Языки

Столкновение титанов: GDPR и международный арбитраж - взгляд в будущее

Публикации: ноября 10, 2021

Вернуться к обзору

Авторы

Катрин Раудашль

Похожие руководства для экспертов

Введение

В последние годы возникли вопросы о практических последствиях конфиденциальности персональных данных и кибербезопасности для фактического проведения международных арбитражных разбирательств - особенно с учетом постоянного темпа технологических изменений.

Общий регламент по защите данных (GDPR)[1] отметил свой второй день рождения в мае 2020 года. Система защиты персональных данных GDPR направлена на обеспечение свободного перемещения персональных данных "идентифицированных или поддающихся идентификации физических лиц".[2] Она применяется на территории Европейского союза и имеет экстерриториальную сферу действия, которая может распространяться за пределы ЕС;[3] GDPR может затрагивать не только всех физических или юридических лиц, но и налагает обязательства по защите персональных данных на государственные органы, агентства и другие структуры - возможно, включая международные организации.[4] Санкции по GDPR могут составлять 4 процента от мирового годового оборота нарушителя за предыдущий финансовый год или 20 миллионов евро, в зависимости от того, какая сумма больше.[5] Необходимость серьезного подхода к применению GDPR уже подтверждена многомиллионными штрафами, наложенными в разных юрисдикциях.[6]

Хотя применение законов о защите персональных данных в арбитраже установлено, способ, которым эти законы должны применяться, не определен. По этой причине Международный совет по коммерческому арбитражу (ICCA) и Международная ассоциация юристов (IBA) в феврале 2019 года создали совместную целевую группу по защите данных в международном арбитражном разбирательстве с целью подготовки руководства, содержащего практические рекомендации по защите персональных данных в международном арбитраже. Целевая группа опубликовала консультационный проект этого руководства в марте 2020 г.[7] Настоящий комментарий будет основан на этом проекте "дорожной карты" ("дорожная карта"),[8] а окончательная, пересмотренная версия "дорожной карты", как ожидается, будет опубликована в сентябре 2021 года. Несмотря на то, что на момент подготовки настоящего документа срок представления комментариев по консультационному проекту истек, предварительный вариант "дорожной карты", тем не менее, является иллюстрацией вопросов, поднимаемых GDPR в международных арбитражах. Поэтому он будет использован в качестве основы для обсуждения.

Большинство законов о защите персональных данных являются обязательными для применения в арбитражных разбирательствах, то есть они предписывают:

  • какие персональные данные могут обрабатываться;
  • где;
  • какими средствами;
  • с применением каких мер информационной безопасности; и
  • в течение какого времени.[9]

Однако в них не рассматривается вопрос о том, как эти обязательные обязательства должны соблюдаться в ходе арбитражного разбирательства. В отсутствие конкретных указаний со стороны регулирующих органов "дорожная карта" призвана помочь специалистам по арбитражу определить и понять обязательства по защите персональных данных и конфиденциальности, которые могут возникнуть в контексте международного арбитража. Кроме того, степень защиты GDPR остается актуальной в международных арбитражных разбирательствах, главным образом в отношении того, применяются ли законы GDPR к арбитражным разбирательствам, проводимым за пределами ЕС. Если будет установлено, что GDPR применяется к арбитражу, это повлечет за собой различные последствия: во-первых, запрет на обработку персональных данных и, во-вторых, ограничения на передачу персональных данных за пределы ЕС. Наконец, в связи с участившимися кибератаками последствия такой атаки на арбитраж могут повлечь за собой значительные убытки.

Цель данной статьи - дать комментарии к Дорожной карте и рассмотреть практические меры, которые следует учитывать в отношении обязательств по защите персональных данных в ходе международного арбитражного разбирательства. В ней Дорожная карта рассматривается как многообещающий, хотя и неполный инструмент, дополняющий различные попытки "мягкого права" гармонизировать международный арбитраж, предпринимавшиеся до сих пор, в первую очередь документы МБА и Комиссии ООН по праву международной торговли (ЮНСИТРАЛ).

Вначале будет дано краткое резюме "дорожной карты", включающее ссылку на принципы GDPR. Это не претендует на всеобъемлющий обзор, а скорее знакомит с основными положениями Дорожной карты, чтобы дать читателю контекст для последующего обсуждения. Во-вторых, будет дан комментарий, затрагивающий шесть актуальных вопросов:

  • применимость GDPR к арбитражным разбирательствам, проводимым за пределами ЕС;
  • GDPR в контексте арбитражных разбирательств по Североамериканскому соглашению о свободной торговле (НАФТА), как показано в деле Tennant Energy, LLC v Government of Canada;[10]
  • вопрос о видеоконференциях, значение которых значительно возросло в период пандемии COVID-19, включая ссылки на "Протокол ICCA-NYC Bar-CPR по кибербезопасности в международном арбитраже" (Протокол по кибербезопасности)[11], Руководство IBA по кибербезопасности[12] и Руководство ICC по возможным мерам, направленным на смягчение последствий пандемии COVID-19;[13]
  • "сторонние финансисты" и то, как они учитываются в Дорожной карте;
  • злоупотребление GDPR, особенно в качестве защиты для неразглашения информации; и
  • возможность использования несоблюдения требований по защите персональных данных в качестве пути к аннулированию или отказу в признании и приведении в исполнение арбитражного решения.

Заключительные соображения будут представлены в заключении.

Дорожная карта

Физические и юридические лица несут обязательства по защите персональных данных субъектов данных. Арбитраж сам по себе не является объектом обязательств по защите персональных данных. Однако, если только один из участников арбитража несет обязательства по защите персональных данных, это может повлиять на арбитраж в целом. От того, подпадает ли обработка персональных данных под действие соответствующих законов, материальной и юрисдикционной сферы, зависит, будут ли применяться законы о защите персональных данных[14].

Современные законы о защите персональных данных применяются во всех случаях, когда персональные данные субъекта данных обрабатываются в ходе деятельности, подпадающей под юрисдикцию соответствующих законов о защите персональных данных.[15] Персональные данные включают "любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу".[16] В ходе типичного арбитражного разбирательства происходит обмен значительными объемами информации, касающейся, в частности, сторон, их адвокатов, суда и третьих лиц. Как таковые, они, скорее всего, подпадают под определение "персональных данных". Под "субъектами данных" понимаются вышеупомянутые лица, которые идентифицированы или поддаются идентификации.[17] Обработка включает активные и пассивные операции, таким образом, охватывая использование, распространение и удаление персональных данных, а также получение, систематизацию и хранение персональных данных.[18] Сфера применения охватывает действия, когда персональные данные обрабатываются в контексте деятельности учреждения контролера или процессора в ЕС[19] и экстерриториально, например, когда персональные данные передаются за пределы ЕС юридическим или физическим лицам, которые по другим причинам не подпадают под действие GDPR.[20]

Арбитры будут квалифицироваться как контролеры данных, что означает, что они будут нести ответственность за соблюдение законов о защите персональных данных. Однако, исходя из определения "контролера данных",[21] большинство участников арбитражного разбирательства[22], вероятно, будут считаться таковыми, включая адвоката, стороны и учреждение. Контролеры данных могут делегировать обработку данных обработчикам данных,[23] которые будут находиться под их контролем и требовать заключения соглашений об обработке данных на условиях, предусмотренных применимым законодательством. Таким образом, секретари, транскрибаторы, переводчики и другие лица, скорее всего, будут считаться обработчиками данных. Существует также вопрос о совместных контролерах, которые совместно определяют цели и способы обработки данных. Совместный контроль имеет широкое толкование, но ответственность совместного контролера ограничивается только той обработкой, которую определил контролер, ее целями и средствами, а не всей обработкой в целом[24].

В международных арбитражах ограничения на передачу персональных данных между юрисдикциями являются очевидным способом применения законов о защите персональных данных. Происхождение различных участников арбитражного разбирательства определяет применение различных режимов защиты персональных данных. Современные законы о защите персональных данных ограничивают передачу персональных данных в третьи страны, чтобы исключить возможность обхода правовых обязательств путем передачи персональных данных в юрисдикции с более низкими стандартами защиты персональных данных.[25] GDPR разрешает передачу персональных данных в третьи страны, если имеет место одно из следующих условий:

  • страна признана Комиссией ЕС обеспечивающей адекватную защиту персональных данных;
  • введена одна из явно перечисленных мер защиты;
  • отступление, разрешающее передачу данных, если это необходимо для установления, осуществления или защиты юридических претензий; или
  • убедительный законный интерес стороны.[26]

Эти правила распространяются на участников арбитража, а не на арбитраж в целом, поэтому каждый участник арбитража обязан продумать, какие ограничения на передачу персональных данных к нему применимы.

Принципы защиты персональных данных, применяемые в арбитраже, включают справедливую и законную обработку, соразмерность, минимизацию данных, ограничение целей, права субъектов данных, точность, безопасность данных, прозрачность и подотчетность[27].

Некоторые из этих принципов требуют дополнительных комментариев. Справедливая и законная обработка означает, что персональные данные должны обрабатываться только таким образом, которого разумно ожидают субъекты данных, и что для обработки должно быть законное основание. Применяя принцип справедливости, сторона и ее адвокат должны задаться вопросом, ожидали ли они в контексте всех фактов, что их персональные данные будут обрабатываться таким образом, приведет ли это к негативным последствиям для них и оправданы ли эти последствия. Этот принцип не препятствует тому, чтобы персональные данные, найденные в деловой электронной почте, были приняты в качестве доказательства.

Понятие законной обработки подразумевает наличие правовой основы, которая зависит от фактов и конкретного случая. Вместо того чтобы полагаться на согласие, следует использовать конкретные правовые основания, предусмотренные GDPR[28].

Пропорциональность требует рассмотрения характера, объема, контекста и целей обработки в связи с рисками, которым подвергается субъект данных[29]. Минимизация данных требует от участников арбитража ограничивать обработку персональными данными, которые являются адекватными, актуальными и ограниченными тем, что необходимо.[30] Прозрачность требует, чтобы субъекты данных были уведомлены об обработке и целях обработки персональных данных посредством общих уведомлений, специальных уведомлений или и того, и другого.[31] Подотчетность связана с личной ответственностью за соблюдение требований защиты данных, что означает, что участники арбитража должны документировать все меры по защите персональных данных и принятые решения, чтобы продемонстрировать соблюдение требований.[32]

Соблюдение требований по защите персональных данных затрагивает отдельные этапы международного арбитражного разбирательства, причем не только во время самого арбитража, но и в ходе подготовки к нему. Участники арбитражного разбирательства должны с самого начала определить, какие законы о защите персональных данных применяются к ним самим и другим участникам арбитражного разбирательства, и какие участники арбитражного разбирательства будут обрабатывать персональные данные в качестве контролеров, обработчиков или совместных контролеров. Также следует рассмотреть правила передачи персональных данных в третьи страны и соглашения об обработке персональных данных, касающиеся сторонних поставщиков услуг. В процессе сбора и рассмотрения документов сторонам и их юрисконсультам необходимо определить законные основания для деятельности по обработке и передаче персональных данных в третьи страны[33].

Просьба об арбитраже, а также последующие представления будут включать персональные данные, которые полностью подпадают под сферу обработки. Если арбитражное учреждение связано применимым законодательством о защите персональных данных, ему необходимо учитывать потенциальные обязательства по защите персональных данных, которые применяются на каждом процессуальном этапе. Если арбитражное учреждение подпадает под действие GDPR, оно, как правило, становится контролером персональных данных. Чтобы соответствовать статьям 13 и 14 GDPR, такое учреждение должно включить в свое уведомление о конфиденциальности информацию о мерах безопасности, осуществлении прав субъектов данных, ведении записей, а также о политике нарушения и хранения данных.[34] Однако международные организации, управляющие арбитражными процессами на уровне инвесторов, могут быть исключены из сферы действия законов о защите персональных данных в силу привилегий и иммунитетов, предусмотренных в государстве-учредителе или в соглашении с принимающей страной. Таким образом, в данном случае необходимо принимать отдельные решения, включая, в частности, вопрос о том, связана ли организация законами о защите персональных данных и распространяется ли - и в какой степени - на участников арбитража действие привилегий и иммунитетов[35].

При назначении арбитров в арбитражный суд обычно происходит обмен значительным количеством персональных данных потенциальных арбитров. Участники арбитражного разбирательства должны указывать правовые основания для обработки этих персональных данных в своих юридических уведомлениях и прямо уведомлять арбитров, кандидатуры которых рассматриваются для назначения, об обработке их персональных данных, особенно в случае передачи персональных данных в третьи страны[36].

После начала арбитражного разбирательства следует заблаговременно распределить обязанности по соблюдению требований защиты персональных данных, чтобы минимизировать риски. Вопросы защиты персональных данных должны быть включены в повестку дня первой процессуальной конференции, а участники арбитражного разбирательства должны попытаться как можно раньше договориться о том, как обеспечить соблюдение требований по защите персональных данных. Стороны, их адвокаты и арбитры должны рассмотреть возможность заключения протокола о защите персональных данных для эффективного решения вопросов соблюдения требований. Если это невозможно, альтернативным вариантом является включение Трибуналом этих вопросов в Процедурный приказ номер один[37].

В процессе подготовки и раскрытия документов особенно актуален принцип минимизации персональных данных. Согласно GDPR, это, скорее всего, потребует:

  • ограничение раскрываемых персональных данных только теми, которые являются актуальными и не дублируют друг друга;
  • идентификации персональных данных, содержащихся в ответных материалах; и
  • редактирование или псевдонимизация ненужных персональных данных.

Эти вопросы также должны рассматриваться на ранних этапах разбирательства, предпочтительно на первой процедурной конференции или до нее[38].

Когда дело доходит до вынесения арбитражных решений, арбитры и учреждения должны рассмотреть основания и необходимость включения персональных данных в арбитражные решения. Если арбитраж носит конфиденциальный характер, то, тем не менее, существует риск того, что решение станет публичным после приведения его в исполнение. Даже если персональные данные отредактированы, они, как правило, остаются персональными данными, поскольку субъект данных может быть идентифицирован по остальной части арбитражного решения или связанным с ним материалам[39].

Хранение и удаление данных считаются обработкой в соответствии с GDPR, который предусматривает, что персональные данные должны "храниться в форме, позволяющей идентифицировать субъект данных, не дольше, чем это необходимо для целей обработки персональных данных"[40]. Контролеры должны учитывать, документировать и обосновывать продолжительность хранения. Участники арбитражного разбирательства должны рассмотреть вопрос о том, какой срок хранения данных является разумным, и должны применять соразмерный подход, чтобы сбалансировать свои потребности с последствиями хранения данных для субъекта[41].

Применимость GDPR к арбитражным разбирательствам, проводимым за пределами ЕС

Территориальная сфера действия Общего регламента по защите данных относительно широка. Практикующие юристы должны знать о его применении независимо от того, находятся ли они или арбитраж проводится на территории ЕС. GDPR применяется к обработке персональных данных контролерами или процессорами, созданными в ЕС, независимо от того, происходит ли сама обработка на территории ЕС (статья 3(1)). Кроме того, когда речь идет о предложении товаров или услуг гражданам ЕС или о мониторинге поведения, происходящего на территории ЕС, GDPR применяется к обработке персональных данных контролером или процессором, не учрежденным в ЕС (статья 3(2)).

Применительно к арбитражному контексту GDPR налагает обязательства на контролеров и обработчиков данных - арбитров, адвокатов, стороны и учреждения, - которые попадают в его материальную и территориальную сферу действия, а не непосредственно на арбитражное разбирательство. Даже если только один участник арбитражного разбирательства имеет отношение к ЕС, он будет обязан обрабатывать персональные данные в соответствии с GDPR. Могут возникнуть последствия для всего арбитражного разбирательства в целом[42].

Возможно, наиболее заметными в контексте международного арбитража, где передача арбитражных материалов, содержащих персональные данные, является обычным делом, являются ограничения на передачу персональных данных в "третьи страны" за пределами Европейской экономической зоны (ЕЭЗ). В этом случае для передачи персональных данных требуется одно из четырех законных оснований. Во-первых, передача в третью страну разрешена, если в отношении этой страны принято решение о достаточности (Статья 45(1)).[43] Если это не так, то, по возможности, следует применить одну из соответствующих гарантий (Статья 46(1)).[44] Если решение об адекватности отсутствует, а соответствующая гарантия невыполнима, можно прибегнуть к специальному отступлению (Статья 49(1)).[45] Наконец, в отсутствие вышеупомянутого, сторона может полагаться на убедительный законный интерес (Статья 49(1))[46] в качестве законного основания для передачи персональных данных третьей стороне.

В "Дорожной карте" достаточно полно изложены необходимые соображения, которые должны учитывать участники арбитражного разбирательства. В ней неоднократно подчеркивается, что именно к участникам арбитража, а не к арбитражу как таковому, применяются принципы защиты персональных данных и правила передачи.[47] В соответствии с этим напрашивается предположительный вывод, что арбитр из ЕС в арбитраже, который находится за пределами ЕС и на который GDPR не распространяется, тем не менее должен соблюдать требования GDPR в отношении обработки и передачи персональных данных. Это действительно общепринято в коммерческих арбитражных разбирательствах,[48] но ситуация не столь однозначна, когда речь идет об арбитраже, проводимом инвесторами.

Дело Tennant Energy, LLC v Government of Canada

В 2019 году в арбитражном разбирательстве по главе 11 НАФТА Tennant Energy, LLC v Government of Canada (Tennant)[49] истец Tennant поднял вопрос о применении GDPR к разбирательству в свете гражданства и домициля Великобритании одного из членов трибунала. Однако трибунал дал указания сторонам, указав, что "арбитраж по главе 11 НАФТА - договору, участником которого не являются ни Европейский союз, ни его государства-члены, - предположительно не подпадает под действие GDPR"[50].

Важно проводить различие между арбитражем, основанным на договоре, и коммерческим арбитражем, причем Теннант относится к первой категории. В "Дорожной карте" проводится это различие, отмечается, что международные организации могут быть исключены из сферы действия законов о защите персональных данных.[51] На членов трибунала в арбитраже по делу Теннанта могут распространяться определенные иммунитеты, вытекающие из соглашения о штаб-квартире Постоянной палаты третейского суда (ППТС) с Нидерландами. Однако трибунал НАФТА не рассматривал вопрос о том, будет ли ППТС как международная организация подпадать под действие правил передачи GDPR или будут ли члены трибунала пользоваться определенными иммунитетами, вытекающими из этого соглашения.

Указание Теннанта ставит больше вопросов, чем дает ответов, относительно применимости GDPR к разбирательствам НАФТА и арбитражным разбирательствам на основе международных договоров в целом, и их подробное обсуждение выходит за рамки данной темы. Тем не менее, указание Теннанта, рассматриваемое в свете "дорожной карты", свидетельствует о том, что эта тема остается крайне неопределенной. В лучшем случае сомнительно, что "дорожная карта" вносит какую-либо ясность для участников арбитража, сталкивающихся с подобным вопросом, учитывая, в частности, что "дорожная карта" была издана после вынесения указания Теннанта, но не предоставила последнему никакого внимания.

Вопрос о видеоконференциях

Дорожная карта признает важность безопасности персональных данных. Однако с учетом того, что в последнее время используются дополнительные технологии для проведения виртуальных слушаний, а также для работы из дома - в основном это обусловлено нынешними обстоятельствами, навязанными нам пандемией Ковид-19, - этот вопрос приобретает дополнительный вес. Протокол по кибербезопасности[52] и Руководство по кибербезопасности IBA[53] пролили свет на этот вопрос.

Как и "Дорожная карта", Протокол по кибербезопасности устанавливает несколько основополагающих принципов. Применяется принцип соразмерности, Трибунал обладает полномочиями и дискреционными полномочиями для определения применяемых мер безопасности, а информационная безопасность - это вопрос, который должен обсуждаться на первой конференции по рассмотрению дела. В Приложении А к Протоколу о кибербезопасности приводится контрольный список, который стороны арбитража могут использовать для обеспечения безопасности разбирательства.

После недавних изменений в режиме работы и обстановке, вызванных пандемией Ковид-19, этим вопросам следует уделять больше внимания. В мире, который вынужден искать новые способы ведения бизнеса и адаптироваться к временам неопределенности, одной из проблем, с которой столкнулся юридический сектор, является вопрос проведения слушаний в сочетании с ограничениями и необходимостью социального дистанцирования. Поэтому популярность видеоконференций и их использование в международных арбитражных разбирательствах - это то, на что "дорожная карта" должна обратить внимание, но не сделала этого - или, по крайней мере, пока не сделала.

Хотя многие обсуждали и указывали на проблемы видеослушаний, большинство из них не рассмотрели, как к ним должны применяться законы о защите персональных данных, причем не только в отношении защиты персональных данных, но и в отношении безопасности, поскольку некоторые платформы подвергались атакам на безопасность[54].

Как уже говорилось выше, важно понимать различные роли сторон, участвующих в арбитражном разбирательстве в связи с GDPR, а именно кто является "контролерами данных" и "обработчиками данных". Если программное обеспечение для видеоконференций обрабатывает какие-либо персональные данные, например имя пользователя и адрес электронной почты, полученные в результате использования услуги стороной, оно будет считаться "обработчиком данных". Это означает, что они должны соблюдать правила GDPR, если кто-либо из участников проживает в ЕС. Поскольку Трибунал является "контролером данных", обеспечение такого соответствия будет возложено на Трибунал.

Международная торговая палата (ICC) выпустила руководство[55], в котором сторонам предлагаются положения о протоколах кибербезопасности и виртуальных слушаниях. В ней рассматривается аспект безопасности, но не рассматривается аспект защиты персональных данных. В "дорожной карте" следует обсудить возможности применения защиты персональных данных к слушаниям, проводимым виртуально, а также способы соблюдения этих требований. Хотя GDPR определяет требования, которые должны быть выполнены в отношении видеоконференций, он не дает указаний о том, как его требования могут быть применены напрямую.

Хотя "Дорожная карта" не содержит рекомендаций по конкретным поставщикам программного обеспечения, она могла бы составить и предоставить специалистам список необходимых спецификаций идеального программного обеспечения для видеослушаний, подобно тому как в приложениях к ней содержатся контрольные списки по различным другим вопросам.

Какое место занимают сторонние финансирующие организации?

Под сторонним финансирующим лицом понимается любая сторона, не являющаяся участником арбитражного разбирательства, которая заключает соглашение о финансировании всех или части расходов на разбирательство в обмен на сумму, полностью или частично зависящую от исхода дела.[56] Сторонние финансирующие лица имеют доступ к различным персональным данным участников арбитражного разбирательства, которые они финансируют или рассматривают возможность финансирования. Хотя "дорожная карта" прямо адресована только участникам арбитражных разбирательств, в ней говорится, что руководство актуально и для поставщиков услуг, которых также затрагивают требования по защите персональных данных[57].

В "дорожной карте" поставщики услуг включают "экспертов по электронному раскрытию информации, специалистов по информационным технологиям, судебных репортеров, переводчиков и т. д."[58], но сторонние финансирующие организации прямо не упоминаются. Согласно GDPR, сбор и хранение персональных данных относятся к обработке. Таким образом, если сторонние финансирующие организации собирают персональные данные других лиц, законы о персональных данных будут применяться и к ним[59].

GDPR разрешает стороне обрабатывать персональные данные, если "обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной"[60], что потенциально может быть приведено участниками арбитража в качестве применимого правового основания для обработки соответствующих персональных данных. Руководство по этому вопросу ограничено.[61] В "Дорожной карте" говорится следующее:

"Первым шагом в оценке законных интересов является определение законного интереса - какова цель обработки персональных данных и почему она важна для вас как контролера? В контексте арбитража законный интерес может включать в себя отправление правосудия, обеспечение соблюдения прав сторон и быстрое и справедливое разрешение претензий в соответствии с применимым арбитражным регламентом, а также многие другие интересы"[62].

Включение "многих других интересов", возможно, включает законный денежный интерес третьих лиц, финансирующих арбитраж. Если это так, то они, несомненно, будут обязаны заключать соглашения об обработке данных со сторонами арбитражного разбирательства и попадут в сферу действия норм и требований по защите персональных данных. Интересно, что в "дорожной карте" отсутствует четкое описание того, как сторонние финансирующие организации вписываются в эту картину, особенно учитывая рост их вовлеченности в арбитражные разбирательства.

Щит для неразглашения

Обязательства по защите персональных данных чреваты злоупотреблениями. Стороны арбитражного разбирательства могут недобросовестно использовать GDPR в качестве щита для предотвращения раскрытия информации, имеющей отношение к разбирательству или запрошенной контрагентом. Например, сторона может возражать против запроса на раскрытие информации, утверждая, что документы содержат персональные данные, не имеющие отношения к спору, или что редактирование персональных данных будет неоправданно обременительным[63].

В "Дорожной карте" рассматривается возможность злоупотреблений. В ней предлагается как можно раньше поднять и разъяснить обязательства по защите персональных данных, чтобы снизить риск их влияния на разбирательство. Участникам следует рассмотреть возможность заключения "протокола о защите данных" - соглашения о том, как защита персональных данных будет применяться в конкретном контексте. В качестве альтернативы, если подписание протокола о защите данных невозможно, эти вопросы должны быть рассмотрены в процессуальном приказе номер один[64].

Для сравнения можно рассмотреть соблюдение GDPR в ходе раскрытия информации в судебных процессах в США. Федеральные суды США применяют сбалансированные тесты для принятия решения о том, следует ли предписывать раскрытие информации или выполнение повесток или распоряжений о раскрытии информации, которые потенциально нарушают иностранные законы, включая законы о защите персональных данных.[65] Неполный список факторов, на которые обращают внимание федеральные суды США, включает в себя:

  • важность запрашиваемых документов или другой информации для судебного процесса;
  • степень конкретности запроса;
  • была ли информация получена в США;
  • наличие альтернативных способов получения информации; и
  • степень, в которой невыполнение запроса может подорвать важные интересы США.[66]

Чаще всего федеральные суды требуют раскрытия информации, несмотря на потенциальные нарушения иностранных законов о защите персональных данных[67].

Арбитры сталкиваются с иными соображениями, чем суды, при принятии решения о том, следует ли требовать раскрытия информации стороной. Верно, как утверждается в литературе,[68] что арбитражные суды должны учитывать конкурирующие права и обязанности в свете угрозы аннулирования или отказа в исполнении в соответствии с Конвенцией о признании и приведении в исполнение иностранных арбитражных решений 1958 года (Нью-Йоркская конвенция). Однако такая точка зрения не учитывает тот факт, что приказы о раскрытии информации подлежат минимальному пересмотру судами штатов, учитывая принцип невмешательства судебных органов.[69] Примеры того, как суды штатов воздерживаются от пересмотра приказов о раскрытии информации, многочисленны[70].

В свете свободы действий, предоставленной судам в процедурных вопросах, угроза аннулирования или отказа в исполнении вряд ли будет главным соображением. Неизбежность попыток сторон злоупотребить обязательствами GDPR, чтобы получить потенциальное процессуальное преимущество, поставит арбитражные суды перед необходимостью балансировать между интересами субъекта данных, с одной стороны, и поддержанием надежного процесса доказывания, с другой.[71] Разъяснение обязательств по соблюдению требований защиты персональных данных в самом начале разбирательства - предпочтительно в подписанном протоколе о защите данных - в соответствии с рекомендациями Дорожной карты представляется необходимым шагом для предотвращения такого поведения.

Несоблюдение требований по защите персональных данных как путь к аннулированию и отказу в признании и приведении в исполнение

В "Дорожной карте" не рассматривается вопрос о том, может ли несоблюдение требований по защите персональных данных использоваться для отмены арбитражного решения или отказа в его признании и приведении в исполнение. Стороны имеют весьма ограниченные возможности для обжалования арбитражных решений. Тем не менее, проигравшая сторона может захотеть оспорить его результаты и использовать одно из основных общих оснований для оспаривания арбитражного решения или отказа в его признании или приведении в исполнение.

В настоящее время Нью-Йоркская конвенция насчитывает 168 договаривающихся государств, что делает ее основной правовой основой для признания и приведения в исполнение иностранных арбитражных решений в международном коммерческом арбитраже. В статье V Конвенции предусмотрены ограниченные основания, по которым может быть отказано в признании и приведении в исполнение арбитражного решения. Наиболее значимым для настоящих целей является пункт 2 (b) статьи V, в котором признается возможность компетентного органа государства, подписавшего Конвенцию, отказать в признании или приведении в исполнение арбитражного решения, нарушающего публичный порядок[72].

Основания, по которым арбитражное решение может быть отменено, различаются в разных юрисдикциях. Типовой закон ЮНСИТРАЛ о международном торговом арбитраже, получивший широкое распространение, содержит перечень оснований для отмены в статье 34(2). Этот список был составлен по образцу статьи V Нью-Йоркской конвенции.[73] Статья 34(2)(b)(ii) гласит, что арбитражное решение может быть отменено судом, если оно противоречит публичному порядку государства.[74]

Европейский суд (ЕСП) постановил в деле Eco Swiss v Benetton, что отменяющие обязательные положения законодательства ЕС могут представлять собой фундаментальные нормы публичного порядка, нарушение которых может служить основанием для отмены арбитражного решения, основанного на таком основании в национальном законодательстве.[75] Таким образом, вопрос о том, может ли арбитражное решение быть отменено, или в его признании или приведении в исполнение будет отказано из-за несоблюдения требований по защите персональных данных, зависит от того, следует ли рассматривать нормы GDPR как отменяющие обязательные положения, нарушение которых противоречит национальному публичному порядку.[76]

Статья 9 (1) Регламента Рим I определяет непреодолимые обязательные положения как положения, "соблюдение которых рассматривается страной как решающее для обеспечения ее государственных интересов... в такой степени, что они применимы к любой ситуации, попадающей в сферу их действия, независимо от закона, применимого в ином случае". Как ранее признавали Червенка и Шварц, большинство правил GDPR, вероятно, можно считать отменяющими обязательные положения в соответствии с законодательством ЕС. Как таковое, их нарушение может рассматриваться как нарушение публичного порядка[77].

Возможность того, что несоблюдение требований по защите персональных данных может привести к аннулированию или непризнанию и неисполнению арбитражного решения, вызывает различные опасения. Во-первых, необходимо точно определить, какие обязательства по защите персональных данных будут представлять собой отменяющие обязательные положения, поскольку не все нарушения имеют одинаковый вес. В конечном счете, ЕСПЧ, вероятно, будет призван дать дополнительные разъяснения. Во-вторых, следует также учесть потенциальное злоупотребление возможностью оспорить или оспорить исполнение арбитражного решения на основании нарушения GDPR, чтобы предотвратить намеренное нарушение сторонами правил защиты персональных данных с целью получения возможности обжалования арбитражного решения в более позднее время. Наконец, следует определить, будут ли нормы о защите персональных данных частью процессуального или материального права и каким образом[78].

Хотя многое еще предстоит определить, следует рассмотреть последствия несоблюдения требований о защите персональных данных для отмены, а также признания и приведения в исполнение арбитражных решений. Очень интересно, что в "дорожной карте" об этом ничего не сказано.

Заключение

Дорожная карта призвана помочь арбитражным специалистам определить и понять обязательства по защите персональных данных и конфиденциальности, которые могут возникнуть у них в контексте международного арбитража. Однако, как уже говорилось ранее, в ней не рассматриваются некоторые конкретные вопросы, которые актуальны и насущны на сегодняшний день. Шесть вопросов, выявленных и подробно рассмотренных в данном документе, следующие:

  • применимость GDPR к арбитражным разбирательствам, проводимым за пределами ЕС;
  • GDPR в контексте арбитражных разбирательств в рамках НАФТА;
  • вопрос о виртуальных арбитражных слушаниях;
  • сторонние финансирующие организации и их место в Дорожной карте;
  • возможные злоупотребления GDPR; и
  • потенциальное несоблюдение GDPR как путь к аннулированию или отказу в признании и приведении в исполнение арбитражного решения.

Каждый из этих вопросов потребует дальнейшего осмысления, поскольку, по прогнозам, в ближайшие годы они станут еще более актуальными. Хочется надеяться, что было показано, что они достойны включения в Дорожную карту.

Приложения[79], добавленные к Дорожной карте, призваны помочь профессионалам практически справиться с этими требованиями. Добавление Контрольного списка по защите данных, Контрольного списка по оценке законных интересов, примеров уведомлений о конфиденциальности и стандартных контрактных положений ЕС - все это чрезвычайно ценные ресурсы, которые должны использоваться профессионалами для обеспечения соответствия GDPR.

Однако в конфликтной ситуации между различными юрисдикциями различия между различными национальными законодательствами, касающимися защиты персональных данных, могут привести к двусмысленности. Несмотря на то, что рекомендации, представленные в Дорожной карте, имеют широкий спектр, они все же не являются обязательными. В прошлом ЮНСИТРАЛ и МБА склонялись к гармонизации международного арбитража с помощью своих правил, руководств и т. п.; хотя они и не являются обязательными, они, безусловно, имеют убедительный характер. Как ЮНСИТРАЛ и МБА пытались сделать это в отношении различных аспектов международного арбитража, так и существует острая необходимость в гармонизации требований по защите персональных данных в отношении арбитража; таким образом, необходимо разработать необходимые руководства с учетом гармонизации.

Пока гармонизация, понимание и осведомленность о требованиях GDPR и их последствиях в контексте международного арбитража остаются недостаточными, мы, специалисты в области арбитража, будем продолжать обходиться существующей правовой базой. Тем не менее, несмотря на свои недостатки, "дорожная карта" представляет собой столь необходимый и обнадеживающий шаг в направлении общего понимания обязательств по защите персональных данных для участников арбитража.

Ресурсы

  1. Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC (Общий регламент по защите данных), OJ 2016 L 119/1.
  2. Персональные данные" определены в ст. 4 GDPR как: (1) "персональные данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу ("субъекту данных"); идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификатору, такому как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или по одному или более факторам, характерным для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица".
  3. Территориальная сфера действия GDPR определена в статье 3 следующим образом:
    1. "Настоящее Положение применяется к обработке персональных данных в контексте деятельности учреждения контроллера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет.

    2. Настоящее Положение применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не учрежденным в Союзе, если деятельность по обработке связана с:

      (a) предложением товаров или услуг, независимо от того, требуется ли оплата со стороны субъекта данных, таким субъектам данных в Союзе; или

      (b) мониторингом их поведения в той мере, в какой это поведение имеет место на территории Союза.

    3. Настоящее Положение применяется к обработке персональных данных контролером, не учрежденным в Союзе, но находящимся в месте, где законодательство государства-члена применяется в силу международного публичного права".
  4. См. определение "обработчика" в ст. 4 GDPR.
  5. Ст. 83(4), GDPR.
  6. Крупнейший штраф в соответствии с GDPR, наложенный на Google" (Simmons + Simmons, 22 января 2019 г.), см. www. simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways оштрафована на 20 млн фунтов стерлингов из-за утечки данных" (BBC, 16 октября 2020 г.), см. www.bbc.com/news/technology-54568784.
  7. Совместная целевая группа ICCA-IBA по защите данных в международном арбитраже" (ICCA), см. www. arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, доступ 18 августа 2021 г.
  8. Дорожная карта ICCA-IBA по защите данных в международном арбитраже" (ICCA, февраль 2020 г.), см. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, доступ 18 августа 2021 г.
  9. Там же, 1.
  10. Дело ППТС № 2018-54.
  11. ICCA и Нью-Йоркская коллегия адвокатов и Международный институт по предотвращению и разрешению конфликтов, "Протокол ICCA-NYC Bar-CPR по кибербезопасности в международном арбитраже (издание 2020 года)", см. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, доступ 18 августа 2021 года.
  12. Руководство по кибербезопасности" (IBA, октябрь 2018 г.), см. www.ibanet.org/LPRU/Cybersecurity, доступ 1 декабря 2020 г.
  13. Руководство ICC по возможным мерам" (Международная торговая палата, 9 апреля 2020 г.), доступ получен 18 августа 2021 г.
  14. Дорожная карта, раздел B.
  15. Там же.
  16. Статья 4, GDPR.
  17. Там же.
  18. Статья 4, GDPR
  19. Там же, статья 3(1).
  20. Дорожная карта, 7.
  21. Статья 4, GDPR.
  22. Дорожная карта определяет "участников арбитражного разбирательства" как "включая стороны, их юрисконсультов, арбитров и арбитражные учреждения (только)". См. Дорожную карту (n 3), 2.
  23. Статья 4, GDPR.
  24. См. решение от 29 июля 2019 г., Fashion ID GmbH & Co KG против Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, пункты 74, 85. См. также решение от 5 июня 2018 г., Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; решение от 10 июля 2018 г., Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Дорожная карта, 11
  26. Там же, 12.
  27. Статьи 5 и 12-22, GDPR; Дорожная карта, 14-15.
  28. Например, согласно GDPR, обработка персональных данных в контексте международного арбитража является законной, если она необходима для целей соблюдения законных интересов контролера данных - с учетом ограничений, основанных на интересах и основных правах субъекта данных, - а чувствительные данные могут обрабатываться в соответствии с отступлением от права требования (ст. 9(2)(f)) в контексте арбитража.
  29. Дорожная карта, 19.
  30. Там же, 20-21.
  31. Там же, 30-31.
  32. Там же, 32.
  33. Там же, 33-36.
  34. Там же, 37-39.
  35. Там же, 37.
  36. Там же, 39.
  37. Там же, 40-41.
  38. Там же, 42.
  39. Там же, 43.
  40. Ст. 5(1)(e), GDPR.
  41. Дорожная карта, 44.
  42. Эмили Хэй, "Невидимая рука GDPR в международном договорном арбитраже: Can't We Make It Goway?" (Kluwer Arbitration Blog, 29 августа 2019 г.), см. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, доступ 18 августа 2021 г.
  43. Комиссия ЕС сочла, что страна обеспечивает адекватную защиту данных.
  44. В случае международного арбитража это, скорее всего, будет стандартная договорная оговорка.
  45. Отступление от права требования, разрешающее передачу данных в случаях, "необходимых для установления, осуществления или защиты правовых требований", наиболее применимо в контексте арбитража.
  46. Из-за высокого порога и требования об уведомлении, опора на убедительные законные интересы не имеет практического значения. См. EDPB, "Руководство 2/2018 по отступлениям от статьи 49 в соответствии с Регламентом 2016/679", 6 февраля 2018 г. (Руководство по передаче данных).
  47. Дорожная карта, 8, 13.
  48. Эмили Хэй, "Невидимая рука GDPR в международном договорном арбитраже: Can't We Make It Goway?" (Kluwer Arbitration Blog, 29 августа 2019 г.), см. arbitrationblog. kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [доступ получен 18 августа 2021 г.].
  49. Дело ППТС № 2018-54.
  50. Там же, Сообщение трибунала сторонам (Perm Ct Arb, 2019).
  51. Дорожная карта, 37.
  52. ICCA и Нью-Йоркская коллегия адвокатов и Международный институт по предотвращению и разрешению конфликтов, "Протокол ICCA-NYC Bar-CPR по кибербезопасности в международном арбитраже (издание 2020 года)" (ICCA), см. cdn. arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, доступ 18 августа 2021 года.
  53. Руководство по кибербезопасности" (IBA, октябрь 2018 г.), см. www. ibanet.org/LPRU/Cybersecurity, доступ 1 декабря 2020 г.
  54. Андреас Респондек, Таша Лим, "Должна ли Целевая группа ICCA/IBA по защите данных в "дорожной карте" рассмотреть влияние GDPR на видеоконференции в международном арбитражном процессе?" (Kluwer Arbitration Blog, 18 июля 2020 г.), см. arbitrationblog. kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, доступ 18 августа 2021 г.
  55. Руководство ICC по возможным мерам, направленным на смягчение последствий пандемии COVID-19" (ICC, 9 апреля 2020 г.), доступ 18 августа 2021 г.
  56. Финансирование третьими сторонами в международном арбитраже: Отчет ICCA-QMUL", (ICCA, май 2018 г.), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, доступ 18 августа 2018 г.
  57. Дорожная карта, 2.
  58. Там же, 23-25.
  59. Ст. 4(2), GDPR, см. п. 1 выше.
  60. Ст. 6(1)(f), GDPR.
  61. Allan J Arffa and others, 'GDPR Issues in International Arbitration' (Lexology, 10 августа 2020 г.), см. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, доступ 18 августа 2021 г.
  62. Дорожная карта, Приложение 5.
  63. Allan J Arffa and others, 'GDPR Issues in International Arbitration' (Lexology, 10 августа 2020 г.), см. www. lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, доступ 18 августа 2021 г.
  64. Дорожная карта 40-41.
  65. См. например: David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
  66. Там же; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. 'Иностранные законы о защите данных в судебных процессах и международном арбитраже США' (Baker Botts, 6 февраля 2020 г.), см. www. bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, доступ 18 августа 2021 г.
  68. Дэвид М Ховард, "Иностранные законы о защите данных в международном арбитраже и судебной практике США" (2020) 55 Tex Int'l L J 395. 406.
  69. Гэри Борн, Международный коммерческий арбитраж (2-е изд., Kluwer Law International 2014), 2335.
  70. Там же. В подтверждение этого аргумента Борн приводит следующие судебные решения: Решение от 22 января 2004 года, Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Парижский апелляционный суд): "решение арбитражного суда о выдаче ордера на раскрытие информации относится к его процессуальному усмотрению и не может быть пересмотрено судами"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Запросы о раскрытии информации "находятся в пределах разумного применения дискреционных полномочий Трибунала".
  71. Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 December 2019), см. www. natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accessed 18 August 2021.
  72. Нью-Йоркская конвенция, ст. V(2): "В признании и приведении в исполнение арбитражного решения может быть также отказано, если компетентный орган страны, где испрашивается признание и приведение в исполнение, установит, что... (b) признание или приведение в исполнение арбитражного решения противоречило бы публичному порядку этой страны".
  73. Генеральный секретарь ООН, Аналитический комментарий к проекту текста типового закона о международном торговом арбитраже, A/CN.9/264 (1985), статья 34, пункт 6.
  74. Типовой закон ЮНСИТРАЛ о международном торговом арбитраже, статья 34 (2): "Арбитражное решение может быть отменено судом, указанным в статье 6, только если...(b) суд установит, что...(ii) решение противоречит публичному порядку данного государства".
  75. Постановление от 1 июня 1999 г., Eco Swiss China Time Ltd v Benetton International NV C-126/97 [1999] ECR I-03055, пп. 39 и 41. Подробное обсуждение государственной политики ЕС см: Sacha Prechal and Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. От Ван Шейнделя до Эко Швейцарии и далее" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka and Philipp Schwarz, 'Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts' (SchiedsVZ 2020, 78) 84.
  77. Там же.
  78. Более подробное обсуждение этих и других вопросов см: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, см. n 76 выше, 84-85.
  79. Дорожная карта ICCA-IBA по защите данных в международном арбитраже, Приложения" (ICCA, февраль 2020 г.), см. cdn. arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, доступ 18 августа 2021 г.

Данная статья была впервые опубликована в Dispute Resolution International, Vol 15 No 2, October 2021, и воспроизводится с любезного разрешения Международной ассоциации юристов, Лондон, Великобритания. © Международная ассоциация юристов.

Вернуться к обзору