniejszy artykuł ma na celu przedstawienie komentarza do Mapy Drogowej i zbadanie praktycznych środków, które należy wziąć pod uwagę w odniesieniu do obowiązków w zakresie ochrony danych osobowych w międzynarodowych postępowaniach arbitrażowych. Określa on Mapę Drogową jako obiecujące, choć niekompletne, narzędzie uzupełniające różne dotychczasowe próby harmonizacji międzynarodowego arbitrażu, w szczególności instrumenty IBA i Komisji Narodów Zjednoczonych do spraw Międzynarodowego Prawa Handlowego (UNCITRAL).

Po pierwsze, przedstawione zostanie krótkie podsumowanie mapy drogowej, które zawiera odniesienie do zasad RODO. Nie ma to być kompleksowy przegląd, ale raczej wprowadzenie głównych punktów mapy drogowej, aby dać czytelnikowi kontekst do dalszej dyskusji. Po drugie, przedstawiony zostanie komentarz, który porusza sześć istotnych kwestii:

  • zastosowanie RODO do postępowań arbitrażowych prowadzonych poza UE;
  • RODO w kontekście arbitrażu w ramach Północnoamerykańskiego Układu Wolnego Handlu (NAFTA), jak zilustrowano w sprawie Tennant Energy, LLC przeciwko rządowi Kanady;[10]
  • kwestia wideokonferencji, której znaczenie znacznie wzrosło w trakcie pandemii Covid-19, w tym odniesienia do "Protokołu ICCA-NYC Bar-CPR w sprawie bezpieczeństwa cybernetycznego w arbitrażu międzynarodowym" (Protokół w sprawie bezpieczeństwa cybernetycznego)[11], Wytycznych IBA w sprawie bezpieczeństwa cybernetycznego[12] oraz Wytycznych ICC w sprawie możliwych środków mających na celu złagodzenie skutków pandemii COVID-19;[13]
  • "podmioty finansujące będące osobami trzecimi" i sposób ich uwzględnienia w planie działania;
  • nadużywanie RODO, zwłaszcza jako osłony przed nieujawnianiem informacji; oraz
  • potencjał wykorzystania niezgodności z wymogami ochrony danych osobowych jako drogi do unieważnienia lub odmowy uznania i wykonania orzeczenia arbitrażowego.

Końcowe przemyślenia zostaną przedstawione w podsumowaniu.

Mapa drogowa

Osoby fizyczne i prawne podlegają obowiązkowi ochrony danych osobowych osób, których dane dotyczą. Sam arbitraż nie podlega obowiązkowi ochrony danych osobowych. Jeśli jednak tylko jeden uczestnik arbitrażu podlega obowiązkom w zakresie ochrony danych osobowych, może to mieć wpływ na cały arbitraż. O tym, czy przepisy o ochronie danych osobowych mają zastosowanie, decyduje to, czy przetwarzanie danych osobowych mieści się w zakresie odpowiednich przepisów, zakresu przedmiotowego i jurysdykcyjnego[14].

Nowoczesne przepisy o ochronie danych osobowych mają zastosowanie w każdym przypadku, gdy dane osobowe dotyczące osoby, której dane dotyczą, są przetwarzane podczas działań objętych zakresem jurysdykcji odpowiednich przepisów o ochronie danych osobowych[15]. Dane osobowe obejmują "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej"[16]. Podczas typowego postępowania arbitrażowego wymieniane są znaczne ilości informacji dotyczących między innymi stron, ich doradców, trybunału i osób trzecich. W związku z tym mogą one być postrzegane jako kwalifikujące się do definicji "danych osobowych". "Podmioty danych" odnoszą się do wyżej wymienionych osób, które są zidentyfikowane lub możliwe do zidentyfikowania[17]. Przetwarzanie obejmuje operacje aktywne i pasywne, a zatem obejmuje wykorzystywanie, rozpowszechnianie i usuwanie danych osobowych, a także otrzymywanie, organizowanie i przechowywanie danych osobowych[ 18].[Zakres zastosowania obejmuje działania podejmowane w każdym przypadku, gdy dane osobowe są przetwarzane w kontekście działalności zakładu administratora lub podmiotu przetwarzającego w UE[19] oraz eksterytorialnie, np. gdy dane osobowe są przekazywane poza UE podmiotom lub osobom fizycznym, które z innych powodów nie podlegają już RODO[20].

Arbitrzy będą kwalifikowani jako administratorzy danych, co oznacza, że będą odpowiedzialni za przestrzeganie przepisów o ochronie danych osobowych. Jednakże, w oparciu o definicję "administratora danych"[21], większość uczestników postępowania arbitrażowego[22] będzie prawdopodobnie za takich uważana, w tym doradcy, strony i instytucje. Administratorzy danych mogą powierzyć przetwarzanie danych podmiotom przetwarzającym dane[23], które będą znajdować się pod ich kontrolą i będą wymagać zawarcia umów o przetwarzanie danych na warunkach określonych w obowiązujących przepisach prawa. W związku z tym sekretarki, transkrybenci, tłumacze i inne osoby mogą zostać uznane za podmioty przetwarzające dane. Istnieje również kwestia współadministratorów, którzy wspólnie określają cele i sposoby przetwarzania danych. Współadministrowanie jest szeroko interpretowane, ale odpowiedzialność współadministratora jest ograniczona tylko do przetwarzania, które administrator określił, jego celu i środków, a nie do całego przetwarzania[24].

W arbitrażu międzynarodowym ograniczenia dotyczące przekazywania danych osobowych między jurysdykcjami są oczywistym sposobem stosowania przepisów o ochronie danych osobowych. Tło różnych uczestników postępowania arbitrażowego będzie determinować stosowanie różnych systemów ochrony danych osobowych. Nowoczesne przepisy o ochronie danych osobowych ograniczają przekazywanie danych osobowych do państw trzecich w celu zapewnienia, że zobowiązania prawne nie są obchodzone poprzez przekazywanie danych osobowych do jurysdykcji o niższych standardach ochrony danych osobowych[25]. RODO zezwala na przekazywanie danych osobowych do państw trzecich, jeżeli zachodzi jedna z następujących okoliczności

  • kraj został uznany przez Komisję Europejską za zapewniający odpowiednią ochronę danych osobowych;
  • wprowadzono jedno z wyraźnie wymienionych zabezpieczeń;
  • odstępstwo zezwalające na przekazywanie danych, gdy jest to konieczne do ustalenia, dochodzenia lub obrony roszczeń prawnych; lub
  • ważny prawnie uzasadniony interes strony[26].

Zasady te mają zastosowanie do uczestników arbitrażu, a nie do arbitrażu jako całości, co oznacza, że każdy uczestnik arbitrażu musi rozważyć, jakie ograniczenia w przekazywaniu danych osobowych mają do niego zastosowanie.

Zasady ochrony danych osobowych mające zastosowanie w arbitrażu obejmują rzetelne i zgodne z prawem przetwarzanie, proporcjonalność, minimalizację danych, ograniczenie celu, prawa osób, których dane dotyczą, prawidłowość, bezpieczeństwo danych, przejrzystość i rozliczalność[27].

Kilka z tych zasad wymaga dalszego komentarza. Uczciwe i zgodne z prawem przetwarzanie oznacza, że dane osobowe powinny być przetwarzane wyłącznie w sposób, którego osoby, których dane dotyczą, mogłyby racjonalnie oczekiwać, oraz że musi istnieć podstawa prawna do przetwarzania. Stosując zasadę rzetelności, strona i jej doradca powinni zadać sobie pytanie, czy w kontekście wszystkich faktów osoby fizyczne spodziewałyby się, że ich dane osobowe będą przetwarzane w taki sposób, czy będzie to miało dla nich negatywne konsekwencje i czy konsekwencje te są uzasadnione. Zasada ta nie uniemożliwi dopuszczenia jako dowodu danych osobowych znalezionych w służbowych wiadomościach e-mail.

Pojęcie zgodnego z prawem przetwarzania wiąże się z podstawą prawną, która jest oparta na faktach i zależy od konkretnego przypadku. Zamiast polegać na zgodzie, należy powoływać się na określone podstawy prawne w RODO[28].

Proporcjonalność wymaga uwzględnienia charakteru, zakresu, kontekstu i celów przetwarzania w odniesieniu do ryzyka, na jakie narażona jest osoba, której dane dotyczą[29]. Minimalizacja danych wymaga od uczestników postępowania arbitrażowego ograniczenia przetwarzania do danych osobowych, które są adekwatne, istotne i ograniczone do tego, co niezbędne[30].[Przejrzystość wymaga, aby osoby, których dane dotyczą, były powiadamiane o przetwarzaniu i celu przetwarzania danych osobowych za pomocą ogólnych powiadomień, szczegółowych powiadomień lub obu tych środków[31]. Rozliczalność odnosi się do osobistej odpowiedzialności za zgodność z przepisami o ochronie danych osobowych, co oznacza, że uczestnicy postępowania arbitrażowego powinni dokumentować wszystkie środki ochrony danych osobowych i decyzje podjęte w celu wykazania zgodności[32].

Zgodność z przepisami o ochronie danych osobowych wpływa na poszczególne etapy międzynarodowego postępowania arbitrażowego, nie tylko podczas samego arbitrażu, ale także w trakcie przygotowań. Od samego początku uczestnicy postępowania arbitrażowego powinni rozważyć, które przepisy o ochronie danych osobowych mają zastosowanie do nich samych i innych uczestników postępowania arbitrażowego oraz którzy uczestnicy postępowania arbitrażowego będą przetwarzać dane osobowe jako administratorzy, podmioty przetwarzające lub współadministratorzy. Należy również wziąć pod uwagę zasady przekazywania danych osobowych w państwach trzecich oraz umowy o przetwarzaniu danych osobowych dotyczące zewnętrznych dostawców usług. W trakcie procesu gromadzenia i przeglądu dokumentów, strony i ich doradcy prawni potrzebują podstawy prawnej dla czynności przetwarzania i przekazywania danych osobowych z państw trzecich[33].

Wniosek o arbitraż, jak również późniejsze oświadczenia, będą zawierać dane osobowe, które w pełni mieszczą się w zakresie przetwarzania. Jeśli instytucja arbitrażowa jest związana obowiązującymi przepisami o ochronie danych osobowych, musi rozważyć potencjalne obowiązki w zakresie ochrony danych osobowych, które mają zastosowanie na każdym etapie postępowania. Jeśli instytucja arbitrażowa podlega RODO, zazwyczaj staje się administratorem danych osobowych. Aby zachować zgodność z art. 13 i 14 RODO, taka instytucja powinna zawrzeć informacje dotyczące środków bezpieczeństwa, wykonywania praw osób, których dane dotyczą, prowadzenia rejestrów oraz polityki naruszania i przechowywania danych w swojej informacji o ochronie prywatności[34]. Organizacje międzynarodowe zarządzające arbitrażami inwestor-państwo mogą być jednak wyłączone z zakresu przepisów o ochronie danych osobowych ze względu na przywileje i immunitety w państwie składowym lub w umowie z państwem przyjmującym. Należy zatem dokonać odrębnych rozważań, w tym między innymi, czy organizacja jest związana przepisami o ochronie danych osobowych oraz czy - i w jakim zakresie - uczestnicy postępowania arbitrażowego byliby objęci przywilejami i immunitetami[35].

W trakcie powoływania arbitrów do trybunału arbitrażowego dochodzi zazwyczaj do wymiany znacznych ilości danych osobowych potencjalnych arbitrów. Uczestnicy postępowania arbitrażowego powinni zawrzeć podstawę prawną przetwarzania tych danych osobowych w swoich informacjach prawnych i wyraźnie powiadomić arbitrów, którzy są rozważani do powołania, o przetwarzaniu ich danych osobowych, zwłaszcza w przypadku przekazywania danych osobowych z państw trzecich[36].

Po rozpoczęciu postępowania arbitrażowego, obowiązki w zakresie ochrony danych osobowych powinny zostać przydzielone na wczesnym etapie, aby zminimalizować ryzyko. Ochrona danych osobowych powinna zostać włączona do porządku obrad pierwszej konferencji proceduralnej, a uczestnicy postępowania arbitrażowego powinni starać się jak najwcześniej uzgodnić, w jaki sposób zająć się kwestią zgodności z przepisami o ochronie danych osobowych. Strony, ich doradcy i arbitrzy powinni rozważyć zawarcie protokołu ochrony danych osobowych w celu skutecznego zarządzania kwestiami zgodności. W przypadku, gdy nie jest to możliwe, alternatywną opcją jest włączenie ich przez Sąd do Zarządzenia Proceduralnego Numer Jeden[37].

W procesie tworzenia i ujawniania dokumentów szczególnie istotna jest zasada minimalizacji danych osobowych. Zgodnie z RODO prawdopodobnie wymagałoby to

  • ograniczenia ujawnianych danych osobowych do tych, które są istotne i nie powielają się;
  • identyfikacji danych osobowych zawartych w odpowiadającym materiale; oraz
  • redagowania lub pseudonimizacji niepotrzebnych danych osobowych.

Kwestie te należy również rozważyć na wczesnym etapie postępowania, najlepiej na pierwszej konferencji procesowej lub przed nią[38].

Jeśli chodzi o wydawanie orzeczeń, arbitrzy i instytucje powinny rozważyć podstawę i konieczność uwzględnienia danych osobowych w orzeczeniach. Jeśli arbitraż jest poufny, istnieje ryzyko, że orzeczenie zostanie upublicznione po jego wykonaniu. Nawet jeśli dane osobowe zostaną zredagowane, zazwyczaj pozostają one danymi osobowymi, ponieważ osoba, której dane dotyczą, jest możliwa do zidentyfikowania na podstawie pozostałej części orzeczenia lub powiązanych materiałów[39].

Przechowywanie i usuwanie danych uznaje się za przetwarzanie na mocy RODO, które stanowi, że dane osobowe "przechowuje się w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane"[40]. Administratorzy muszą rozważyć, udokumentować i być w stanie uzasadnić czas przechowywania danych. Uczestnicy postępowania arbitrażowego muszą rozważyć, jaki okres przechowywania danych jest rozsądny i powinni przyjąć proporcjonalne podejście, aby zrównoważyć swoje potrzeby z wpływem przechowywania danych na podmiot[41].

Zastosowanie RODO do postępowań arbitrażowych prowadzonych poza UE

Zakres terytorialny ogólnego rozporządzenia o ochronie danych jest stosunkowo szeroki. Praktycy powinni być świadomi jego zastosowania, niezależnie od tego, czy znajdują się, czy też nie, w UE. RODO ma zastosowanie do przetwarzania danych osobowych przez administratorów lub podmioty przetwarzające mające siedzibę w UE, niezależnie od tego, czy samo przetwarzanie odbywa się w UE (art. 3 ust. 1). Ponadto, jeśli chodzi o oferowanie towarów lub usług obywatelom UE lub monitorowanie zachowań, które mają miejsce w UE, RODO ma zastosowanie do przetwarzania danych osobowych przez administratora lub podmiot przetwarzający niemający siedziby w UE (art. 3 ust. 2).

W kontekście arbitrażu RODO nakłada obowiązki na administratorów danych i podmioty przetwarzające dane - arbitrów, doradców, strony i instytucje - które wchodzą w jego zakres przedmiotowy i terytorialny, a nie bezpośrednio na postępowanie arbitrażowe. Nawet jeśli tylko jeden uczestnik postępowania arbitrażowego ma związek z UE, będzie on zobowiązany do przetwarzania danych osobowych zgodnie z RODO. Może to mieć wpływ na całe postępowanie[42].

Być może najbardziej znaczące w kontekście międzynarodowego arbitrażu, gdzie przekazywanie materiałów arbitrażowych zawierających dane osobowe jest powszechne, są ograniczenia nałożone na przekazywanie danych osobowych do "państw trzecich" spoza Europejskiego Obszaru Gospodarczego (EOG). W takim scenariuszu, aby transfer danych osobowych był dozwolony, wymagana jest jedna z czterech zgodnych z prawem podstaw. Po pierwsze, przekazanie danych do państwa trzeciego jest dozwolone, jeżeli państwo trzecie podlega decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 ust. 1)[43]. Jeżeli tak nie jest, należy w miarę możliwości wprowadzić jedno z odpowiednich zabezpieczeń (art. 46 ust. 1)[44].[W przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony i braku możliwości zastosowania odpowiedniego zabezpieczenia, można powołać się na szczególne odstępstwo (art. 49 ust. 1)[45]. Wreszcie, w przypadku braku wyżej wymienionych, strona może powołać się na ważny prawnie uzasadniony interes (art. 49 ust. 1)[46] jako podstawę prawną przekazania danych osobowych stronie trzeciej.

Mapa drogowa dość kompleksowo przedstawia niezbędne rozważania, które muszą poczynić uczestnicy postępowania arbitrażowego. Wielokrotnie podkreśla, że to uczestnicy arbitrażu, a nie arbitraż jako taki, mają zastosowanie do zasad ochrony danych osobowych i zasad przekazywania danych[47]. Zgodnie z tym, domniemany wniosek jest taki, że arbiter z siedzibą w UE w arbitrażu spoza UE, który w przeciwnym razie nie podlega RODO, musiałby jednak przestrzegać wymogów RODO w zakresie przetwarzania i przekazywania danych osobowych. Jest to rzeczywiście powszechnie akceptowane w postępowaniach arbitrażowych w sprawach handlowych[48], ale sytuacja nie jest tak jasna, jeśli chodzi o arbitraż inwestor-państwo.

Sprawa Tennant Energy, LLC przeciwko rządowi Kanady

W 2019 r., w sprawie Tennant Energy, LLC przeciwko rządowi Kanady (Tennant),[49] Tennant, powód, podniósł kwestię zastosowania RODO do postępowania w świetle obywatelstwa brytyjskiego i miejsca zamieszkania jednego z członków trybunału. Trybunał wydał jednak instrukcje dla stron, stwierdzając, że "arbitraż na podstawie rozdziału 11 NAFTA, traktatu, którego stroną nie jest ani Unia Europejska, ani jej państwa członkowskie, nie wchodzi z założenia w zakres przedmiotowy RODO"[50].

Ważne jest rozróżnienie między arbitrażem opartym na traktatach a arbitrażem handlowym, przy czym Tennant należy do tej pierwszej kategorii. Mapa drogowa uwzględnia to rozróżnienie, zauważając, że organizacje międzynarodowe mogą być wyłączone z zakresu przepisów o ochronie danych osobowych[51]. Członkowie trybunału w arbitrażu Tennant mogą podlegać pewnym immunitetom wynikającym z umowy o siedzibie Stałego Trybunału Arbitrażowego (PCA) z Holandią. Trybunał NAFTA nie rozważył jednak, czy PCA, jako organizacja międzynarodowa, podlegałaby przepisom RODO dotyczącym przekazywania danych lub czy członkowie trybunału korzystaliby z pewnych immunitetów wynikających z umowy.

Kierunek Tennant rodzi więcej pytań niż odpowiedzi dotyczących zastosowania RODO do postępowań NAFTA i ogólnie do arbitrażu opartego na traktatach, których szczegółowe omówienie wykracza poza obecny zakres. Niemniej jednak kierunek Tennant, postrzegany w świetle mapy drogowej, pokazuje, że temat ten pozostaje wysoce niepewny. W najlepszym razie wątpliwe jest, czy Mapa Drogowa przyniesie jakąkolwiek jasność uczestnikom postępowania arbitrażowego stojącym przed taką kwestią, biorąc pod uwagę w szczególności, że Mapa Drogowa została wydana po wydaniu orzeczenia w sprawie Tennant, ale nie uwzględniła tego ostatniego.

Kwestia wideokonferencji

Mapa drogowa uznaje znaczenie bezpieczeństwa danych osobowych. Jednak wraz z niedawnym wykorzystaniem dodatkowych technologii w celu ułatwienia wirtualnych przesłuchań, a także pracy z domu - głównie napędzanej obecnymi okolicznościami narzuconymi nam przez pandemię Covid-19 - kwestia ta nabiera dodatkowej wagi. Protokół w sprawie cyberbezpieczeństwa[52] i wytyczne IBA w sprawie cyberbezpieczeństwa[53] rzuciły nieco światła na tę kwestię.

Podobnie jak mapa drogowa, protokół w sprawie cyberbezpieczeństwa ustanawia kilka podstawowych zasad. Zasada proporcjonalności ma zastosowanie, Sąd ma uprawnienia i swobodę w określaniu stosowanych środków bezpieczeństwa, a bezpieczeństwo informacji jest kwestią, która powinna zostać omówiona na pierwszej konferencji dotyczącej zarządzania sprawą. Załącznik A do Protokołu w sprawie cyberbezpieczeństwa zawiera listę kontrolną, którą strony arbitrażu mogą wykorzystać do zabezpieczenia postępowania.

W związku z niedawną zmianą wzorców i środowisk pracy spowodowaną pandemią Covid-19, kwestiom tym należy nadać większą wagę. W świecie, który został zmuszony do znalezienia nowych sposobów prowadzenia działalności i dostosowania się do czasów niepewności, jedną z kwestii, z którymi boryka się sektor prawny, jest kwestia przesłuchań w połączeniu z ograniczeniami i potrzebą zachowania dystansu społecznego. W związku z tym popularność wideokonferencji i ich wykorzystanie w międzynarodowych postępowaniach arbitrażowych jest czymś, do czego Mapa Drogowa powinna się odnieść, ale tego nie zrobiła - a przynajmniej jeszcze nie.

Chociaż wiele osób omawiało i wskazywało na kwestie związane z wideokonferencjami, większość z nich nie odniosła się do tego, w jaki sposób należy stosować do nich przepisy o ochronie danych osobowych, nie tylko w odniesieniu do ochrony danych osobowych, ale także bezpieczeństwa, ponieważ niektóre platformy były przedmiotem ataków bezpieczeństwa[54].

Jak wspomniano powyżej, istotne jest zrozumienie różnych ról stron zaangażowanych w arbitraż dotyczący RODO, a mianowicie tego, kto jest "administratorem danych" i "podmiotem przetwarzającym dane". Jeśli oprogramowanie do wideokonferencji przetwarza jakiekolwiek dane osobowe, takie jak nazwa użytkownika i adres e-mail strony korzystającej z usługi, będzie ono uważane za "podmiot przetwarzający dane". Oznacza to, że musi przestrzegać zasad RODO, jeśli którykolwiek z uczestników ma siedzibę w UE. Ponieważ Sąd jest "administratorem danych", to on będzie odpowiedzialny za zapewnienie takiej zgodności.

Międzynarodowa Izba Handlowa (ICC) wydała wytyczne[55], które zapewniają stronom sugerowane klauzule dotyczące protokołów cyberbezpieczeństwa i wirtualnych przesłuchań. Ma ona na celu uwzględnienie aspektu bezpieczeństwa, ale nie odnosi się do aspektu ochrony danych osobowych. Mapa drogowa powinna omawiać możliwości, w których ochrona danych osobowych miałaby zastosowanie do przesłuchań prowadzonych wirtualnie, a także sposób ich przestrzegania. Chociaż RODO określa wymogi, które należy spełnić w odniesieniu do wideokonferencji, nie zawiera wskazówek dotyczących sposobu, w jaki jego wymogi mają bezpośrednie zastosowanie.

Chociaż mapa drogowa nie zawiera zaleceń dotyczących konkretnych dostawców oprogramowania, może ona opracować i dostarczyć praktykom listę niezbędnych specyfikacji idealnego oprogramowania do wideokonferencji, podobnie jak zawiera listy kontrolne dotyczące różnych innych kwestii w swoich załącznikach.

Gdzie mieszczą się zewnętrzne podmioty finansujące?

Zewnętrzny podmiot finansujący jest rozumiany jako każdy podmiot niebędący stroną postępowania arbitrażowego, który zawiera umowę w celu sfinansowania całości lub części kosztów postępowania w zamian za kwotę, która jest w całości lub częściowo uzależniona od wyniku sprawy[56]. Zewnętrzne podmioty finansujące mają dostęp do różnych danych osobowych w postępowaniach arbitrażowych, które finansują lub rozważają sfinansowanie. Mimo, że Roadmap jest wyraźnie skierowany wyłącznie do uczestników postępowań arbitrażowych, stanowi on, że wytyczne są istotne dla usługodawców, których również dotyczą wymogi ochrony danych osobowych[57].

W mapie drogowej usługodawcy obejmują "ekspertów ds. e-discovery, specjalistów ds. technologii informatycznych, reporterów sądowych, usługi tłumaczeniowe itp."[58], ale zewnętrzni fundatorzy nie są wyraźnie wymienieni. Zgodnie z RODO gromadzenie i przechowywanie danych osobowych jest objęte przetwarzaniem. W związku z tym, jeśli zewnętrzne podmioty finansujące zbierają dane osobowe od innych osób, przepisy dotyczące danych osobowych miałyby zastosowanie również do nich[59].

RODO zezwala stronie na przetwarzanie danych osobowych, jeżeli "przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią"[60], co może być potencjalnie przywoływane przez uczestników postępowania arbitrażowego jako mająca zastosowanie podstawa prawna przetwarzania odpowiednich danych osobowych. Wytyczne w tym zakresie są ograniczone[61]. Mapa drogowa stanowi:

"Pierwszym krokiem w ocenie uzasadnionego interesu jest zidentyfikowanie uzasadnionego interesu - jaki jest cel przetwarzania Danych Osobowych i dlaczego jest on ważny dla Ciebie jako administratora? W kontekście arbitrażu uzasadniony interes może obejmować wymiar sprawiedliwości, zapewnienie poszanowania praw stron oraz szybkie i sprawiedliwe rozstrzyganie roszczeń zgodnie z obowiązującymi zasadami arbitrażu, a także wiele innych interesów"[62].

Włączenie "również wielu innych interesów" może obejmować uzasadniony interes pieniężny podmiotów trzecich finansujących. Jeśli tak, to byliby oni wyraźnie zobowiązani do zawarcia umów o przetwarzanie danych ze stronami postępowania arbitrażowego i byliby objęci zakresem przepisów i wymogów dotyczących ochrony danych osobowych. Co ciekawe, Mapa Drogowa pomija wyraźne uszczegółowienie, w jaki sposób zewnętrzni fundatorzy wpisują się w ten obraz, zwłaszcza biorąc pod uwagę wzrost ich udziału w postępowaniach arbitrażowych.

Tarcza dla nieujawniania informacji

Obowiązki w zakresie ochrony danych osobowych mogą prowadzić do nadużyć. Strony postępowania arbitrażowego mogą wykorzystywać RODO jako tarczę w złej wierze, aby zapobiec ujawnieniu informacji istotnych dla postępowania lub żądanych przez kontrahenta. Przykładowo, strona może sprzeciwić się wnioskowi o ujawnienie, twierdząc, że dokumenty zawierają dane osobowe niezwiązane ze sporem lub że redagowanie danych osobowych byłoby nadmiernie uciążliwe[63].

Mapa drogowa odnosi się do możliwości nadużyć. Sugeruje on jak najwcześniejsze podniesienie i wyjaśnienie obowiązków w zakresie ochrony danych osobowych, aby zmniejszyć ryzyko ich wpływu na postępowanie. Uczestnicy powinni rozważyć zawarcie "protokołu ochrony danych" - porozumienia w sprawie sposobu stosowania ochrony danych osobowych w określonym kontekście. Alternatywnie, jeżeli nie jest możliwe zawarcie podpisanego protokołu ochrony danych, kwestie te powinny zostać uregulowane w Procedural Order Number One[64].

Dla porównania, można przyjrzeć się zgodności z RODO podczas ujawniania informacji w amerykańskich sporach sądowych. Amerykańskie sądy federalne stosują testy równoważące, aby zdecydować, czy nakazać ujawnienie lub zgodność z wezwaniami sądowymi lub nakazami ujawnienia, które potencjalnie naruszają zagraniczne przepisy, w tym przepisy o ochronie danych osobowych.[65] Niewyczerpująca lista czynników rozpatrywanych przez amerykańskie sądy federalne to

  • znaczenie żądanych dokumentów lub innych informacji dla sporu sądowego;
  • stopień szczegółowości żądania;
  • czy informacje pochodzą z USA;
  • dostępność alternatywnych sposobów zabezpieczenia informacji; oraz
  • zakres, w jakim nieprzestrzeganie przepisów naruszyłoby ważne interesy USA[66].

Najczęściej sądy federalne wymagają ujawnienia informacji pomimo potencjalnego naruszenia zagranicznych przepisów o ochronie danych osobowych[67].

Arbitrzy przy podejmowaniu decyzji o nakazaniu ujawnienia danych przez stronę kierują się innymi względami niż sądy. W literaturze przedmiotu[68] słusznie podnosi się, że sądy muszą być świadome konkurujących ze sobą praw i obowiązków w świetle groźby unieważnienia lub odmowy wykonania orzeczenia na podstawie Konwencji o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych z 1958 r. (Konwencja nowojorska). Pogląd ten nie uwzględnia jednak faktu, że nakazy ujawnienia podlegają minimalnej kontroli sądów stanowych, biorąc pod uwagę zasadę nieingerencji sądowej[69]. Przykłady sądów stanowych powstrzymujących się od angażowania się w przegląd nakazów ujawnienia są liczne[70].

W świetle swobody decyzyjnej przyznanej trybunałom w kwestiach proceduralnych, groźba unieważnienia lub odmowy wykonania jest mało prawdopodobna. Nieuchronność podejmowania przez strony prób nadużywania obowiązków wynikających z RODO w celu uzyskania potencjalnej przewagi proceduralnej postawi trybunały w trudnej sytuacji wyważenia interesów osoby, której dane dotyczą, z jednej strony, i utrzymania solidnego procesu dowodowego z drugiej strony[71]. Wyjaśnienie obowiązków w zakresie ochrony danych osobowych na początku postępowania - najlepiej w podpisanym protokole ochrony danych - zgodnie z zaleceniami mapy drogowej wydaje się być niezbędnym krokiem do sprawdzenia takiego zachowania.

Nieprzestrzeganie wymogów ochrony danych osobowych jako droga do unieważnienia oraz odmowy uznania i wykonania orzeczenia

Mapa drogowa nie odnosi się do tego, czy niezgodność z wymogami ochrony danych osobowych może być wykorzystana do uchylenia orzeczenia arbitrażowego lub odmowy jego uznania i wykonania. Strony mają bardzo ograniczone środki odwoławcze od orzeczeń arbitrażowych. Niemniej jednak, strona przegrywająca może chcieć zakwestionować jego wynik i wykorzystać jedną z głównych wspólnych podstaw do zakwestionowania orzeczenia lub uniemożliwienia jego uznania lub wykonania.

Konwencja nowojorska ma obecnie 168 umawiających się państw, co czyni ją główną podstawą prawną uznawania i wykonywania zagranicznych orzeczeń w międzynarodowym arbitrażu handlowym. Konwencja przewiduje, w Artykule V, ograniczone podstawy, na podstawie których można odmówić uznania i wykonania orzeczenia arbitrażowego. Przede wszystkim, art. V ust. 2 lit. b) przewiduje możliwość odmowy przez właściwy organ państwa-sygnatariusza uznania lub wykonania orzeczenia, które narusza porządek publiczny[72].

Podstawy uchylenia orzeczenia arbitrażowego różnią się w zależności od jurysdykcji. Ustawa Modelowa UNCITRAL o Międzynarodowym Arbitrażu Handlowym, która została powszechnie przyjęta, określa listę podstaw do unieważnienia w art. 34 ust. 2. Lista ta była ściśle wzorowana na art. V Konwencji nowojorskiej[73]. Art. 34 ust. 2 lit. b (ii) stanowi, że orzeczenie arbitrażowe może zostać uchylone przez sąd, jeżeli orzeczenie jest sprzeczne z porządkiem publicznym państwa[74].

Europejski Trybunał Sprawiedliwości (ETS) orzekł w sprawie Eco Swiss przeciwko Benetton, że nadrzędne bezwzględnie obowiązujące przepisy prawa UE mogą stanowić podstawowe zasady porządku publicznego, których naruszenie może stanowić podstawę do uchylenia orzeczenia arbitrażowego opartego na takiej podstawie w prawie krajowym[75]. To, czy orzeczenie może zostać uchylone, lub czy można odmówić jego uznania lub wykonania, z powodu nieprzestrzegania wymogów ochrony danych osobowych, będzie zatem zależeć od tego, czy przepisy RODO należy uznać za nadrzędne bezwzględnie obowiązujące przepisy, których naruszenie jest sprzeczne z krajowym porządkiem publicznym[76].

Artykuł 9 ust. 1 rozporządzenia Rzym I definiuje nadrzędne przepisy bezwzględnie obowiązujące jako przepisy, "których przestrzeganie jest uważane przez państwo za kluczowe dla ochrony jego interesów publicznych (...) w takim zakresie, że mają one zastosowanie do każdej sytuacji objętej ich zakresem, niezależnie od prawa mającego zastosowanie w innych przypadkach". Jak już wcześniej stwierdzili Cervenka i Schwarz, większość zasad RODO można prawdopodobnie uznać za nadrzędne przepisy bezwzględnie obowiązujące zgodnie z prawem UE. W związku z tym ich naruszenie może zostać uznane za naruszenie porządku publicznego[77].

Możliwość, że nieprzestrzeganie wymogów ochrony danych osobowych może prowadzić do unieważnienia lub nieuznania i niewykonania orzeczenia arbitrażowego, budzi różne obawy. Po pierwsze, należy dokładnie określić, które obowiązki w zakresie ochrony danych osobowych stanowiłyby nadrzędne przepisy bezwzględnie obowiązujące, ponieważ nie wszystkie naruszenia mają taką samą wagę. Ostatecznie ETS zostanie prawdopodobnie wezwany do udzielenia dalszych wyjaśnień. Po drugie, należy również wziąć pod uwagę potencjalne nadużywanie możliwości kwestionowania lub podważania wykonania orzeczenia na podstawie naruszenia RODO, aby uniemożliwić stronom celowe naruszanie przepisów o ochronie danych osobowych w celu uzyskania możliwości odwołania się od orzeczenia w późniejszym czasie. Wreszcie, należy określić, czy przepisy o ochronie danych osobowych będą stanowić część prawa procesowego czy materialnego i w jaki sposób[78].

Chociaż wiele pozostaje do zdefiniowania, należy zająć się konsekwencjami nieprzestrzegania wymogów ochrony danych osobowych w zakresie unieważniania, a także uznawania i wykonywania orzeczeń arbitrażowych. Najciekawsze jest to, że w Mapie drogowej nie ma żadnej wzmianki na ten temat.

Wnioski

Mapa drogowa ma na celu pomóc profesjonalistom z branży arbitrażowej zidentyfikować i zrozumieć obowiązki w zakresie ochrony danych osobowych i prywatności, którym mogą podlegać w kontekście międzynarodowego arbitrażu. Jednakże, jak wspomniano wcześniej, nadal nie odnosi się ona do pewnych konkretnych kwestii, które są obecnie istotne i pilne. Sześć kwestii zidentyfikowanych i omówionych w niniejszym dokumencie to

  • zastosowanie RODO do arbitraży prowadzonych poza UE;
  • RODO w kontekście arbitrażu NAFTA;
  • kwestia wirtualnych rozpraw arbitrażowych;
  • zewnętrzne podmioty finansujące i ich miejsce w mapie drogowej;
  • potencjalne nadużycia RODO; oraz
  • potencjalna niezgodność z RODO jako droga do unieważnienia lub odmowy uznania i wykonania orzeczenia arbitrażowego.

Każda z tych kwestii wymaga dalszej refleksji, ponieważ przewiduje się, że w nadchodzących latach staną się one jeszcze bardziej istotne. Mamy nadzieję, że wykazano, że są one warte włączenia do Mapy Drogowej.

Załączniki[79] dodane do Mapy Drogowej mają na celu pomóc profesjonalistom w praktycznym radzeniu sobie z tymi wymaganiami. Dodanie listy kontrolnej ochrony danych, listy kontrolnej oceny prawnie uzasadnionych interesów, przykładowych powiadomień o ochronie prywatności i standardowych klauzul umownych UE to niezwykle cenne zasoby, które powinny być wykorzystywane przez profesjonalistów w celu zapewnienia zgodności z RODO.

Jednak w sytuacji konfliktu między różnymi jurysdykcjami różnice między różnymi krajowymi przepisami dotyczącymi ochrony danych osobowych mogą prowadzić do niejasności. Mimo że wytyczne zawarte w mapie drogowej są szeroko zakrojone, nadal nie są wiążące. W przeszłości UNCITRAL i IBA skłaniały się ku zapewnieniu harmonizacji w arbitrażu międzynarodowym poprzez swoje zasady, wytyczne i podobne; chociaż nie są one wiążące, z pewnością są przekonujące. Tak jak UNCITRAL i IBA próbowały to zrobić z różnymi aspektami międzynarodowego arbitrażu, istnieje również pilna potrzeba harmonizacji wymogów ochrony danych osobowych w odniesieniu do arbitrażu; w związku z tym należy wprowadzić wymagane wytyczne z myślą o harmonizacji.

Podczas gdy harmonizacja, zrozumienie i świadomość wymogów zgodności z RODO i jego implikacji w kontekście arbitrażu międzynarodowego nadal brakuje, my, jako profesjonaliści arbitrażowi, będziemy nadal zadowalać się obecnie obowiązującymi ramami prawnymi. Niemniej jednak, pomimo swoich wad, Mapa Drogowa stanowi bardzo potrzebny i zachęcający krok w kierunku wspólnego zrozumienia obowiązków w zakresie ochrony danych osobowych dla uczestników postępowania arbitrażowego.

Zasoby

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. 2016 L 119/1.
  2. "Dane osobowe" zostały zdefiniowane w art. 4 RODO jako: (1) "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej".
  3. Zakres terytorialny RODO został określony w art. 3 w następujący sposób:
    1. "Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w kontekście działalności jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

    2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających siedziby w Unii, jeżeli czynności przetwarzania są związane z:

      (a) oferowaniem towarów lub usług - niezależnie od tego, czy wymagana jest płatność od podmiotu danych - takim podmiotom danych w Unii; lub

      (b) monitorowaniem ich zachowania, o ile zachowanie to ma miejsce w Unii.

    3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego siedziby w Unii, ale w miejscu, w którym na mocy międzynarodowego prawa publicznego ma zastosowanie prawo państwa członkowskiego".
  4. Zob. definicja "podmiotu przetwarzającego" w art. 4 RODO.
  5. Art. 83(4) RODO.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 stycznia 2019 r.), zob. www. simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 października 2020 r.), zob. www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), zob. www. arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, dostęp 18 sierpnia 2021 r.
  8. "The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, luty 2020 r.), zob. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, dostęp 18 sierpnia 2021 r.
  9. Tamże, 1.
  10. Sprawa PCA nr 2018-54.
  11. ICCA i New York City Bar oraz International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", zob. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostęp 18 sierpnia 2021 r.
  12. "Cybersecurity Guidelines" (IBA, październik 2018 r.), zob. www.ibanet.org/LPRU/Cybersecurity, dostęp 1 grudnia 2020 r.
  13. "ICC Guidance Note on Possible Measures Aim" (Międzynarodowa Izba Handlowa, 9 kwietnia 2020 r.), dostęp 18 sierpnia 2021 r.
  14. Plan działania, sekcja B.
  15. Tamże.
  16. Art. 4 RODO.
  17. Tamże.
  18. Art. 4 RODO
  19. Tamże, art. 3 ust. 1.
  20. Mapa drogowa, 7.
  21. Art. 4 RODO.
  22. Mapa Drogowa definiuje "uczestników postępowania arbitrażowego" jako "w tym strony, ich doradców prawnych, arbitrów i instytucje arbitrażowe (wyłącznie)". Zob. Mapa drogowa (n 3), 2.
  23. Art. 4 RODO.
  24. Zob. wyrok z dnia 29 lipca 2019 r., Fashion ID GmbH & Co KG przeciwko Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, pkt 74, 85. Zob. również wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Plan działania, 11
  26. Tamże, 12.
  27. Art. 5 i 12-22 RODO; Plan działania 14-15.
  28. Na przykład zgodnie z RODO przetwarzanie danych osobowych w kontekście arbitrażu międzynarodowego jest zgodne z prawem, gdy jest to konieczne do celów wynikających z uzasadnionych interesów administratora danych - z zastrzeżeniem ograniczeń opartych na interesach i prawach podstawowych osoby, której dane dotyczą - a dane wrażliwe mogą być przetwarzane na podstawie odstępstwa dotyczącego roszczeń prawnych (art. 9 ust. 2 lit. f)) w kontekście arbitrażu.
  29. Mapa drogowa, 19.
  30. Tamże, 20-21.
  31. Tamże, 30-31.
  32. Tamże, 32.
  33. Tamże, 33-36.
  34. Tamże, 37-39.
  35. Tamże, 37.
  36. Tamże, 39.
  37. Tamże, 40-41.
  38. Tamże, 42.
  39. Tamże, 43.
  40. Art. 5(1)(e) RODO.
  41. Mapa drogowa, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 sierpnia 2019 r.), zob. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, dostęp 18 sierpnia 2021 r.
  43. Komisja Europejska uznała, że kraj ten zapewnia odpowiednią ochronę danych.
  44. W przypadku arbitrażu międzynarodowego będzie to najprawdopodobniej standardowa klauzula umowna.
  45. Odstępstwo dotyczące roszczeń prawnych, zezwalające na przekazywanie danych, gdy jest to "niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych", ma największe zastosowanie w kontekście arbitrażu.
  46. Ze względu na wysoki próg i wymóg powiadomienia, poleganie na istotnych uzasadnionych interesach ma niewielkie znaczenie praktyczne. Zob. EROD, "Wytyczne 2/2018 w sprawie odstępstw od art. 49 na mocy rozporządzenia 2016/679", 6 lutego 2018 r. (Wytyczne dotyczące przekazywania danych).
  47. Mapa drogowa, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 sierpnia 2019 r.), zob. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [dostęp: 18 sierpnia 2021 r.].
  49. Sprawa PCA nr 2018-54.
  50. Ibid, Komunikat Trybunału do stron (Perm Ct Arb, 2019).
  51. Mapa drogowa, 37.
  52. ICCA i New York City Bar oraz International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), zob. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostęp 18 sierpnia 2021 r.
  53. "Cybersecurity Guidelines" (IBA, październik 2018 r.), zob. www. ibanet.org/LPRU/Cybersecurity, dostęp 1 grudnia 2020 r.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18 lipca 2020 r.), zob. arbitrationblog. kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, dostęp 18 sierpnia 2021 r.
  55. "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 kwietnia 2020 r.), dostęp 18 sierpnia 2021 r.
  56. "Finansowanie przez osoby trzecie w arbitrażu międzynarodowym: The ICCA-QMUL report", (ICCA, maj 2018 r.), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, dostęp 18 sierpnia 2018 r.
  57. Mapa drogowa, 2.
  58. Tamże, 23-25.
  59. Art. 4(2) RODO, zob. pkt 1 powyżej.
  60. Art. 6(1)(f) RODO.
  61. Allan J. Arffa i inni, "GDPR Issues in International Arbitration" (Lexology, 10 sierpnia 2020 r.), zob. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, dostęp 18 sierpnia 2021 r.
  62. Mapa drogowa, załącznik 5.
  63. Allan J. Arffa i inni, "GDPR Issues in International Arbitration" (Lexology, 10 sierpnia 2020 r.), zob. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, dostęp 18 sierpnia 2021 r.
  64. Mapa drogowa 40-41.
  65. Zob. na przykład: David M. Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Tamże; Richmark Corp przeciwko Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 lutego 2020 r.), zob. www. bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, dostęp 18 sierpnia 2021 r.
  68. David M. Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
  70. Tamże. Born przytacza następujące orzeczenia, aby wzmocnić ten argument: Wyrok z dnia 22 stycznia 2004 r., Société Nat'l Cie for Fishing & Marketing "Nafimco" przeciwko Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "decyzja trybunału arbitrażowego o nakazaniu ujawnienia informacji mieści się w ramach jego uznania proceduralnego i nie może być poddana kontroli sądów"; Karaha Bodas Co przeciwko Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Żądania ujawnienia informacji "mieszczą się w rozsądnym zakresie uznania Trybunału".
  71. Natalia M. Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 grudnia 2019 r.), zob. www. natlawreview.com/article/gdpr-and-international-arbitration-crossroads, dostęp 18 sierpnia 2021 r.
  72. Konwencja nowojorska, art. V ust. 2: "Uznania i wykonania orzeczenia arbitrażowego można również odmówić, jeżeli właściwy organ w kraju, w którym wnosi się o uznanie i wykonanie, stwierdzi, że... (b) uznanie lub wykonanie orzeczenia byłoby sprzeczne z porządkiem publicznym tego kraju".
  73. Sekretarz Generalny ONZ, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), art. 34, ust. 6.
  74. Ustawa modelowa UNCITRAL o międzynarodowym arbitrażu handlowym, art. 34(2): "Orzeczenie arbitrażowe może zostać uchylone przez sąd określony w art. 6 tylko wtedy, gdy...(b) sąd stwierdzi, że... (ii) orzeczenie jest sprzeczne z porządkiem publicznym tego państwa".
  75. Wyrok z dnia 1 czerwca 1999 r., Eco Swiss China Time Ltd przeciwko Benetton International NV C-126/97 [1999] ECR I-03055, par. 39 i 41. Szczegółowe omówienie polityki publicznej UE, zob: Sacha Prechal i Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka i Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Tamże.
  78. Bardziej szczegółowe omówienie tych i innych kwestii można znaleźć w: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" w José R Mata Dona i Nikos Lavranos (red.), International Arbitration and EU Law (Edward Elgar Publishing, 2021) pkt 5.63 i n.; Cervenka i Schwarz, zob. n 76 powyżej, 84-85.
  79. "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes" (ICCA, luty 2020 r.), zob. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, dostęp 18 sierpnia 2021 r.

Niniejszy artykuł został po raz pierwszy opublikowany w "Dispute Resolution International", tom 15 nr 2, październik 2021 r. i jest powielany za uprzejmą zgodą International Bar Association, Londyn, Wielka Brytania. © Międzynarodowe Stowarzyszenie Prawników.

Powrót do przeglądu