Språk

Titanernas kamp: GDPR och internationella skiljeförfaranden - en blick in i framtiden

Publikationer: november 10, 2021

Tillbaka till översikten

Författarna

Catherine Raudaschl

Relaterade expertguider

Inledning

Under de senaste åren har det uppstått frågor om de praktiska konsekvenserna av skydd av personuppgifter och cybersäkerhet för det faktiska genomförandet av internationella skiljeförfaranden - särskilt med hänsyn tagen till den ständiga tekniska utvecklingen.

Den allmänna dataskyddsförordningen (GDPR)[1] firade sin andra födelsedag i maj 2020. GDPR:s ramverk för skydd av personuppgifter syftar till att säkerställa fri rörlighet för personuppgifter för "identifierade eller identifierbara fysiska personer"[2 ]. Den är tillämplig inom Europeiska unionen och har ett extraterritoriellt tillämpningsområde som kan sträcka sig utanför EU;[3] GDPR kan inte bara påverka alla fysiska eller juridiska personer utan ålägger även offentliga myndigheter, byråer och andra organ - eventuellt även internationella organisationer - skyldigheter avseende skydd av personuppgifter.[4] Påföljderna enligt GDPR kan uppgå till 4 procent av den överträdande enhetens globala årsomsättning under föregående räkenskapsår eller 20 miljoner euro, beroende på vilket belopp som är högst.[5] Behovet av att ta tillämpningen av GDPR på allvar har redan konstaterats genom böter på flera miljoner euro som har utdömts i flera jurisdiktioner.[6]

Även om tillämpningen av lagar om skydd av personuppgifter vid skiljeförfaranden är etablerad, är det inte etablerat hur lagarna ska tillämpas. Av denna anledning inrättade International Council for Commercial Arbitration (ICCA) och International Bar Association (IBA) i februari 2019 en gemensam arbetsgrupp för dataskydd i internationella skiljeförfaranden i syfte att ta fram en guide som ger praktisk vägledning om skydd av personuppgifter i internationella skiljeförfaranden. Arbetsgruppen publicerade ett samrådsutkast till denna vägledning i mars 2020[7]. Denna kommentar kommer att baseras på detta utkast till färdplan (Färdplanen)[8], och den slutliga, reviderade versionen av Färdplanen förväntas publiceras i september 2021. Även om tidsfristen för att lämna synpunkter på samrådsförslaget har löpt ut i skrivande stund, är den preliminära versionen av färdplanen ändå illustrativ för de frågor som GDPR väcker i internationella skiljeförfaranden. Den kommer därför att användas som diskussionsunderlag.

De flesta lagar om skydd av personuppgifter är tvingande i skiljeförfaranden, vilket innebär att de föreskriver

  • Vilka personuppgifter som får behandlas;
  • var
  • med vilka medel;
  • med vilka informationssäkerhetsåtgärder; och
  • under hur lång tid[9].

De behandlar dock inte hur dessa bindande skyldigheter ska uppfyllas i skiljeförfaranden. I avsaknad av särskild vägledning från tillsynsmyndigheter är färdplanen avsedd att hjälpa skiljemän att identifiera och förstå de skyldigheter avseende skydd av personuppgifter och integritet som de kan komma att omfattas av i samband med ett internationellt skiljeförfarande. Vidare är omfattningen av GDPR-skydd fortfarande relevant i internationella skiljeförfaranden, främst huruvida GDPR-lagar är tillämpliga på skiljeförfaranden som har sitt säte utanför EU. Det finns flera ytterligare konsekvenser om GDPR anses vara tillämpligt på skiljeförfaranden: för det första huruvida behandling av personuppgifter är förbjuden och för det andra huruvida det finns restriktioner för överföring av personuppgifter utanför EU. Slutligen, på grund av den ökande frekvensen av cyberattacker, kan konsekvenserna av en sådan attack mot ett skiljeförfarande leda till betydande skadestånd.

Syftet med denna artikel är att kommentera färdplanen och utforska praktiska åtgärder som bör beaktas när det gäller skyldigheter avseende skydd av personuppgifter i internationella skiljeförfaranden. Färdplanen ses som ett lovande, om än ofullständigt, verktyg för att komplettera de olika försök att harmonisera internationella skiljeförfaranden som hittills gjorts med hjälp av soft law, framför allt instrument från IBA och FN:s kommission för internationell handelsrätt (UNCITRAL).

Inledningsvis ges en kort sammanfattning av färdplanen, som även innehåller en hänvisning till principerna i GDPR. Detta är inte avsett att vara en heltäckande översikt utan snarare en introduktion till färdplanens huvudpunkter för att ge läsaren ett sammanhang för den efterföljande diskussionen. Därefter följer en kommentar som berör sex relevanta frågor:

  • Tillämpligheten av GDPR på skiljeförfaranden som hålls utanför EU;
  • GDPR i samband med skiljeförfaranden inom ramen för det nordamerikanska frihandelsavtalet (NAFTA), såsom illustreras i Tennant Energy, LLC v Government of Canada,[10] och
  • frågan om videokonferenser, som har ökat kraftigt i betydelse under covid-19-pandemin, inbegripet hänvisningar till ICCA-NYC Bar-CPR-protokollet om cybersäkerhet i internationella skiljeförfaranden (cybersäkerhetsprotokollet)[11] IBA:s riktlinjer för cybersäkerhet[12] och ICC:s vägledande not om möjliga åtgärder för att mildra effekterna av covid-19-pandemin[13]
  • "Tredjepartsfinansiärer" och hur de beaktas i färdplanen;
  • missbruk av GDPR, särskilt som en sköld för sekretess, och
  • Möjligheten att använda bristande efterlevnad av kraven på skydd av personuppgifter som en väg till ogiltigförklaring eller vägran att erkänna och verkställa skiljedomen.

Slutsatser kommer att ges i sammanfattningen.

Färdplanen

Enskilda personer och juridiska personer är skyldiga att skydda de registrerades personuppgifter. Skiljeförfaranden i sig omfattas inte av skyldigheterna att skydda personuppgifter. Om endast en deltagare i skiljeförfarandet omfattas av skyldigheter avseende skydd av personuppgifter kan dock skiljeförfarandet som helhet påverkas. Huruvida behandlingen av personuppgifter omfattas av relevanta lagar, materiell och rättslig omfattning avgör om lagarna om skydd av personuppgifter är tillämpliga[14].

Moderna lagar om skydd för personuppgifter är tillämpliga närhelst personuppgifter om en registrerad behandlas i samband med verksamhet som omfattas av de relevanta lagarna om skydd för personuppgifters jurisdiktion.[15] Personuppgifter omfattar "all information som rör en identifierad eller identifierbar fysisk person".[16] Under ett typiskt skiljeförfarande utbyts betydande mängder information om bland annat parterna, deras ombud, skiljenämnden och tredje parter. Som sådana är det sannolikt att de anses omfattas av definitionen av "personuppgifter". Med "registrerade" avses ovan nämnda personer som är identifierade eller identifierbara[17]. Behandling omfattar aktiva och passiva åtgärder, vilket innebär att personuppgifter används, sprids och raderas samt att personuppgifter tas emot, organiseras och lagras.[18] Tillämpningsområdet omfattar åtgärder när personuppgifter behandlas inom ramen för verksamheten vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes etablering i EU[19] och extraterritoriellt, t.ex. när personuppgifter överförs utanför EU till enheter eller personer som inte av andra skäl redan omfattas av GDPR[20].

Skiljemän kommer att kvalificeras som personuppgiftsansvariga, vilket innebär att de kommer att vara ansvariga för efterlevnaden av lagar om skydd av personuppgifter. Baserat på definitionen av "personuppgiftsansvarig"[21] kommer dock de flesta deltagare i skiljeförfaranden[22] sannolikt att betraktas som sådana, inklusive ombud, parter och institutionen. Personuppgiftsansvariga kan delegera databehandling till personuppgiftsbiträden[23], som står under deras kontroll och kräver databehandlingsavtal på de villkor som föreskrivs i tillämplig lag. Sekreterare, transkriberare, översättare och andra kommer därför sannolikt att betraktas som personuppgiftsbiträden. Dessutom tillkommer frågan om gemensamt personuppgiftsansvariga som gemensamt fastställer ändamålen med och medlen för uppgiftsbehandlingen. Gemensamt personuppgiftsansvar tolkas brett, men den gemensamt personuppgiftsansvariges ansvar är begränsat till endast den behandling som den personuppgiftsansvarige har fastställt, dess syfte och medel och inte den övergripande behandlingen[24].

I internationella skiljeförfaranden är begränsningarna av överföringar av personuppgifter mellan jurisdiktioner ett uppenbart sätt på vilket lagar om skydd för personuppgifter tillämpas. Olika skiljedomsdeltagares bakgrund kommer att avgöra tillämpningen av olika system för skydd av personuppgifter. Moderna lagar om skydd av personuppgifter begränsar överföringar av personuppgifter till tredjeländer för att säkerställa att rättsliga skyldigheter inte kringgås genom överföring av personuppgifter till jurisdiktioner med lägre standarder för skydd av personuppgifter[25]. GDPR tillåter överföringar av personuppgifter till tredjeländer om något av följande inträffar

  • Landet har av EU-kommissionen bedömts tillhandahålla ett adekvat skydd för personuppgifter;
  • någon av de uttryckligen angivna skyddsåtgärderna har införts;
  • ett undantag som tillåter överföringar om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk, eller
  • en parts tvingande berättigade intresse[26].

Dessa regler gäller för deltagare i skiljeförfarandet och inte för skiljeförfarandet som helhet, vilket innebär att varje deltagare i skiljeförfarandet måste överväga vilka begränsningar för överföring av personuppgifter som gäller för dem.

De principer för skydd av personuppgifter som är tillämpliga i skiljeförfaranden omfattar rättvis och laglig behandling, proportionalitet, uppgiftsminimering, ändamålsbegränsning, den registrerades rättigheter, korrekthet, datasäkerhet, öppenhet och ansvarighet[27].

Några av dessa principer kräver ytterligare kommentarer. Rättvis och laglig behandling innebär att personuppgifter endast får behandlas på ett sätt som den registrerade rimligen kan förvänta sig och att det måste finnas en rättslig grund för behandlingen. Vid tillämpning av skälighetsprincipen bör parten och dess ombud fråga sig om de enskilda personerna, mot bakgrund av alla fakta, skulle ha förväntat sig att deras personuppgifter skulle behandlas på ett sådant sätt, om det kommer att få negativa konsekvenser för dem och om dessa konsekvenser är berättigade. Denna princip hindrar inte att personuppgifter som hittas i e-postmeddelanden från företag godtas som bevis.

Begreppet laglig behandling innebär en rättslig grund som är faktadriven och specifik för det enskilda fallet. I stället för att förlita sig på samtycke bör specifika rättsliga grunder i GDPR åberopas[28].

Proportionalitet kräver att man beaktar behandlingens art, omfattning, sammanhang och ändamål i förhållande till de risker som den registrerade utsätts för[29] Dataminimering kräver att deltagare i skiljeförfaranden begränsar behandlingen till personuppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt.[30] Öppenhet kräver att de registrerade underrättas om behandlingen och syftet med behandlingen av personuppgifterna genom antingen allmänna meddelanden, särskilda meddelanden eller båda.[31] Ansvarighet avser personligt ansvar för efterlevnad av dataskyddsbestämmelserna, vilket innebär att skiljemannadeltagare ska dokumentera alla åtgärder för skydd av personuppgifter och beslut som fattas för att visa att bestämmelserna efterlevs.[32]

Efterlevnaden av reglerna om skydd av personuppgifter påverkar enskilda steg i ett internationellt skiljeförfarande, inte bara under själva skiljeförfarandet utan även under förberedelserna. Skiljeförfarandedeltagare bör redan från början överväga vilka lagar om skydd för personuppgifter som gäller för dem själva och andra skiljeförfarandedeltagare och vilka skiljeförfarandedeltagare som kommer att behandla personuppgifter som personuppgiftsansvariga, personuppgiftsbiträden eller gemensamt personuppgiftsansvariga. Tredjelands regler för överföring av personuppgifter och avtal om behandling av personuppgifter avseende tredjepartsleverantörer bör också beaktas. Under processen för insamling och granskning av handlingar behöver parterna och deras juridiska ombud en rättslig grund för behandling av personuppgifter och överföring av personuppgifter till tredje land[33].

Påkallelsen av skiljeförfarande, liksom efterföljande inlagor, kommer att innehålla personuppgifter som helt och hållet faller inom ramen för behandling. Om ett skiljedomsinstitut är bundet av tillämplig lagstiftning om skydd av personuppgifter måste det beakta eventuella skyldigheter avseende skydd av personuppgifter som gäller under varje steg i förfarandet. Om ett skiljedomsinstitut omfattas av GDPR blir det vanligtvis personuppgiftsansvarig. För att följa artiklarna 13 och 14 i GDPR bör ett sådant institut i sitt integritetsmeddelande inkludera information om säkerhetsåtgärder, utövande av registrerades rättigheter, registerhållning samt policyer för dataintrång och bevarande av uppgifter[34]. Internationella organisationer som administrerar skiljeförfaranden mellan investerare och stat kan dock vara undantagna från tillämpningsområdet för lagar om skydd av personuppgifter på grund av privilegier och immunitet i den konstituerande staten eller i ett värdlandsavtal. Separata överväganden måste därför göras här, inklusive bland annat huruvida organisationen är bunden av lagar om skydd för personuppgifter och huruvida - och i vilken utsträckning - deltagare i skiljeförfaranden skulle omfattas av privilegier och immunitet[35].

Under utnämningen av skiljemän till en skiljenämnd utbyts i allmänhet betydande mängder av potentiella skiljemäns personuppgifter. Deltagare i skiljeförfaranden bör inkludera den rättsliga grunden för behandlingen av dessa personuppgifter i sina rättsliga meddelanden och uttryckligen underrätta skiljemän som är aktuella för utnämning om behandlingen av deras personuppgifter, särskilt vid överföring av personuppgifter till tredje land[36].

När skiljeförfarandet väl har inletts bör ansvaret för efterlevnaden av bestämmelserna om skydd av personuppgifter fördelas tidigt för att minimera riskerna. Skydd av personuppgifter bör tas upp på dagordningen för den första processuella konferensen, och deltagarna i skiljeförfarandet bör försöka komma överens om hur de ska hantera efterlevnaden av skyddet av personuppgifter så tidigt som möjligt. Parterna, deras ombud och skiljemännen bör överväga att ingå ett protokoll om skydd av personuppgifter för att effektivt hantera frågor om efterlevnad. Om detta inte är möjligt är ett alternativ för skiljenämnden att inkludera dem i Procedural Order Number One[37].

I processen för framtagande och utlämnande av handlingar är principen om minimering av personuppgifter särskilt relevant. Enligt GDPR skulle detta sannolikt kräva följande

  • Begränsning av de personuppgifter som lämnas ut till vad som är relevant och icke-duplikativt;
  • identifiera de personuppgifter som ingår i det besvarade materialet; och
  • redigering eller pseudonymisering av onödiga personuppgifter.

Dessa frågor bör också övervägas tidigt i förfarandet, helst vid eller före den första processuella konferensen[38].

När det gäller meddelande av skiljedomar bör skiljemän och institutioner överväga grunden för och nödvändigheten av att inkludera personuppgifter i skiljedomar. Även om skiljeförfarandet är konfidentiellt finns det ändå en risk för att en skiljedom blir offentlig när den verkställs. Även om personuppgifter redigeras förblir de normalt personuppgifter eftersom den registrerade kan identifieras från resten av skiljedomen eller relaterat material[39].

Lagring och radering av uppgifter anses vara behandling enligt GDPR, som föreskriver att personuppgifter ska "förvaras på ett sätt som gör det möjligt att identifiera den registrerade under en tid som inte är längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas"[40]. Personuppgiftsansvariga måste överväga, dokumentera och kunna motivera hur länge uppgifterna ska lagras. Deltagare i skiljeförfaranden måste överväga vilken lagringstid som är rimlig och bör inta ett proportionerligt förhållningssätt för att balansera sina behov med den inverkan som lagringen av uppgifter har på den registrerade[41].

Tillämpligheten av GDPR på skiljeförfaranden som hålls utanför EU

Den allmänna dataskyddsförordningens territoriella tillämpningsområde är relativt brett. Utövare bör vara medvetna om dess tillämpning oavsett om de befinner sig i EU eller inte, eller om skiljeförfarandet har sitt säte i EU. GDPR är tillämplig på behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU, oavsett om själva behandlingen sker i EU (artikel 3.1). När det gäller erbjudande av varor eller tjänster till EU-medborgare eller övervakning av beteenden som äger rum inom EU gäller GDPR dessutom för behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerat i EU (artikel 3.2).

Tillämpad på skiljeförfaranden innebär GDPR att skyldigheter åläggs personuppgiftsansvariga och personuppgiftsbiträden - skiljemän, ombud, parter och institutioner - som omfattas av dess materiella och territoriella tillämpningsområde, snarare än skiljeförfarandet direkt. Även om det bara är en deltagare i skiljeförfarandet som har en koppling till EU kommer de att vara skyldiga att behandla personuppgifter i enlighet med GDPR. Konsekvenser för förfarandet som helhet kan uppkomma[42].

Mest anmärkningsvärt i samband med internationella skiljeförfaranden, där överföring av skiljematerial som innehåller personuppgifter är vanligt förekommande, är kanske de begränsningar som gäller för överföring av personuppgifter till "tredjeländer" utanför Europeiska ekonomiska samarbetsområdet (EES). I ett sådant scenario krävs en av fyra lagliga grunder för att överföring av personuppgifter ska vara tillåten. För det första är överföring till ett tredjeland tillåten om tredjelandet omfattas av ett beslut om adekvat skyddsnivå (artikel 45.1)[43]. Om så inte är fallet ska en av de lämpliga skyddsåtgärderna (artikel 46.1) införas när så är möjligt.[Om det inte finns något beslut om adekvat skyddsnivå och en lämplig skyddsåtgärd inte är genomförbar, kan ett särskilt undantag åberopas (artikel 49.1)[45]. Slutligen, om inget av det ovannämnda föreligger, kan en part åberopa ett tvingande berättigat intresse (artikel 49.1)[46] som rättslig grund för en överföring av personuppgifter till tredje part.

I färdplanen anges på ett heltäckande sätt de nödvändiga överväganden som deltagare i skiljeförfaranden måste göra. Det betonas vid flera tillfällen att det är skiljeförfarandets deltagare, och inte skiljeförfarandet som sådant, som principerna för skydd av personuppgifter och överföringsreglerna gäller för[47]. I linje med detta är den presumtiva slutsatsen att en EU-baserad skiljeman i ett skiljeförfarande utanför EU som i övrigt inte omfattas av GDPR ändå skulle behöva uppfylla GDPR:s krav på behandling och överföring av personuppgifter. Detta är förvisso allmänt accepterat i kommersiella skiljeförfaranden,[48] men situationen är inte lika tydlig när det gäller skiljeförfaranden mellan investerare och stat.

Fallet Tennant Energy, LLC mot Kanadas regering

Under 2019, i NAFTA Chapter 11-skiljeförfarandet Tennant Energy, LLC v Government of Canada (Tennant),[49] tog käranden Tennant upp frågan om GDPR var tillämplig på förfarandet mot bakgrund av att en av tribunalens ledamöter var brittisk medborgare och hade sin hemvist i Storbritannien. Skiljenämnden utfärdade dock anvisningar till parterna om att "ett skiljeförfarande enligt NAFTA kapitel 11, ett fördrag i vilket varken Europeiska unionen eller dess medlemsstater är parter, inte, presumtivt, omfattas av det materiella tillämpningsområdet för GDPR"[50].

Det är viktigt att skilja mellan fördragsbaserat och kommersiellt skiljeförfarande, där Tennant faller inom den förstnämnda kategorin. Färdplanen tar upp denna distinktion och noterar att internationella organisationer kan vara undantagna från tillämpningsområdet för lagar om skydd av personuppgifter[51]. Tribunalmedlemmar i Tennant-skiljeförfarandet kan omfattas av viss immunitet som härrör från Permanenta skiljedomstolens (PCA) huvudkontorsavtal med Nederländerna. NAFTA-tribunalen övervägde dock inte om PCA, som en internationell organisation, skulle omfattas av GDPR:s överföringsregler eller om tribunalmedlemmar skulle kunna härleda viss immunitet från avtalet.

Tennant-beslutet väcker fler frågor än det ger svar när det gäller GDPR:s tillämplighet på NAFTA-förfaranden och på fördragsbaserade skiljeförfaranden mer generellt, och en nyanserad diskussion om dessa frågor ligger utanför detta uppdrag. Icke desto mindre visar Tennant-direktivet, sett i ljuset av färdplanen, att detta ämne fortfarande är mycket osäkert. Det är i bästa fall tveksamt om Färdplanen bringar någon klarhet till skiljeförfarandedeltagare som ställs inför en sådan fråga, särskilt med beaktande av att Färdplanen utfärdades efter det att Tennant-meddelandet hade meddelats men inte tog någon hänsyn till det senare.

Frågan om videokonferenser

I färdplanen erkänns vikten av säkerhet för personuppgifter. Men med den senaste tidens användning av ytterligare teknik för att underlätta virtuella utfrågningar, liksom att arbeta hemifrån - mestadels underblåst av de nuvarande omständigheterna som påtvingas oss av Covid-19-pandemin - får denna fråga ytterligare tyngd. Cybersäkerhetsprotokollet[52] och IBA:s riktlinjer för cybersäkerhet[53] har kastat visst ljus över frågan.

Liksom i färdplanen fastställs i cybersäkerhetsprotokollet flera underliggande principer. Proportionalitetsprincipen är tillämplig, tribunalen har befogenhet och utrymme för skönsmässig bedömning när det gäller att fastställa vilka säkerhetsåtgärder som ska vidtas och informationssäkerhet är en fråga som bör diskuteras vid den första målhanteringskonferensen. Bilaga A till Cybersecurity Protocol innehåller en checklista som parterna i ett skiljeförfarande kan använda för att skydda förfarandet.

Efter den senaste tidens förändring av arbetsmönster och arbetsmiljöer till följd av covid-19-pandemin bör dessa frågor ges större vikt. I en värld som har pressats att hitta nya sätt att bedriva affärsverksamhet och anpassa sig till tider av osäkerhet är en av de frågor som den juridiska sektorn har ställts inför frågan om förhandlingar i kombination med restriktioner och behovet av social distansering. Videokonferensernas popularitet och användningen av dem i internationella skiljeförfaranden är därför något som färdplanen borde ta upp, men som inte har gjorts - eller åtminstone inte ännu.

Även om många har diskuterat och pekat på problemen med videoförhandlingar har de flesta misslyckats med att ta upp hur lagar om skydd av personuppgifter ska tillämpas på dem, inte bara med avseende på skydd av personuppgifter utan även med avseende på säkerhet, eftersom vissa plattformar har utsatts för säkerhetsattacker[54].

Som framgår ovan är det viktigt att förstå de olika rollerna för de parter som är inblandade i ett skiljeförfarande avseende GDPR, nämligen vem som är "personuppgiftsansvarig" och "personuppgiftsbiträde". Om programvaran för videokonferenser behandlar personuppgifter, t.ex. användarnamn och e-postadress från en parts användning av tjänsten, betraktas den som "personuppgiftsbiträde". Detta innebär att de måste följa GDPR-reglerna om någon av deltagarna har sin hemvist i EU. Eftersom tribunalen är "personuppgiftsansvarig" är det tribunalens ansvar att se till att så sker.

Internationella handelskammaren (ICC) har utfärdat en vägledning[55] som ger parterna förslag på klausuler för cybersäkerhetsprotokoll och virtuella utfrågningar. Den syftar till att ta upp säkerhetsaspekten, men tar inte upp aspekten skydd av personuppgifter. Färdplanen bör diskutera möjligheterna att tillämpa skydd av personuppgifter på virtuella förhör och även hur detta ska efterlevas. I GDPR anges visserligen vilka krav som måste uppfyllas när det gäller videokonferenser, men det ges ingen vägledning om hur kraven är direkt tillämpliga.

Även om färdplanen inte innehåller några rekommendationer om specifika programvaruleverantörer skulle den kunna sammanställa och förse praktiker med en lista över nödvändiga specifikationer för en idealisk programvara för videoförhör, precis som den innehåller checklistor för olika andra frågor i sina bilagor.

Var passar tredjepartsfinansiärer in?

Med en tredjepartsfinansiär avses en person som inte är part i skiljeförfarandet och som ingår ett arrangemang för att finansiera hela eller delar av kostnaderna för förfarandet i utbyte mot en summa som helt eller delvis är beroende av utgången i målet[56]. Tredjepartsfinansiärer har tillgång till olika personuppgifter i skiljeförfaranden som de finansierar eller överväger att finansiera. Även om färdplanen uttryckligen endast riktar sig till deltagare i skiljeförfaranden anges det att vägledningen är relevant för tjänsteleverantörer som också berörs av kraven på skydd av personuppgifter[57].

I färdplanen omfattar tjänsteleverantörer "e-discovery-experter, informationstekniker, domstolsreportrar, översättningstjänster osv."[58] men tredjepartsfinansiärer nämns inte uttryckligen. Enligt GDPR ingår insamling och lagring av personuppgifter i behandlingen. Om tredjepartsfinansiärerna samlar in personuppgifter från andra skulle personuppgiftslagstiftningen således gälla även för dem[59].

GDPR tillåter en part att behandla personuppgifter om "behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen"[60], vilket potentiellt kan åberopas av deltagare i skiljeförfaranden som en tillämplig rättslig grund för att behandla relevanta personuppgifter. Det finns begränsad vägledning i detta ämne[61]. I färdplanen anges följande:

"Det första steget i en bedömning av berättigat intresse är att identifiera ett berättigat intresse - vad är syftet med behandlingen av personuppgifterna och varför är det viktigt för dig som personuppgiftsansvarig? I samband med skiljeförfaranden kan det berättigade intresset omfatta rättskipning, säkerställande av att parternas rättigheter respekteras och en snabb och rättvis lösning av tvister enligt de tillämpliga skiljedomsreglerna, och många andra intressen också."[62]

Tillägget "även många andra intressen" skulle möjligen kunna innefatta tredjepartsfinansiärers berättigade ekonomiska intresse. Om så är fallet skulle de uppenbarligen vara skyldiga att ingå personuppgiftsbiträdesavtal med parterna i skiljeförfarandet och omfattas av bestämmelser och krav om skydd av personuppgifter. Det är intressant att färdplanen inte uttryckligen beskriver hur tredjepartsfinansiärer passar in i bilden, särskilt med tanke på att de allt oftare inkluderas i skiljeförfaranden.

En sköld för sekretess

Skyldigheter avseende skydd av personuppgifter leder till en potential för missbruk. Skiljeparter kan använda GDPR som en sköld i ond tro för att förhindra att information som är relevant för förfarandet eller som begärs av motparten lämnas ut. En part kan t.ex. invända mot en begäran om utlämnande med hänvisning till att handlingarna innehåller personuppgifter som inte har något samband med tvisten eller att det skulle vara onödigt betungande att redigera personuppgifter[63].

I färdplanen behandlas risken för missbruk. Den föreslår att man så tidigt som möjligt tar upp och klargör skyldigheterna i fråga om skydd av personuppgifter för att minska risken för att dessa påverkar förfarandena. Deltagarna bör överväga att ingå ett "dataskyddsprotokoll" - ett avtal om hur skyddet av personuppgifter ska tillämpas i ett visst sammanhang. Alternativt, om det inte är möjligt att uppnå ett undertecknat dataskyddsprotokoll, bör dessa frågor behandlas i Procedural Order Number One[64].

Som jämförelse kan man titta på efterlevnaden av GDPR under discovery i amerikanska tvister. Amerikanska federala domstolar har använt sig av avvägningstester för att avgöra om de ska beordra utlämnande eller efterlevnad av stämningar eller bevisupptagningsorder som potentiellt strider mot utländska lagar, inklusive lagar om skydd av personuppgifter.[65] En icke uttömmande lista över faktorer som amerikanska federala domstolar har tittat på är

  • betydelsen av de begärda handlingarna eller annan information för rättstvisten;
  • graden av specificitet i begäran
  • huruvida informationen har sitt ursprung i USA
  • tillgången till alternativa sätt att säkra informationen; och
  • i vilken utsträckning bristande efterlevnad skulle undergräva USA:s viktiga intressen[66].

Oftast kräver federala domstolar utlämnande trots potentiella överträdelser av utländska lagar om skydd av personuppgifter[67].

Skiljemän ställs inför andra överväganden än domstolar när de beslutar om en part ska föreläggas att lämna ut uppgifter. Det är korrekt, vilket hävdas i litteraturen,[68] att domstolar måste vara medvetna om konkurrerande rättigheter och skyldigheter mot bakgrund av hotet om ogiltigförklaring eller vägrad verkställighet enligt 1958 års konvention om erkännande och verkställighet av utländska skiljedomar (New York-konventionen). Detta synsätt tar dock inte hänsyn till det faktum att beslut om utlämnande av uppgifter är föremål för minimal prövning av delstatliga domstolar, med hänsyn till principen om domstolars icke-inblandning[69].[70] Det finns många exempel på delstatliga domstolar som avstår från att pröva beslut om utlämnande av uppgifter[71].

Mot bakgrund av det utrymme för skönsmässig bedömning som tribunalerna har i processuella frågor är det osannolikt att hotet om ogiltigförklaring eller vägrad verkställighet är ett centralt övervägande. Det är oundvikligt att parter försöker missbruka skyldigheterna enligt GDPR för att få en potentiell processuell fördel, vilket kommer att försätta domstolarna i en svår situation där de å ena sidan måste balansera den registrerades intressen och å andra sidan upprätthålla en robust bevisföringsprocess[71]. Att klargöra skyldigheterna att uppfylla kraven på skydd av personuppgifter i början av förfarandet - helst i ett undertecknat dataskyddsprotokoll - i linje med rekommendationerna i färdplanen verkar vara ett nödvändigt steg för att kontrollera detta beteende.

Bristande efterlevnad av kraven på skydd av personuppgifter som en väg till ogiltigförklaring och vägran av erkännande och verkställighet

Färdplanen tar inte upp frågan om huruvida bristande efterlevnad av kraven på skydd av personuppgifter kan användas för att upphäva en skiljedom eller vägra erkännande och verkställighet av den. Parterna har mycket begränsade möjligheter att överklaga skiljedomar. En förlorande part kan dock vilja angripa utgången och använda sig av någon av de viktigaste gemensamma grunderna för att angripa skiljedomen eller förhindra att den erkänns eller verkställs.

New York-konventionen har för närvarande 168 avtalsslutande stater, vilket gör den till den främsta rättsliga grunden för erkännande och verkställighet av utländska skiljedomar i internationella kommersiella skiljeförfaranden. I artikel V i konventionen anges begränsade grunder på vilka erkännande och verkställighet av en skiljedom kan vägras. Mest anmärkningsvärt i detta sammanhang är att artikel V(2)(b) erkänner möjligheten för den behöriga myndigheten i en signatärstat att vägra erkännande eller verkställighet av en skiljedom som strider mot grunderna för rättsordningen (ordre public)[72].

De grunder på vilka en skiljedom kan upphävas varierar mellan olika jurisdiktioner. UNCITRAL:s modellag om internationellt kommersiellt skiljeförfarande, som har antagits i stor utsträckning, innehåller en förteckning över grunder för upphävande i artikel 34.2. Denna lista är nära inspirerad av New York-konventionens artikel V.[73] I artikel 34(2)(b)(ii) anges att en skiljedom kan upphävas av domstol om skiljedomen strider mot statens allmänna rättsprinciper (public policy)[74].

EU-domstolen fann i Eco Swiss v Benetton att tvingande bestämmelser i EU-rätten som har företräde framför andra kan utgöra grundläggande regler om allmän ordning, vars överträdelse kan utgöra grund för upphävande av en skiljedom som grundas på en sådan grund i nationell rätt[75]. Huruvida en skiljedom kan upphävas, eller dess erkännande eller verkställighet vägras, på grund av bristande efterlevnad av kraven på skydd av personuppgifter kommer därför att bero på om reglerna i GDPR ska betraktas som tvingande bestämmelser som har företräde framför andra, vars överträdelse strider mot nationell allmän ordning[76].

I artikel 9.1 i Rom I-förordningen definieras tvingande bestämmelser som bestämmelser "vilkas efterlevnad ett land anser vara av avgörande betydelse för att skydda sina allmänna intressen ... i sådan utsträckning att de är tillämpliga på alla situationer som omfattas av deras tillämpningsområde, oavsett vilken lag som annars är tillämplig". Som Cervenka och Schwarz tidigare har konstaterat kan de flesta av reglerna i GDPR sannolikt anses ha företräde framför tvingande bestämmelser enligt EU-rätten. Överträdelse av dem kan därför anses strida mot allmän ordning[77].

Möjligheten att bristande efterlevnad av kraven på skydd av personuppgifter kan leda till att en skiljedom ogiltigförklaras eller inte erkänns och inte verkställs ger upphov till olika farhågor. För det första bör det definieras exakt vilka skyldigheter avseende skydd av personuppgifter som skulle utgöra tvingande bestämmelser med företräde, eftersom inte alla överträdelser väger lika tungt. I slutändan kommer EU-domstolen sannolikt att uppmanas att ge ytterligare klargöranden. För det andra bör det potentiella missbruket av möjligheten att bestrida eller överklaga verkställigheten av en dom på grund av överträdelse av GDPR också beaktas, för att förhindra att parter avsiktligt bryter mot reglerna om skydd av personuppgifter för att ha möjlighet att överklaga domen vid en senare tidpunkt. Slutligen bör det definieras om bestämmelserna om skydd av personuppgifter ska utgöra en del av processrätten eller den materiella rätten och på vilket sätt[78].

Även om det finns mycket kvar att definiera bör konsekvenserna av bristande efterlevnad av kraven på skydd av personuppgifter för ogiltigförklaring samt erkännande och verkställighet av skiljedomar behandlas. Det är mycket intressant att detta inte nämns i färdplanen.

Slutsats

Färdplanen är avsedd att hjälpa dem som arbetar med skiljeförfaranden att identifiera och förstå de skyldigheter avseende skydd av personuppgifter och integritet som de kan komma att omfattas av i samband med internationella skiljeförfaranden. Såsom diskuterats tidigare tar den dock inte upp några specifika frågor som är relevanta och angelägna i dag. De sex frågor som identifieras och behandlas i detta dokument är

  • Tillämpligheten av GDPR på skiljeförfaranden som hålls utanför EU;
  • GDPR i samband med NAFTA-skiljeförfaranden;
  • frågan om virtuella skiljeförfaranden;
  • Tredjepartsfinansiärer och deras plats i färdplanen;
  • potentiellt missbruk av GDPR; och
  • eventuell bristande efterlevnad av GDPR som en väg till ogiltigförklaring eller vägran av erkännande och verkställighet av skiljedomen.

Dessa frågor kommer var och en att kräva ytterligare reflektion, eftersom de förutspås bli allt mer relevanta under de kommande åren. Förhoppningen är att det har visats att de är värda att tas med i färdplanen.

De bilagor[79] som lagts till i färdplanen är avsedda att hjälpa yrkesverksamma att hantera dessa krav i praktiken. Checklistan för dataskydd, checklistan för bedömning av berättigat intresse, exempel på integritetsmeddelanden och EU:s standardavtalsklausuler är alla mycket värdefulla resurser och bör användas av yrkesverksamma för att se till att de uppfyller kraven i GDPR.

I en konfliktsituation mellan olika jurisdiktioner kan dock skillnaderna mellan olika nationella lagstiftningar om skydd av personuppgifter leda till tvetydighet. Även om riktlinjerna i färdplanen är omfattande är de ändå inte bindande. Tidigare har UNCITRAL och IBA strävat efter att harmonisera internationella skiljeförfaranden genom sina regler, riktlinjer och liknande; även om dessa inte är bindande är de i högsta grad övertygande. Liksom UNCITRAL och IBA har försökt göra med olika aspekter av internationella skiljeförfaranden finns det också ett stort behov av harmonisering av kraven på skydd av personuppgifter i samband med skiljeförfaranden; därför bör nödvändiga riktlinjer införas med harmonisering i åtanke.

Även om det fortfarande saknas harmonisering, förståelse och medvetenhet om GDPR:s efterlevnadskrav och dess konsekvenser i samband med internationella skiljeförfaranden, kommer vi som arbetar med skiljeförfaranden att fortsätta att nöja oss med den rättsliga ram som för närvarande finns på plats. Trots sina brister utgör färdplanen dock ett välbehövligt och uppmuntrande steg i riktning mot en gemensam förståelse av skyldigheter avseende skydd av personuppgifter för deltagare i skiljeförfaranden.

Resurser

  1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EUT L 119, 2016, s. 1.
  2. "Personuppgifter" definieras i artikel 4 i GDPR på följande sätt: (1) "personuppgifter: all slags information som rör en identifierad eller identifierbar fysisk person ("registrerad"); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet."
  3. Det territoriella tillämpningsområdet för GDPR definieras i artikel 3 på följande sätt:
    1. "Denna förordning är tillämplig på behandling av personuppgifter inom ramen för verksamheten vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i unionen, oavsett om behandlingen äger rum i unionen eller inte.

    2. Denna förordning är tillämplig på behandling av personuppgifter som rör registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har samband med

      (a) erbjudande av varor eller tjänster, oavsett om det krävs betalning från den registrerade, till sådana registrerade i unionen, eller

      (b) övervakning av deras beteende, i den mån deras beteende äger rum inom unionen.

    3. Denna förordning är tillämplig på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten.
  4. Se definitionen av "personuppgiftsbiträde" i artikel 4 i GDPR.
  5. Artikel 83.4 i GDPR.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 januari 2019), se www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 oktober 2020), se www.bbc.com/news/technology-54568784.
  7. "ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), se www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, hämtad den 18 augusti 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, februari 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, hämtad den 18 augusti 2021.
  9. Ibid, 1.
  10. PCA:s mål nr 2018-54.
  11. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, hämtat den 18 augusti 2021.
  12. "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, hämtad den 1 december 2020.
  13. "ICC Guidance Note on Possible Measures Aim" (Internationella handelskammaren, 9 april 2020), hämtad den 18 augusti 2021.
  14. Färdplan, avsnitt B.
  15. Ibid.
  16. Artikel 4 i GDPR.
  17. Ibid. artikel 4 i GDPR.
  18. Artikel 4 i GDPR.
  19. Ibid, artikel 3.1.
  20. Färdplan, 7.
  21. Artikel 4 i dataskyddsförordningen.
  22. I färdplanen definieras "deltagare i skiljeförfarandet" som "inbegripet parterna, deras juridiska ombud, skiljemännen och skiljeinstituten (endast)". Se Färdplan (n 3), 2.
  23. Artikel 4 i dataskyddsförordningen.
  24. Se dom av den 29 juli 2019, Fashion ID GmbH & Co KG mot Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punkterna 74 och 85. Se även dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; dom av den 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Färdplan, s. 11.
  26. Ibid, 12.
  27. Artiklarna 5 och 12-22 i GDPR; färdplan 14-15.
  28. Enligt GDPR är t.ex. behandling av personuppgifter i samband med internationella skiljeförfaranden laglig när den är nödvändig för den personuppgiftsansvariges berättigade intressen - med förbehåll för begränsningar som grundar sig på den registrerades intressen och grundläggande rättigheter - och känsliga uppgifter får behandlas enligt undantaget för rättsliga anspråk (artikel 9.2 f) i samband med skiljeförfaranden.
  29. Färdplan, 19.
  30. Ibid, s. 20-21.
  31. Ibid, s. 30-31.
  32. Ibid, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. Artikel 5.1 e i GDPR.
  41. Färdplan, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 augusti 2019), se http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, hämtad 18 augusti 2021.
  43. EU-kommissionen har bedömt att landet tillhandahåller ett adekvat dataskydd.
  44. När det gäller internationella skiljeförfaranden skulle detta troligen vara en standardavtalsklausul.
  45. Undantaget för rättsliga anspråk, som tillåter överföringar om de är "nödvändiga för att fastställa, göra gällande eller försvara rättsliga anspråk", är det mest tillämpliga i skiljedomssammanhang.
  46. På grund av det höga tröskelvärdet och anmälningskravet har åberopandet av tvingande berättigade intressen liten praktisk relevans. Se EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6 februari 2018 (Data Transfer Guidance).
  47. Färdplan, 8, 13.
  48. Emily Hay, "GDPR:s osynliga arm i skiljeförfaranden enligt internationella fördrag: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29 augusti 2019), se http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [hämtad 18 augusti 2021].
  49. PCA Case No 2018-54.
  50. Ibid, Tribunalens meddelande till parterna (Perm Ct Arb, 2019).
  51. Färdplan, 37.
  52. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, hämtat den 18 augusti 2021.
  53. "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, hämtad den 1 december 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18 juli 2020), se http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, hämtad 18 augusti 2021.
  55. "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 april 2020), hämtad den 18 augusti 2021.
  56. "Tredjepartsfinansiering i internationella skiljeförfaranden: The ICCA-QMUL report", (ICCA, maj 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, hämtad den 18 augusti 2018.
  57. Färdplan, 2.
  58. Ibid, s. 23-25.
  59. Artikel 4.2 i GDPR, se n 1 ovan.
  60. Artikel 6.1 f i dataskyddsförordningen.
  61. Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10 augusti 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, hämtad den 18 augusti 2021.
  62. Färdplan, bilaga 5.
  63. Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10 augusti 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, hämtad 18 augusti 2021.
  64. Färdplan 40-41.
  65. Se t.ex: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 februari 2020), se www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, hämtad den 18 augusti 2021.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2:a upplagan, Kluwer Law International 2014), 2335.
  70. Ibid. Born citerar följande domar för att förstärka detta argument: Dom av den 22 januari 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" mot Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel i Paris): Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Begäran om utlämnande av uppgifter är "väl inom ramen för ett rimligt utövande av tribunalens utrymme för skönsmässig bedömning".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 december 2019), se www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, hämtad den 18 augusti 2021.
  72. New York-konventionen, artikel V.2: "Erkännande och verkställighet av en skiljedom får också vägras om den behöriga myndigheten i det land där erkännande och verkställighet begärs finner att ... (b) erkännande eller verkställighet av skiljedomen skulle strida mot grunderna för rättsordningen i det landet.
  73. FN:s generalsekreterare, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), artikel 34, punkt 6.
  74. UNCITRAL:s modellag om internationellt kommersiellt skiljeförfarande, artikel 34.2: "En skiljedom får upphävas av den domstol som anges i artikel 6 endast om ...(b) domstolen finner att ... (ii) skiljedomen strider mot grunderna för rättsordningen i denna stat".
  75. Dom av den 1 juni 1999, Eco Swiss China Time Ltd mot Benetton International NV C-126/97, REG 1999, s. I-03055, punkterna 39 och 41. 39 och 41. För en detaljerad diskussion om EU:s offentliga politik, se: Sacha Prechal och Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka och Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. För en mer detaljerad diskussion om dessa och andra frågor, se: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" i José R Mata Dona och Nikos Lavranos (red), International Arbitration and EU Law (Edward Elgar Publishing, 2021), punkt 5.63 och följande; Cervenka och Schwarz, se n 76 ovan, 84-85.
  79. "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, februari 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, hämtad den 18 augusti 2021.

Denna artikel publicerades först i Dispute Resolution International, Vol 15 No 2, October 2021, och återges med vänligt tillstånd av International Bar Association, London, UK. © International Bar Association.

Tillbaka till översikten