Логотип Международной ассоциации юристов

Столкновение титанов: GDPR и международный арбитраж - взгляд в будущее

Автор: Нева Цирквени и Per Neuburger

Введение

В последние годы возникли вопросы о практических последствиях конфиденциальности персональных данных и кибербезопасности для фактического проведения международных арбитражных разбирательств - особенно с учетом постоянного темпа технологических изменений.

Общее положение о защите данных (GDPR)[i] отметил свой второй день рождения в мае 2020 года. Рамки защиты персональных данных GDPR направлены на обеспечение свободного перемещения персональных данных "идентифицированных или поддающихся идентификации физических лиц".[ii] Он применяется на территории Европейского союза и имеет экстерриториальную сферу действия, которая может распространяться за пределы ЕС;[iii] GDPR может затрагивать не только всех физических и юридических лиц, но и налагать обязательства по защите персональных данных на органы государственной власти, агентства и другие органы - возможно, включая международные организации.[iv] Санкции в соответствии с GDPR могут составить 4 процента от мирового годового оборота нарушителя за предыдущий финансовый год или 20 миллионов евро, в зависимости от того, что больше.[v] Необходимость серьезного подхода к его применению уже доказана многомиллионными штрафами, наложенными во многих юрисдикциях.[vi]

Хотя применение законов о защите персональных данных в арбитраже установлено, способ применения этих законов не определен. По этой причине Международный совет по коммерческому арбитражу (ICCA) и Международная ассоциация юристов (IBA) в феврале 2019 года создали Совместную целевую группу по защите данных в международном арбитражном разбирательстве с целью подготовки руководства, содержащего практические рекомендации по защите персональных данных в международном арбитраже. Целевая группа опубликовала консультационный проект этого руководства в марте 2020 года.[vii] Настоящий комментарий будет основан на этом проекте дорожной карты ("Дорожная карта"),[viii] Ожидается, что окончательный, пересмотренный вариант "дорожной карты" будет опубликован в сентябре 2021 года. Хотя на момент написания данной статьи срок подачи комментариев по консультационному проекту истек, предварительный вариант Дорожной карты, тем не менее, иллюстрирует вопросы, поднимаемые GDPR в международных арбитражах. Поэтому он будет использоваться в качестве основы для обсуждения.

Большинство законов о защите персональных данных являются обязательными для применения в арбитражном процессе, то есть они предписывают:

  • какие персональные данные могут обрабатываться;
  • где;
  • какими средствами;
  • с помощью каких мер информационной безопасности; и
  • как долго.[ix]

Однако в них не рассматривается вопрос о том, как эти обязательные обязательства должны соблюдаться в ходе арбитражного разбирательства. В отсутствие конкретных указаний со стороны регулирующих органов "дорожная карта" призвана помочь специалистам по арбитражу определить и понять обязательства по защите персональных данных и конфиденциальности, которые они могут нести в контексте международного арбитража. Кроме того, степень защиты GDPR остается актуальной в международных арбитражных разбирательствах, главным образом, вопрос о том, применяются ли законы GDPR к арбитражным разбирательствам, проходящим за пределами ЕС. Если будет установлено, что GDPR применяется к арбитражному разбирательству, это может иметь различные дальнейшие последствия: во-первых, запрещена ли обработка персональных данных и, во-вторых, существуют ли ограничения на передачу персональных данных за пределы ЕС. Наконец, в связи с растущей частотой кибератак последствия такой атаки на арбитраж могут повлечь за собой значительные убытки.

Цель данной статьи - дать комментарии к Дорожной карте и рассмотреть практические меры, которые следует учитывать в отношении обязательств по защите персональных данных в международном арбитражном разбирательстве. В ней Дорожная карта рассматривается как многообещающий, хотя и неполный инструмент, дополняющий различные попытки "мягкого права" гармонизировать международный арбитраж, предпринимавшиеся до сих пор, в частности, инструменты МБА и Комиссии ООН по праву международной торговли (ЮНСИТРАЛ).

Вначале будет дано краткое резюме "Дорожной карты", включающее ссылки на принципы GDPR. Это не претендует на всеобъемлющий обзор, а скорее представляет основные положения Дорожной карты, чтобы дать читателю контекст для последующего обсуждения. Во-вторых, будет дан комментарий, затрагивающий шесть актуальных вопросов:

  • применимость GDPR к арбитражным разбирательствам, проводимым за пределами ЕС;
  • GDPR в контексте арбитражных разбирательств по Североамериканскому соглашению о свободной торговле (NAFTA), как показано в деле Tennant Energy, LLC v Government of Canada;[x]
  • вопрос о видеоконференциях, значение которых значительно возросло в связи с пандемией Ковид-19, включая ссылки на "Протокол ICCA-NYC Bar-CPR по кибербезопасности в международном арбитраже" (Протокол по кибербезопасности)[xi] Руководство IBA по кибербезопасности[xii] и Руководство МУС по возможным мерам, направленным на смягчение последствий пандемии COVID-19;[xiii]
  • "сторонние финансисты" и как они учитываются в Дорожной карте;
  • злоупотребление GDPR, особенно в качестве щита для нераскрытия информации; и
  • возможность использования несоблюдения требований по защите персональных данных в качестве пути к аннулированию или отказу в признании и приведении в исполнение арбитражного решения.

Заключительные мысли будут представлены в заключении.

Дорожная карта

Физические и юридические лица несут обязательства по защите персональных данных субъектов данных. Арбитраж сам по себе не является субъектом обязательств по защите персональных данных. Однако, если только один из участников арбитража является субъектом обязательств по защите персональных данных, это может повлиять на арбитраж в целом. От того, подпадает ли обработка персональных данных под соответствующие законы, материальный и юрисдикционный охват, будет зависеть, применяются ли законы о защите персональных данных.[xiv]

Современные законы о защите персональных данных применяются во всех случаях, когда персональные данные субъекта данных обрабатываются в ходе деятельности, подпадающей под юрисдикцию соответствующих законов о защите персональных данных.[xv] Персональные данные включают "любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу".[xvi] В ходе типичного арбитражного разбирательства происходит обмен значительными объемами информации, касающейся, в частности, сторон, их адвокатов, суда и третьих лиц. Как таковые, они, вероятно, будут рассматриваться как подпадающие под определение "персональных данных". Под "субъектами данных" понимаются вышеупомянутые лица, которые идентифицированы или могут быть идентифицированы.[xvii] Обработка включает активные и пассивные операции, таким образом, охватывая использование, распространение и удаление персональных данных, а также получение, систематизацию и хранение персональных данных.[xviii] Сфера применения охватывает действия, когда персональные данные обрабатываются в контексте деятельности учреждения контроллера или процессора в ЕС[xix] и экстерриториальный характер, например, когда персональные данные передаются за пределы ЕС юридическим или физическим лицам, на которых по другим причинам уже не распространяется действие GDPR.[xx]

Арбитры будут квалифицироваться как контролеры данных, что означает, что они будут нести ответственность за соблюдение законов о защите персональных данных. Однако, исходя из определения "контроллера данных";[xxi] большинство участников арбитражного процесса[xxii] которые, вероятно, будут рассматриваться в качестве таковых, включая адвоката, стороны и учреждение. Контролеры данных могут делегировать обработку данных обработчикам данных,[xxiii] которые будут находиться под их контролем и потребуют заключения соглашений об обработке данных на условиях, предусмотренных действующим законодательством. Таким образом, секретари, стенографисты, переводчики и другие лица, скорее всего, будут считаться обработчиками данных. Существует также вопрос о совместных контролерах, которые совместно определяют цели и средства обработки данных. Совместный контроль имеет широкое толкование, но ответственность совместного контролера ограничивается только той обработкой, которую определил контролер, ее целью и средствами, а не обработкой в целом.[xxiv]

В международных арбитражах ограничения на передачу персональных данных между юрисдикциями являются очевидным способом применения законов о защите персональных данных. Предыстория различных участников арбитража будет определять применение различных режимов защиты персональных данных. Современные законы о защите персональных данных ограничивают передачу персональных данных в третьи страны, чтобы гарантировать, что юридические обязательства не будут обойдены путем передачи персональных данных в юрисдикции с более низкими стандартами защиты персональных данных.[xxv] GDPR разрешает передачу персональных данных в третьи страны, если происходит одно из следующих событий:

  • страна признана Комиссией ЕС обеспечивающей адекватную защиту персональных данных;
  • применяется одна из прямо перечисленных мер предосторожности;
  • отступление, позволяющее передавать информацию, если это необходимо для установления, осуществления или защиты юридических претензий; или
  • неоспоримый законный интерес стороны.[xxvi]

Эти правила применяются к участникам арбитража, а не к арбитражу в целом, поэтому каждый участник арбитража обязан рассмотреть, какие ограничения на передачу персональных данных применяются к нему.

Принципы защиты персональных данных, применяемые в арбитраже, включают справедливую и законную обработку, пропорциональность, минимизацию данных, ограничение цели, права субъектов данных, точность, безопасность данных, прозрачность и подотчетность.[xxvii]

Некоторые из этих принципов требуют дополнительных комментариев. Справедливая и законная обработка означает, что персональные данные должны обрабатываться только таким образом, которого субъекты данных разумно ожидают, и что для обработки должно быть законное основание. Применяя принцип справедливости, сторона и ее адвокат должны спросить себя, ожидали ли субъекты персональных данных в контексте всех фактов, что их персональные данные будут обрабатываться таким образом, приведет ли это к негативным последствиям для них и оправданы ли эти последствия. Этот принцип не помешает признать персональные данные, обнаруженные в деловой электронной переписке, в качестве доказательства.

Понятие законной обработки подразумевает наличие правовой основы, которая зависит от фактов и конкретного случая. Вместо того чтобы полагаться на согласие, следует использовать конкретные правовые основания, предусмотренные GDPR.[xxviii]

Пропорциональность требует рассмотрения характера, объема, контекста и целей обработки по отношению к рискам, которым подвергается субъект данных.[xxix] Минимизация данных требует от участников арбитража ограничивать обработку персональных данных адекватными, актуальными и ограниченными необходимыми данными.[xxx] Прозрачность требует, чтобы субъекты данных были уведомлены об обработке и целях обработки персональных данных либо посредством общих уведомлений, либо посредством конкретных уведомлений, либо посредством обоих способов.[xxxi] Подотчетность относится к личной ответственности за соблюдение требований по защите данных, то есть участники арбитража должны документировать все меры по защите персональных данных и принятые решения, чтобы продемонстрировать соблюдение требований.[xxxii]

Соблюдение требований по защите персональных данных влияет на отдельные этапы международного арбитражного разбирательства, причем не только во время самого арбитража, но и во время подготовки к нему. С самого начала участники арбитража должны рассмотреть, какие законы о защите персональных данных применяются к ним самим и другим участникам арбитража, и какие участники арбитража будут обрабатывать персональные данные в качестве контролеров, обработчиков или совместных контролеров. Следует также рассмотреть правила передачи персональных данных в третьи страны и соглашения об обработке персональных данных в отношении сторонних поставщиков услуг. В процессе сбора и рассмотрения документов сторонам и их юрисконсультам необходимо иметь законные основания для деятельности по обработке и передаче персональных данных в третьи страны.[xxxiii]

Просьба об арбитраже, а также последующие представления будут включать персональные данные, которые полностью подпадают под сферу обработки. Если арбитражное учреждение связано применимым законодательством о защите персональных данных, ему необходимо рассмотреть потенциальные обязательства по защите персональных данных, которые применяются на каждом процессуальном этапе. Если арбитражное учреждение подпадает под действие GDPR, оно, как правило, становится контролером персональных данных. Чтобы соответствовать статьям 13 и 14 GDPR, такое учреждение должно включить в свое уведомление о конфиденциальности информацию о мерах безопасности, осуществлении прав субъектов данных, ведении записей, а также о политике в отношении нарушения и хранения данных.[xxxiv] Однако международные организации, администрирующие арбитражные разбирательства по спорам между инвесторами и государством, могут быть исключены из сферы действия законов о защите персональных данных в связи с привилегиями и иммунитетами в государстве-учредителе или в соглашении с принимающей страной. Таким образом, здесь необходимо рассмотреть отдельные вопросы, включая, в частности, вопрос о том, связана ли организация законами о защите персональных данных и распространяется ли - и в какой степени - на участников арбитража действие привилегий и иммунитетов.[xxxv]

При назначении арбитров в арбитражный суд обычно происходит обмен значительными объемами персональных данных потенциальных арбитров. Участники арбитражного разбирательства должны указывать правовые основания для обработки этих персональных данных в своих юридических уведомлениях и прямо уведомлять арбитров, которые рассматриваются для назначения, об обработке их персональных данных, особенно в случае передачи персональных данных в третьи страны.[xxxvi]

После начала арбитражного разбирательства следует как можно раньше распределить обязанности по соблюдению требований защиты персональных данных, чтобы минимизировать риски. Вопросы защиты персональных данных должны быть включены в повестку дня первой процессуальной конференции, а участники арбитража должны попытаться как можно раньше договориться о том, как решать вопросы соблюдения требований защиты персональных данных. Стороны, их адвокаты и арбитры должны рассмотреть возможность заключения протокола о защите персональных данных для эффективного решения вопросов соблюдения требований. Если это невозможно, альтернативным вариантом является включение арбитражным судом этих вопросов в процессуальный приказ номер один.[xxxvii]

В процессе подготовки и раскрытия документов особенно актуален принцип минимизации персональных данных. Согласно GDPR, это, вероятно, потребует:

  • ограничение раскрытия персональных данных только теми, которые являются релевантными и не дублирующими;
  • идентификация персональных данных, содержащихся в ответном материале; и
  • редактирование или псевдонимизация ненужных персональных данных.

Эти вопросы также должны быть рассмотрены на ранней стадии разбирательства, предпочтительно на первой процедурной конференции или до нее.[xxxviii]

Когда речь идет о вынесении арбитражных решений, арбитры и учреждения должны рассмотреть вопрос об основании и необходимости включения персональных данных в арбитражные решения. Если арбитраж является конфиденциальным, тем не менее, существует риск того, что решение станет публичным после приведения его в исполнение. Даже если персональные данные отредактированы, они, как правило, остаются персональными данными, поскольку субъект данных может быть идентифицирован из остальной части арбитражного решения или связанных с ним материалов.[xxxix]

Сохранение и удаление данных считаются обработкой в соответствии с GDPR, который предусматривает, что персональные данные должны "храниться в форме, позволяющей идентифицировать субъекта данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные".[xl] Контролеры должны учитывать, документировать и быть в состоянии обосновать продолжительность хранения данных. Участники арбитража должны рассмотреть вопрос о том, какой срок хранения данных является разумным, и должны применять пропорциональный подход, чтобы сбалансировать свои потребности с влиянием хранения данных на субъекта.[xli]

Применимость GDPR к арбитражным разбирательствам, проводимым за пределами ЕС

Территориальная сфера действия Общего регламента по защите данных относительно широка. Практикующие юристы должны знать о его применении независимо от того, находятся ли они или арбитраж проходит в ЕС. GDPR применяется к обработке персональных данных контроллерами или процессорами, созданными в ЕС, независимо от того, происходит ли сама обработка в ЕС (Статья 3(1)). Кроме того, когда речь идет о предложении товаров или услуг гражданам ЕС или о мониторинге поведения, происходящего на территории ЕС, GDPR применяется к обработке персональных данных контроллером или процессором, не учрежденным в ЕС (Статья 3(2)).

В применении к арбитражному контексту GDPR налагает обязательства на контролеров и обработчиков данных - арбитров, адвокатов, стороны и учреждения, - которые попадают в его материальную и территориальную сферу, а не непосредственно на арбитражное разбирательство. Даже если только один участник арбитражного разбирательства имеет связь с ЕС, он будет обязан обрабатывать персональные данные в соответствии с GDPR. Могут возникнуть последствия для разбирательства в целом.[xlii]

Возможно, наиболее заметными в контексте международного арбитража, где передача арбитражных материалов, содержащих персональные данные, является обычным делом, являются ограничения, наложенные на передачу персональных данных в "третьи страны" за пределами Европейской экономической зоны (ЕЭЗ). В этом случае для разрешения передачи персональных данных требуется одно из четырех законных оснований. Во-первых, передача в третью страну разрешена, если в отношении этой третьей страны принято решение об адекватности (Статья 45(1)).[xliii] Если это не так, то, по возможности, следует применить одну из соответствующих гарантий (Статья 46(1)).[xliv] Если решение об адекватности отсутствует, а соответствующая гарантия не представляется возможной, можно прибегнуть к специальному отступлению (Статья 49(1)).[xlv] Наконец, в отсутствие вышеупомянутого, сторона может ссылаться на непреложный законный интерес (Статья 49(1)).[xlvi] в качестве законного основания для передачи персональных данных третьим лицам.

В "Дорожной карте" достаточно полно изложены необходимые соображения, которые должны учитывать участники арбитража. В ней неоднократно подчеркивается, что именно к участникам арбитража, а не к арбитражу как таковому, применяются принципы защиты персональных данных и правила передачи.[xlvii] Исходя из этого, можно сделать предположительный вывод о том, что арбитр, находящийся в ЕС, в арбитражном разбирательстве за пределами ЕС, на которого не распространяется действие GDPR, тем не менее, должен соблюдать требования GDPR по обработке и передаче персональных данных. Это действительно является общепринятым в коммерческом арбитражном разбирательстве,[xlviii] но ситуация не столь однозначна, когда речь идет об арбитраже между инвесторами и государством.

Дело Tennant Energy, LLC против правительства Канады

В 2019 году в арбитраже по главе 11 НАФТА Tennant Energy, LLC против правительства Канады (Tennant),[xlix] Tennant, истец, поднял вопрос о применении GDPR к разбирательству в свете гражданства и местожительства Великобритании одного из членов трибунала. Однако трибунал дал указания сторонам, указав, что "арбитраж по главе 11 NAFTA, договору, участником которого не является ни Европейский Союз, ни его государства-члены, предположительно не подпадает под действие GDPR".[l]

Важно проводить различие между арбитражем, основанным на договорах, и коммерческим арбитражем, причем Tennant относится к первой категории. Дорожная карта учитывает это различие, отмечая, что международные организации могут быть исключены из сферы действия законов о защите персональных данных.[li] На членов трибунала в арбитраже Tennant могут распространяться определенные иммунитеты, вытекающие из соглашения о штаб-квартире Постоянной палаты третейского суда (ППТС) с Нидерландами. Однако арбитраж NAFTA не рассматривал вопрос о том, будет ли ППТС, как международная организация, подпадать под действие правил передачи GDPR или будут ли члены трибунала пользоваться определенными иммунитетами, вытекающими из соглашения.

Сайт Tennant Направление вызывает больше вопросов, чем дает ответов относительно применимости GDPR к разбирательствам в рамках НАФТА и в целом к арбитражным разбирательствам, основанным на договорах, тонкое обсуждение которых выходит за рамки данной темы. Тем не менее, направление Теннанта, рассматриваемое в свете Дорожной карты, демонстрирует, что эта тема остается крайне неопределенной. В лучшем случае сомнительно, что "дорожная карта" вносит какую-либо ясность для участников арбитража, столкнувшихся с подобным вопросом, учитывая, в частности, что "дорожная карта" была издана после Tennant было вынесено постановление, но не предоставило последнему никакого рассмотрения.

Вопрос о видеоконференциях

Дорожная карта" признает важность безопасности персональных данных. Однако, учитывая недавнее использование дополнительных технологий для облегчения виртуальных слушаний, а также работу на дому - в основном подстегиваемую нынешними обстоятельствами, навязанными нам пандемией Ковид-19 - этот вопрос приобретает дополнительный вес. Протокол по кибербезопасности[lii] и Руководство по кибербезопасности IBA[liii] пролили свет на этот вопрос.

Как и Дорожная карта, Протокол по кибербезопасности устанавливает несколько основополагающих принципов. Применяется принцип пропорциональности, Трибунал обладает полномочиями и свободой усмотрения для определения действующих мер безопасности, а информационная безопасность является вопросом, который должен обсуждаться на первой конференции по ведению дела. В Приложении А к Протоколу по кибербезопасности содержится контрольный перечень, который стороны арбитража могут использовать для обеспечения безопасности разбирательства.

После недавнего изменения схем работы и обстановки в связи с пандемией Ковид-19 этим вопросам следует уделять больше внимания. В мире, который вынужден искать новые способы ведения бизнеса и адаптироваться к временам неопределенности, одной из проблем, с которой столкнулся юридический сектор, является проблема слушаний в сочетании с ограничениями и необходимостью социального дистанцирования. Таким образом, популярность видеоконференций и их использование в международных арбитражных разбирательствах - это то, на что должна обратить внимание Дорожная карта, но она этого не сделала - или, по крайней мере, пока не сделала.

Хотя многие обсуждали и указывали на проблемы видеослушаний, большинство из них не рассмотрели, как к ним должны применяться законы о защите персональных данных, причем не только в отношении защиты персональных данных, но и в отношении безопасности, поскольку некоторые платформы подвергались атакам безопасности.[liv]

Как уже говорилось выше, важно понимать различные роли сторон, участвующих в арбитраже в отношении GDPR, а именно, кто является "контролерами данных" и "обработчиками данных". Если программное обеспечение для видеоконференций обрабатывает какие-либо личные данные, например, имя пользователя и адрес электронной почты, полученные в результате использования услуги одной из сторон, то оно будет считаться "обработчиком данных". Это означает, что они должны соблюдать правила GDPR, если кто-либо из участников находится на территории ЕС. Поскольку Трибунал является "контролером данных", то обеспечение такого соответствия будет входить в обязанности Трибунала.

Международная торговая палата (МТП) выпустила руководство[lv] который предоставляет сторонам предлагаемые положения для протоколов кибербезопасности и виртуальных слушаний. Он направлен на решение аспекта безопасности, но не затрагивает аспект защиты персональных данных. В Дорожной карте следует обсудить возможности применения защиты персональных данных к слушаниям, проводимым виртуально, а также способы соблюдения этих требований. Хотя GDPR определяет требования, которые должны быть выполнены в отношении видеоконференций, он не дает указаний о том, как его требования непосредственно применимы.

Хотя Дорожная карта не дает рекомендаций по конкретным поставщикам программного обеспечения, она могла бы составить и предоставить практикующим специалистам список необходимых спецификаций идеального программного обеспечения для видеослушаний, подобно тому, как в приложениях к ней содержатся контрольные списки по различным другим вопросам.

Где находятся сторонние финансисты?

Под третьей стороной понимается любая сторона, не являющаяся участником арбитражного разбирательства, которая вступает в соглашение о финансировании всех или части расходов на разбирательство в обмен на сумму, полностью или частично зависящую от исхода дела.[lvi] Сторонние финансирующие организации имеют доступ к различным персональным данным в арбитражных разбирательствах, которые они финансируют или рассматривают возможность финансирования. Хотя Дорожная карта прямо адресована только участникам арбитражных разбирательств, в ней указано, что руководство актуально для поставщиков услуг, которых также затрагивают требования по защите персональных данных.[lvii]

В "дорожной карте" поставщики услуг включают "экспертов по электронному раскрытию информации, специалистов по информационным технологиям, судебных репортеров, переводчиков и т.д.".[lviii] но сторонние спонсоры не упоминаются в явном виде. Согласно GDPR, сбор и хранение персональных данных включены в обработку. Таким образом, если сторонние спонсоры собирают персональные данные других лиц, законы о персональных данных будут применяться и к ним.[lix]

GDPR разрешает стороне обрабатывать персональные данные, если "обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной".[lx] которые потенциально могут быть приведены участниками арбитража в качестве применимого правового основания для обработки соответствующих персональных данных. Существует ограниченное руководство по этому вопросу.[lxi] В "Дорожной карте" говорится:

'Первым шагом в оценке законных интересов является определение законного интереса - какова цель обработки Персональных данных и почему это важно для вас как для контролера? В контексте арбитража законный интерес может включать в себя отправление правосудия, обеспечение соблюдения прав сторон и оперативное и справедливое разрешение исков в соответствии с применимыми арбитражными правилами, а также многие другие интересы.[lxii]

Включение "многих других интересов", возможно, включает законный денежный интерес третьих сторон-финансистов. Если это так, то они будут обязаны заключать соглашения об обработке данных со сторонами арбитражного разбирательства и подпадать под действие норм и требований по защите персональных данных. Интересно, что в "дорожной карте" отсутствует четкое описание того, как сторонние финансирующие организации вписываются в эту картину, особенно учитывая рост их участия в арбитражных разбирательствах.

Щит для неразглашения

Обязательства по защите персональных данных приводят к возможности злоупотреблений. Арбитражные стороны могут недобросовестно использовать GDPR в качестве щита, чтобы предотвратить раскрытие информации, имеющей отношение к разбирательству или запрошенной контрагентом. Например, сторона может возражать против запроса на раскрытие информации, утверждая, что документы содержат персональные данные, не имеющие отношения к спору, или что редактирование персональной информации будет неоправданно обременительным.[lxiii]

В Дорожной карте рассматривается возможность злоупотреблений. В ней предлагается как можно раньше поднять и уточнить обязательства по защите персональных данных, чтобы снизить риск их влияния на судебные разбирательства. Участникам следует рассмотреть возможность заключения "протокола о защите данных" - соглашения о том, как защита персональных данных будет применяться в конкретном контексте. В качестве альтернативы, если подписание протокола о защите данных невозможно, эти вопросы должны быть рассмотрены в процессуальном приказе номер один.[lxiv]

Для сравнения можно рассмотреть соблюдение GDPR во время раскрытия информации в ходе судебного процесса в США. Федеральные суды США применяют балансирующие тесты для решения вопроса о том, следует ли отдавать приказ о раскрытии или выполнении повесток или распоряжений о раскрытии информации, которые потенциально нарушают иностранные законы, включая законы о защите персональных данных.[lxv] Неполный список факторов, на которые обращают внимание федеральные суды США, таков:

  • важность запрашиваемых документов или другой информации для судебного процесса;
  • степень конкретности запроса;
  • была ли информация получена в США;
  • наличие альтернативных средств обеспечения сохранности информации; и
  • степень, в которой несоблюдение подорвет важные интересы США.[lxvi]

Чаще всего федеральные суды требуют раскрытия информации, несмотря на потенциальные нарушения иностранных законов о защите персональных данных.[lxvii]

Арбитры сталкиваются с иными соображениями, чем суды, при принятии решения о том, следует ли требовать от стороны раскрытия информации. Это правильно, как утверждается в литературе,[lxviii] что суды должны учитывать конкурирующие права и обязанности в свете угрозы аннулирования или отказа в исполнении в соответствии с Конвенцией о признании и приведении в исполнение иностранных арбитражных решений 1958 года (Нью-Йоркская конвенция). Однако эта точка зрения не учитывает тот факт, что приказы о раскрытии информации подлежат минимальному пересмотру судами штатов, учитывая принцип невмешательства суда.[lxix] Примеров того, как суды штатов воздерживаются от пересмотра постановлений о раскрытии информации, достаточно много.[lxx]

В свете свободы действий, предоставленной арбитражным судам в процедурных вопросах, угроза аннулирования или отказа в принудительном исполнении вряд ли станет главным фактором. Неизбежность попыток сторон злоупотребить обязательствами GDPR для получения потенциального процессуального преимущества поставит арбитражные суды в сложное положение, с одной стороны, уравновешивая интересы субъекта данных, а с другой - поддерживая надежный процесс доказывания.[lxxi] Разъяснение обязательств по защите персональных данных в самом начале разбирательства - предпочтительно в подписанном протоколе о защите данных - в соответствии с рекомендациями Дорожной карты представляется необходимым шагом для проверки такого поведения.

Несоблюдение требований по защите персональных данных как путь к аннулированию и отказу в признании и приведении в исполнение решения суда

В Дорожной карте не рассматривается вопрос о том, может ли несоблюдение требований по защите персональных данных использоваться для отмены арбитражного решения или отказа в его признании и приведении в исполнение. Стороны имеют весьма ограниченные возможности для обжалования арбитражных решений. Тем не менее, проигравшая сторона может захотеть оспорить его результат и использовать одно из основных общих оснований для оспаривания арбитражного решения или отказа в его признании или приведении в исполнение.

В настоящее время Нью-Йоркская конвенция насчитывает 168 договаривающихся государств, что делает ее основной правовой основой для признания и приведения в исполнение иностранных арбитражных решений в международном коммерческом арбитраже. Конвенция предусматривает в статье V ограниченные основания, по которым может быть отказано в признании и приведении в исполнение арбитражного решения. Наиболее примечательной для настоящих целей является статья V(2)(b), в которой признается возможность компетентного органа государства, подписавшего Конвенцию, отказать в признании или приведении в исполнение арбитражного решения, нарушающего публичный порядок.[lxxii]

Основания, по которым арбитражное решение может быть отменено, различаются в разных правовых системах. Типовой закон ЮНСИТРАЛ о международном коммерческом арбитраже, который был широко принят, устанавливает перечень оснований для отмены в статье 34(2). Этот перечень был составлен по образцу статьи V Нью-Йоркской конвенции.[lxxiii] Статья 34(2)(b)(ii) гласит, что арбитражное решение может быть отменено судом, если оно противоречит публичному порядку государства.[lxxiv]

Европейский суд (ЕСП) постановил в деле Eco Swiss v Benetton, что отменяющие обязательные положения законодательства ЕС могут представлять собой фундаментальные нормы публичного порядка, нарушение которых может являться основанием для отмены арбитражного решения, основанного на таком основании в национальном законодательстве.[lxxv] Таким образом, отмена арбитражного решения, отказ в его признании или исполнении в связи с несоблюдением требований по защите персональных данных будет зависеть от того, будут ли нормы GDPR рассматриваться как отменяющие обязательные положения, нарушение которых противоречит государственной политике страны.[lxxvi]

Статья 9 (1) Регламента Рим I определяет обязательные положения как положения, "соблюдение которых рассматривается страной как решающее для обеспечения ее государственных интересов... в такой степени, что они применимы к любой ситуации, попадающей в сферу их действия, независимо от закона, применимого в иных случаях". Как ранее признавали Червенка и Шварц, большинство правил GDPR, вероятно, могут считаться отменяющими обязательные положения в соответствии с законодательством ЕС. Таким образом, их нарушение может считаться нарушением публичного порядка.[lxxvii]

Возможность того, что несоблюдение требований по защите персональных данных может привести к аннулированию или непризнанию и неисполнению арбитражного решения, вызывает различные опасения. Во-первых, необходимо точно определить, какие обязательства по защите персональных данных будут представлять собой отменяющие обязательные положения, поскольку не все нарушения имеют одинаковый вес. В конечном счете, ЕСПЧ, вероятно, будет призван дать дополнительные разъяснения. Во-вторых, следует также принять во внимание потенциальное злоупотребление возможностью оспорить или оспорить исполнение арбитражного решения на основании нарушения GDPR, чтобы предотвратить намеренное нарушение сторонами правил защиты персональных данных для того, чтобы впоследствии иметь возможность обжалования арбитражного решения. Наконец, следует определить, будут ли нормы о защите персональных данных являться частью процессуального или материального права и каким образом.[lxxviii]

Хотя многое еще предстоит определить, необходимо рассмотреть последствия несоблюдения требований по защите персональных данных для аннулирования, а также признания и приведения в исполнение арбитражных решений. Очень интересно, что в "дорожной карте" об этом ничего не сказано.

Заключение

Дорожная карта" призвана помочь арбитражным специалистам определить и понять обязательства по защите персональных данных и конфиденциальности, которые они могут нести в контексте международного арбитража. Однако, как уже говорилось ранее, в ней не рассматриваются некоторые конкретные вопросы, которые актуальны и насущны сегодня. Шесть вопросов, выявленных и подробно рассмотренных в данном документе, следующие:

  • применимость GDPR к арбитражным разбирательствам, проводимым за пределами ЕС;
  • GDPR в контексте арбитражных разбирательств в рамках НАФТА;
  • вопрос о виртуальных арбитражных слушаниях;
  • сторонние финансисты и их место в Дорожной карте;
  • потенциальное злоупотребление GDPR; и
  • потенциальное несоблюдение GDPR как путь к аннулированию или отказу в признании и приведении в исполнение арбитражного решения.

Каждый из этих вопросов заслуживает дальнейшего осмысления, поскольку, по прогнозам, в ближайшие годы их актуальность только возрастет. Мы надеемся, что было показано, что они достойны включения в Дорожную карту.

Приложения[lxxix] добавленные в Дорожную карту, призваны помочь специалистам практически справиться с этими требованиями. Добавление Контрольного списка по защите данных, Контрольного списка по оценке законных интересов, примеров уведомлений о конфиденциальности и стандартных договорных положений ЕС - все это чрезвычайно ценные ресурсы, которые должны использоваться профессионалами для обеспечения соответствия GDPR.

Однако в конфликтной ситуации между различными юрисдикциями различия между различными национальными законодательствами, относящимися к защите персональных данных, могут привести к двусмысленности. Несмотря на то, что руководящие принципы, представленные в Дорожной карте, имеют широкий охват, они все же не являются обязательными. В прошлом ЮНСИТРАЛ и МБА склонялись к обеспечению гармонизации в международном арбитраже посредством своих правил, руководств и т.п.; хотя они не являются обязательными, они, несомненно, являются убедительными. Как ЮНСИТРАЛ и IBA пытались сделать с различными аспектами международного арбитража, также существует острая необходимость в гармонизации требований по защите персональных данных в отношении арбитража; таким образом, необходимые руководства должны быть введены в действие с учетом гармонизации.

Пока гармонизация, понимание и осознание требований GDPR и их последствий в контексте международного арбитража остаются недостаточными, мы, специалисты в области арбитража, будем продолжать обходиться существующей правовой базой. Тем не менее, несмотря на недостатки, "дорожная карта" представляет собой крайне необходимый и обнадеживающий шаг в направлении общего понимания обязательств по защите персональных данных для участников арбитража.

[i] Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC (Общий регламент о защите данных), OJ 2016 L 119/1.

[ii] Персональные данные" определены в статье 4 GDPR как:

(1) "персональные данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу ("субъект данных"); идентифицируемое физическое лицо - это лицо, которое может быть прямо или косвенно идентифицировано, в частности, по идентификатору, такому как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или по одному или нескольким факторам, характерным для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица".

[iii] Территориальная сфера действия GDPR определена в статье 3 следующим образом:

  1. 'Настоящее Положение применяется к обработке персональных данных в контексте деятельности учреждения контроллера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет.
  2. Настоящее Положение применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контроллером или процессором, не учрежденным в Союзе, если деятельность по обработке связана с:

(a) предложение товаров или услуг, независимо от того, требуется ли оплата субъекта данных, таким субъектам данных в Союзе; или

(b) контроль за их поведением в той мере, в какой это поведение имеет место в рамках Союза.

  1. Настоящее Положение применяется к обработке персональных данных контролером, не учрежденным в Союзе, но находящимся в месте, где законодательство государства-члена применяется в силу международного публичного права".

[iv] См. определение "обработчика" в ст. 4 GDPR.

[v] Ст. 83(4), GDPR.

[vi] Крупнейший штраф в соответствии с GDPR был наложен на Google" (Simmons + Simmons, 22 января 2019 года), см. www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Джо Тайди, "British Airways оштрафована на 20 млн фунтов стерлингов за нарушение данных" (BBC, 16 октября 2020 года), см. www.bbc.com/news/technology-54568784.

[vii] 'Совместная целевая группа ICCA-IBA по защите данных в международном арбитраже' (ICCA), см. www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, доступ 18 августа 2021 года.

[viii] Дорожная карта ICCA-IBA по защите данных в международном арбитраже" (ICCA, февраль 2020 г.), см. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, доступ 18 августа 2021 г.

[ix] Там же, 1.

[x] Дело PCA № 2018-54.

[xi] ICCA и Нью-Йоркская коллегия адвокатов и Международный институт по предотвращению и разрешению конфликтов, "Протокол ICCA-NYC Bar-CPR по кибербезопасности в международном арбитраже (издание 2020 года)", см. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, доступ 18 августа 2021 года.

[xii] 'Руководство по кибербезопасности' (IBA, октябрь 2018 года), см. www.ibanet.org/LPRU/Cybersecurity, доступ 1 декабря 2020 года.

[xiii] Руководство ICC по возможным мерам" (Международная торговая палата, 9 апреля 2020 года), доступ получен 18 августа 2021 года.

[xiv] Дорожная карта, раздел B.

[xv] Там же.

[xvi] Статья 4, GDPR.

[xvii] Там же.

[xviii] Статья 4, GDPR

[xix] Там же, статья 3(1).

[xx] Дорожная карта, 7.

[xxi] Статья 4, GDPR.

[xxii] Дорожная карта определяет "участников арбитража" как "включая стороны, их юрисконсультов, арбитров и арбитражные учреждения (только)". Дорожная карта (n 3), 2.

[xxiii] Статья 4, GDPR.

[xxiv] См. решение от 29 июля 2019 года, Fashion ID GmbH & Co KG против Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, пункты 74, 85. См. также Решение от 5 июня 2018 года, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; Решение от 10 июля 2018 года, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Дорожная карта, 11

[xxvi] Там же, 12.

[xxvii] Ст. 5 и 12-22, GDPR; Дорожная карта 14-15.

[xxviii] Например, согласно GDPR, обработка персональных данных в контексте международного арбитража является законной, если это необходимо для целей законных интересов контроллера данных - с учетом ограничений, основанных на интересах и основных правах субъекта данных - и чувствительные данные могут обрабатываться в соответствии с отступлением от права требования (ст. 9(2)(f)) в контексте арбитража.

[xxix] Дорожная карта, 19.

[xxx] Там же, 20-21.

[xxxi] Там же, 30-31.

[xxxii] Там же, 32.

[xxxiii] Там же, 33-36.

[xxxiv] Там же, 37-39.

[xxxv] Там же, 37.

[xxxvi] Там же, 39.

[xxxvii] Там же, 40-41.

[xxxviii] Там же, 42.

[xxxix] Там же, 43.

[xl] Ст. 5(1)(e), GDPR.

[xli] Дорожная карта, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Комиссия ЕС сочла, что страна обеспечивает адекватную защиту данных.

[xliv] В случае международного арбитража это, скорее всего, будет стандартная договорная оговорка.

[xlv] Отступление от права требования, разрешающее передачу, если она "необходима для установления, осуществления или защиты права требования", является наиболее применимым в арбитражном контексте.

[xlvi] В связи с высоким порогом и требованием уведомления, опора на убедительные законные интересы имеет мало практического значения. См. EDPB, "Руководство 2/2018 по отступлениям от статьи 49 Регламента 2016/679", 6 февраля 2018 года (Руководство по передаче данных).

[xlvii] Дорожная карта, 8, 13.

[xlviii] Эмили Хэй, "Невидимая рука GDPR в международном договорном арбитраже: Не можем ли мы заставить его исчезнуть? (Блог Kluwer Arbitration, 29 августа 2019 года), см. http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [доступ получен 18 августа 2021 года].

[xlix] Дело PCA № 2018-54.

[l] Там же, Сообщение Трибунала сторонам (Perm Ct Arb, 2019).

[li] Дорожная карта, 37.

[lii] ICCA и New York City Bar и Международный институт по предотвращению и разрешению конфликтов, "Протокол ICCA-NYC Bar-CPR по кибербезопасности в международном арбитраже (издание 2020 года)" (ICCA), см. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, доступ 18 августа 2021 года.

[liii] 'Руководство по кибербезопасности' (IBA, октябрь 2018 года), см. www.ibanet.org/LPRU/Cybersecurity, доступ 1 декабря 2020 года.

[liv] Андреас Респондек, Таша Лим, "Должна ли Целевая группа ICCA/IBA по защите данных в "дорожной карте" рассмотреть влияние GDPR на видеоконференции в международном арбитраже? (Блог Kluwer Arbitration, 18 июля 2020 года), см. http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, доступ 18 августа 2021 года.

[lv] Руководство МТП по возможным мерам, направленным на смягчение последствий пандемии COVID-19" (МТП, 9 апреля 2020 года), доступ 18 августа 2021 года.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Дорожная карта, 2.

[lviii] Там же, 23-25.

[lix] Ст. 4(2), GDPR, см. п. 1 выше.

[lx] Ст. 6(1)(f), GDPR.

[lxi] Allan J Arffa и другие, "Вопросы GDPR в международном арбитраже" (Lexology, 10 августа 2020 года), см. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, доступ 18 августа 2021 года.

[lxii] Дорожная карта, Приложение 5.

[lxiii] Allan J Arffa и другие, "Вопросы GDPR в международном арбитраже" (Lexology, 10 августа 2020 года), см. www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> доступ 18 августа 2021 года.

[lxiv] Дорожная карта 40-41.

[lxv] См., например: David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.

[lxvi] Там же; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] 'Иностранные законы о защите данных в судебных процессах и международном арбитраже США' (Baker Botts, 6 февраля 2020 г.), см. www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> accessed 18 August 2021.

[lxviii] Дэвид М Ховард, "Иностранные законы о защите данных в международном арбитраже и судебных процессах США" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Гэри Борн, Международный коммерческий арбитраж (2-е изд., Kluwer Law International 2014), 2335.

[lxx] Там же. Борн приводит следующие судебные решения для подкрепления этого аргумента: Решение от 22 января 2004 года, Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Парижский апелляционный суд): "решение арбитражного суда вынести постановление о раскрытии информации находится в пределах его процессуального усмотрения и не может быть пересмотрено судами"; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Запросы о раскрытии информации "находятся в пределах разумного осуществления усмотрения Трибунала".

[lxxi] Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 December 2019), см. www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accessed 18 August 2021.

[lxxii] Нью-Йоркская конвенция, ст. V (2): "В признании и приведении в исполнение арбитражного решения может быть также отказано, если компетентный орган страны, где испрашивается признание и приведение в исполнение, установит, что... (b) признание или приведение в исполнение арбитражного решения противоречило бы публичному порядку этой страны".

[lxxiii] Генеральный секретарь ООН, Аналитический комментарий к проекту текста типового закона о международном торговом арбитраже, A/CN.9/264 (1985), статья 34, пункт 6.

[lxxiv] Типовой закон ЮНСИТРАЛ о международном коммерческом арбитраже, статья 34(2): "Арбитражное решение может быть отменено судом, указанным в статье 6, только если... (b) суд установит, что... (ii) решение противоречит публичному порядку данного государства".

[lxxv] Решение от 1 июня 1999 года, Eco Swiss China Time Ltd против Benetton International NV C-126/97 [1999] ECR I-03055, пп. 39 и 41. Подробное обсуждение государственной политики ЕС см: Sacha Prechal and Natalya Shelkoplyas, 'National Procedures, Public Policy and EC Law. От Ван Шинделя до Эко Швейцарии и далее" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka and Philipp Schwarz, 'Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts' (SchiedsVZ 2020, 78) 84.

[lxxvii] Там же.

[lxxviii] Более подробное обсуждение этих и других вопросов см: Александр Блюмрозен, "Выделение соответствия GDPR в арбитраже" в José R Mata Dona и Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, см. n 76 выше, 84-85.

[lxxix] Дорожная карта ICCA-IBA по защите данных в международном арбитраже, Приложения", (ICCA, февраль 2020), см. https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, доступ 18 августа 2021.

Эта статья была впервые опубликована в журнале Dispute Resolution International, том 15 № 2, октябрь 2021 года, и воспроизводится с любезного разрешения Международной ассоциации юристов, Лондон, Великобритания. © Международная ассоциация юристов.