Jeziki

Spopad titanov: GDPR in mednarodna arbitraža - pogled v prihodnost

Publikacije: november 10, 2021

Nazaj na pregled

Avtorji

Catherine Raudaschl

Sorodni strokovni vodniki

Uvod

V zadnjih letih so se pojavila vprašanja o praktičnih posledicah zasebnosti osebnih podatkov in kibernetske varnosti na dejansko izvajanje mednarodnih arbitraž - zlasti če upoštevamo stalno hitrost tehnoloških sprememb.

Splošna uredba o varstvu podatkov (GDPR)[1] je maja 2020 praznovala svoj drugi rojstni dan. Namen okvira za varstvo osebnih podatkov v skladu z uredbo GDPR je zagotoviti prost pretok osebnih podatkov "določenih ali določljivih fizičnih oseb"[2]. uporablja se v Evropski uniji in ima ekstrateritorialno področje uporabe, ki lahko sega tudi zunaj EU;[3] uredba GDPR lahko vpliva ne le na vse fizične ali pravne osebe, temveč za javne organe, agencije in druga telesa - po možnosti tudi mednarodne organizacije - določa tudi obveznosti varstva osebnih podatkov.[4] Sankcije na podlagi uredbe GDPR lahko znašajo 4 odstotke svetovnega letnega prometa kršitelja v preteklem poslovnem letu ali 20 milijonov EUR, kar je višje.[5] Da je treba njeno uporabo jemati resno, so pokazale že večmilijonske globe, ki so bile naložene v več jurisdikcijah[6].

Čeprav je uporaba zakonov o varstvu osebnih podatkov za arbitražo uveljavljena, pa način, na katerega je treba zakone uporabljati, ni določen. Zato sta Mednarodni svet za gospodarsko arbitražo (ICCA) in Mednarodno združenje odvetnikov (IBA) februarja 2019 ustanovila skupno delovno skupino za varstvo podatkov v mednarodnih arbitražnih postopkih, da bi pripravila vodnik, ki bo vseboval praktične smernice za varstvo osebnih podatkov v mednarodni arbitraži. Delovna skupina je marca 2020 objavila posvetovalni osnutek tega vodnika,[7] pričujoči komentar bo temeljil na tem osnutku vodnika (vodnik),[8] končna, revidirana različica vodnika pa bo predvidoma objavljena septembra 2021. Čeprav je rok za pripombe na posvetovalni osnutek v času pisanja tega prispevka že potekel, je predhodna različica načrta kljub temu nazoren prikaz vprašanj, ki jih GDPR odpira v mednarodnih arbitražah. Zato bo uporabljena kot podlaga za razpravo.

Večina zakonov o varstvu osebnih podatkov je v arbitražnih postopkih obvezna, kar pomeni, da predpisujejo:

  • kateri osebni podatki se lahko obdelujejo;
  • kje;
  • na kakšen način;
  • s katerimi ukrepi za varnost informacij in
  • koliko časa.[9]

Ne obravnavajo pa, kako bi bilo treba te zavezujoče obveznosti izpolnjevati v arbitražnih postopkih. Ker ni posebnih navodil regulativnih organov, je namen tega načrta pomagati strokovnjakom za arbitražo opredeliti in razumeti obveznosti glede varstva osebnih podatkov in zasebnosti, ki bi lahko veljale zanje v okviru mednarodne arbitraže. Poleg tega je obseg varstva na podlagi uredbe GDPR še vedno pomemben v mednarodnih arbitražnih postopkih, predvsem glede tega, ali zakoni GDPR veljajo za arbitraže s sedežem zunaj EU. Če se ugotovi, da se GDPR uporablja za arbitražo, obstajajo različne nadaljnje posledice: prvič, ali je obdelava osebnih podatkov prepovedana, in drugič, ali obstajajo omejitve glede prenosov osebnih podatkov zunaj EU. Nazadnje, zaradi vse pogostejših kibernetskih napadov bi lahko posledice takega napada na arbitražo povzročile precejšnjo škodo.

Namen tega članka je zagotoviti komentar načrta in preučiti praktične ukrepe, ki jih je treba upoštevati v zvezi z obveznostmi glede varstva osebnih podatkov v mednarodnih arbitražnih postopkih. V njem je načrt opredeljen kot obetavno, čeprav nepopolno orodje, ki dopolnjuje različne dosedanje poskuse mehkega prava za uskladitev mednarodne arbitraže, predvsem instrumente Mednarodnega združenja za arbitražo in Komisije Združenih narodov za mednarodno trgovinsko pravo (UNCITRAL).

Najprej bo podan kratek povzetek časovnega načrta, ki vključuje sklicevanje na načela GDPR. Namen tega ni izčrpen pregled, temveč bodo predstavljene glavne točke časovnega načrta, da bi bralec dobil kontekst za nadaljnjo razpravo. Drugič, podan bo komentar, ki se bo dotaknil šestih pomembnih vprašanj:

  • uporaba uredbe GDPR za arbitraže, ki potekajo zunaj EU;
  • GDPR v okviru arbitraž Severnoameriškega sporazuma o prosti trgovini (NAFTA), kot je prikazano v zadevi Tennant Energy, LLC proti vladi Kanade;[10]
  • vprašanje videokonferenc, katerih pomen se je v času pandemije COVID-19 močno povečal, vključno s sklici na "Protokol ICCA-NYC Bar-CPR o kibernetski varnosti v mednarodni arbitraži" (Protokol o kibernetski varnosti)[11], smernice IBA o kibernetski varnosti[12] in Smernice ICC o možnih ukrepih za ublažitev učinkov pandemije COVID-19;[13]
  • "tretjih financerjev" in kako so upoštevani v časovnem načrtu;
  • zloraba uredbe GDPR, zlasti kot ščit za nerazkrivanje podatkov, in
  • možnost uporabe neskladnosti z zahtevami glede varstva osebnih podatkov kot poti do razveljavitve ali zavrnitve priznanja in izvršitve arbitražne odločbe.

Zaključne misli bodo podane v zaključku.

Načrt

Za posameznike in pravne osebe veljajo obveznosti varstva osebnih podatkov posameznikov, na katere se nanašajo osebni podatki. Za samo arbitražo ne veljajo obveznosti varstva osebnih podatkov. Če pa obveznosti varstva osebnih podatkov veljajo samo za enega udeleženca arbitraže, lahko to vpliva na arbitražo kot celoto. Od tega, ali obdelava osebnih podatkov spada v ustrezne zakone, materialno in pravno področje, je odvisno, ali se uporabljajo zakoni o varstvu osebnih podatkov[14].

Sodobni zakoni o varstvu osebnih podatkov se uporabljajo, kadar se osebni podatki o posamezniku, na katerega se nanašajo osebni podatki, obdelujejo med dejavnostmi, ki spadajo na področje uporabe ustreznih zakonov o varstvu osebnih podatkov.[15] Osebni podatki vključujejo "vse informacije v zvezi z določeno ali določljivo fizično osebo".[16] Med tipičnim arbitražnim postopkom se izmenjajo znatni deli informacij, ki se med drugim nanašajo na stranke, njihove odvetnike, sodišče in tretje osebe. Kot take jih je verjetno mogoče obravnavati v skladu z opredelitvijo "osebnih podatkov". "Posamezniki, na katere se nanašajo osebni podatki", so zgoraj navedeni posamezniki, ki so identificirani ali določljivi.[17] Obdelava vključuje aktivna in pasivna dejanja ter tako zajema uporabo, razširjanje in brisanje osebnih podatkov ter prejemanje, urejanje in shranjevanje osebnih podatkov.[18] Področje uporabe zajema dejanja, kadar koli se osebni podatki obdelujejo v okviru dejavnosti ustanove upravljavca ali obdelovalca v EU[19] in eksteritorialno, na primer kadar se osebni podatki prenesejo zunaj EU subjektom ali posameznikom, za katere GDPR ne velja iz drugih razlogov[20].

Arbitri bodo kvalificirani kot upravljavci podatkov, kar pomeni, da bodo odgovorni za skladnost z zakoni o varstvu osebnih podatkov. Vendar se bo na podlagi opredelitve pojma "upravljavec podatkov";[21] za takega verjetno štela večina arbitražnih udeležencev[22], vključno z odvetniki, strankami in institucijo. Upravljavci podatkov lahko prenesejo obdelavo podatkov na obdelovalce podatkov,[23] ki bodo pod njihovim nadzorom in bodo zahtevali sporazume o obdelavi podatkov pod pogoji, določenimi z veljavno zakonodajo. Tako bodo tajnice, prepisovalci, prevajalci in drugi verjetno veljali za obdelovalce podatkov. Nadaljnje vprašanje so skupni upravljavci, ki skupaj določajo namene in sredstva obdelave podatkov. Skupni nadzor se razlaga široko, vendar je odgovornost skupnega upravljavca omejena le na obdelavo, ki jo je določil upravljavec, njen namen in sredstva, ne pa na celotno obdelavo[24].

V mednarodnih arbitražah so omejitve prenosa osebnih podatkov med jurisdikcijami očiten način uporabe zakonodaje o varstvu osebnih podatkov. Ozadje različnih arbitražnih udeležencev bo določilo uporabo različnih ureditev varstva osebnih podatkov. Sodobni zakoni o varstvu osebnih podatkov omejujejo prenose osebnih podatkov v tretje države, da bi zagotovili, da se pravnim obveznostim ne bi izognili s prenosom osebnih podatkov v jurisdikcije z nižjimi standardi varstva osebnih podatkov.[25] Splošna uredba o varstvu podatkov dovoljuje prenose osebnih podatkov v tretje države, če se zgodi eno od naslednjega:

  • je Komisija EU ocenila, da država zagotavlja ustrezno varstvo osebnih podatkov;
  • je uveden eden od izrecno navedenih zaščitnih ukrepov;
  • odstopanje, ki dovoljuje prenose, kadar so potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali
  • nujni zakoniti interes stranke[26].

Ta pravila veljajo za udeležence arbitraže in ne za arbitražo kot celoto, zato je treba vsakemu udeležencu arbitraže naložiti, da preuči, katere omejitve prenosa osebnih podatkov veljajo zanj.

Načela varstva osebnih podatkov, ki se uporabljajo v arbitraži, vključujejo pošteno in zakonito obdelavo, sorazmernost, zmanjšanje količine podatkov, omejitev namena, pravice posameznikov, na katere se nanašajo osebni podatki, točnost, varnost podatkov, preglednost in odgovornost[27].

Nekatera od teh načel je treba podrobneje pojasniti. Poštena in zakonita obdelava pomeni, da je treba osebne podatke obdelovati le na načine, ki jih posamezniki, na katere se nanašajo osebni podatki, razumno pričakujejo, in da mora za obdelavo obstajati pravna podlaga. Pri uporabi načela poštenosti bi se morala stranka in njen svetovalec vprašati, ali bi posamezniki v okviru vseh dejstev pričakovali, da bodo njihovi osebni podatki obdelani na tak način, ali bo to imelo negativne posledice zanje in ali so te posledice upravičene. To načelo ne bo preprečevalo, da bi se osebni podatki, najdeni v poslovnih elektronskih sporočilih, sprejeli kot dokaz.

Pojem zakonite obdelave vključuje pravno podlago, ki temelji na dejstvih in je odvisna od posameznega primera. Namesto da bi se zanašali na privolitev, bi se morali sklicevati na posebne pravne podlage iz GDPR[28].

Sorazmernost zahteva upoštevanje narave, obsega, konteksta in namenov obdelave glede na tveganja, ki jih predstavlja za posameznika, na katerega se nanašajo osebni podatki.[29] Zmanjšanje obsega podatkov zahteva, da arbitražni udeleženci omejijo obdelavo na osebne podatke, ki so ustrezni, relevantni in omejeni na to, kar je potrebno.[30] Preglednost zahteva, da so posamezniki, na katere se nanašajo osebni podatki, obveščeni o obdelavi in namenu obdelave osebnih podatkov s splošnimi obvestili, posebnimi obvestili ali obojim.[31] Odgovornost se nanaša na osebno odgovornost za skladnost z varstvom podatkov, kar pomeni, da morajo arbitražni udeleženci dokumentirati vse ukrepe za varstvo osebnih podatkov in sprejete odločitve, da bi dokazali skladnost[32].

Skladnost z varstvom osebnih podatkov vpliva na posamezne korake mednarodnega arbitražnega postopka, ne le med samo arbitražo, temveč tudi med pripravami. Arbitražni udeleženci morajo že na začetku razmisliti, kateri zakoni o varstvu osebnih podatkov veljajo zanje in za druge arbitražne udeležence ter kateri arbitražni udeleženci bodo obdelovali osebne podatke kot upravljavci, obdelovalci ali skupni upravljavci. Upoštevati je treba tudi pravila o prenosu osebnih podatkov tretjih držav in sporazume o obdelavi osebnih podatkov v zvezi s tretjimi ponudniki storitev. Med postopkom zbiranja in pregledovanja dokumentov morajo stranke in njihovi pravni svetovalci pripraviti zakonito podlago za dejavnosti obdelave in prenose osebnih podatkov v tretje države[33].

Zahteva za arbitražo in poznejše vloge bodo vključevale osebne podatke, ki sodijo na področje obdelave. Če arbitražno institucijo zavezujejo veljavni zakoni o varstvu osebnih podatkov, mora upoštevati morebitne obveznosti varstva osebnih podatkov, ki se uporabljajo v vsakem koraku postopka. Če za arbitražno institucijo velja uredba GDPR, bo običajno postala upravljavec osebnih podatkov. Za uskladitev s členoma 13 in 14 SUVP mora takšna institucija v obvestilo o zasebnosti vključiti informacije o varnostnih ukrepih, uveljavljanju pravic posameznikov, na katere se nanašajo osebni podatki, vodenju evidenc ter politikah kršitve in hrambe podatkov. 34 Mednarodne organizacije, ki upravljajo arbitraže med vlagatelji in državo, so lahko zaradi privilegijev in imunitet v državi ustanoviteljici ali v sporazumu z državo gostiteljico izključene s področja uporabe zakonov o varstvu osebnih podatkov. Zato je treba v tem primeru opraviti ločene premisleke, med drugim o tem, ali so za organizacijo zavezujoči zakoni o varstvu osebnih podatkov ter ali in v kakšnem obsegu bi za arbitražne udeležence veljali privilegiji in imunitete[35].

Med imenovanjem arbitrov v arbitražno sodišče se običajno izmenjajo znatne količine osebnih podatkov potencialnih arbitrov. Arbitražni udeleženci bi morali pravno podlago za obdelavo teh osebnih podatkov vključiti v svoja pravna obvestila in izrecno obvestiti arbitre, ki se obravnavajo za imenovanje, o obdelavi njihovih osebnih podatkov, zlasti v primeru prenosa osebnih podatkov v tretje države[36].

Ko se arbitraža začne, je treba odgovornosti za skladnost z varstvom osebnih podatkov dodeliti zgodaj, da se tveganja čim bolj zmanjšajo. Varstvo osebnih podatkov bi moralo biti vključeno na dnevni red prve postopkovne konference, udeleženci arbitraže pa bi se morali poskušati čim prej dogovoriti, kako obravnavati skladnost z varstvom osebnih podatkov. Stranke, njihovi svetovalci in arbitri bi morali razmisliti o sklenitvi protokola o varstvu osebnih podatkov za učinkovito upravljanje vprašanj skladnosti. Če to ni mogoče, je alternativna možnost, da jih arbitražno sodišče vključi v postopkovni sklep številka ena[37].

V postopku priprave in razkritja dokumentov je še posebej pomembno načelo zmanjšanja števila osebnih podatkov. V skladu z uredbo GDPR bi to verjetno zahtevalo:

  • omejitev razkritih osebnih podatkov na tiste, ki so pomembni in se ne podvajajo;
  • opredelitev osebnih podatkov, ki jih vsebuje odzivno gradivo, in
  • redigiranje ali psevdonimiziranje nepotrebnih osebnih podatkov.

Tudi ta vprašanja bi bilo treba obravnavati na začetku postopka, po možnosti na prvi procesni konferenci ali pred njo[38].

Ko gre za izdajo odločb, bi morali arbitri in institucije razmisliti o podlagi in nujnosti vključitve osebnih podatkov v odločbe. Če je arbitraža zaupna, vseeno obstaja tveganje, da bo odločba ob izvršitvi postala javna. Tudi če so osebni podatki redigirani, običajno ostanejo osebni podatki, saj je posameznika, na katerega se podatki nanašajo, mogoče prepoznati iz preostalega dela razsodbe ali sorodnega gradiva[39].

Hramba in izbris podatkov se štejeta za obdelavo v skladu z GDPR, ki določa, da se osebni podatki "hranijo v obliki, ki omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, največ toliko časa, kot je potrebno za namene, za katere se obdelujejo osebni podatki."[40] Upravljavci morajo upoštevati, dokumentirati in biti sposobni utemeljiti trajanje hrambe. Arbitražni udeleženci morajo razmisliti, kakšno obdobje hrambe podatkov je razumno, in uporabiti sorazmeren pristop, da uravnotežijo svoje potrebe z učinkom hrambe podatkov na posameznika[41].

Uporaba GDPR za arbitraže zunaj EU

Teritorialno področje uporabe Splošne uredbe o varstvu podatkov je razmeroma široko. Strokovnjaki se morajo zavedati njene uporabe ne glede na to, ali imajo sedež ali se arbitraža izvaja v EU ali ne. Splošna uredba o varstvu podatkov se uporablja za obdelavo osebnih podatkov, ki jo izvajajo upravljavci ali obdelovalci s sedežem v EU, ne glede na to, ali sama obdelava poteka v EU (člen 3(1)). Poleg tega se GDPR, ko gre za ponujanje blaga ali storitev državljanom EU ali spremljanje vedenja, ki poteka v EU, uporablja za obdelavo osebnih podatkov s strani upravljavca ali obdelovalca, ki nima sedeža v EU (člen 3(2)).

Pri uporabi v arbitražnem kontekstu GDPR nalaga obveznosti upravljavcem in obdelovalcem podatkov - arbitrom, svetovalcem, strankam in institucijam -, ki spadajo v njeno stvarno in ozemeljsko področje uporabe, in ne neposredno arbitražnemu postopku. Tudi če je samo en arbitražni udeleženec povezan z EU, bo moral osebne podatke obdelovati v skladu z GDPR. Lahko se pojavijo posledice za celoten postopek[42].

V okviru mednarodne arbitraže, kjer je prenos arbitražnega gradiva, ki vsebuje osebne podatke, običajen, so morda najbolj opazne omejitve prenosa osebnih podatkov v "tretje države" zunaj Evropskega gospodarskega prostora (EGP). V takem primeru je za odobritev prenosa osebnih podatkov potrebna ena od štirih zakonitih podlag. Prvič, prenos v tretjo državo je dovoljen, če za tretjo državo velja sklep o ustreznosti (člen 45(1)).[43] V nasprotnem primeru je treba, kadar je to izvedljivo, uvesti enega od ustreznih zaščitnih ukrepov (člen 46(1)).[44] Če ni odločbe o ustreznosti in ustreznega zaščitnega ukrepa ni mogoče izvesti, se je mogoče sklicevati na posebno odstopanje (člen 49(1)).[45] Nazadnje, če ni zgoraj navedenega, se lahko stranka kot zakonito podlago za prenos osebnih podatkov tretji osebi sklicuje na nujni zakoniti interes (člen 49(1))[46].

Načrt precej izčrpno določa potrebne premisleke, ki jih morajo opraviti arbitražni udeleženci. V njem je večkrat poudarjeno, da so udeleženci arbitraže in ne arbitraža kot taka tisti, za katere veljajo načela varstva osebnih podatkov in pravila o prenosu[47]. V skladu s tem je domnevni sklep, da bi moral arbiter s sedežem v EU v arbitraži zunaj EU, za katero sicer ne velja GDPR, kljub temu izpolnjevati zahteve GDPR glede obdelave in prenosa osebnih podatkov. To je dejansko splošno sprejeto v postopkih trgovinske arbitraže,[48] vendar položaj ni tako jasen, ko gre za arbitražo med vlagateljem in državo.

Zadeva Tennant Energy, LLC proti vladi Kanade

Leta 2019 je družba Tennant Energy, LLC proti vladi Kanade (Tennant) v arbitraži iz 11. poglavja sporazuma NAFTA,[49] ki je bila tožnik, izpostavila vprašanje uporabe uredbe GDPR v postopku glede na državljanstvo in stalno prebivališče enega od članov arbitražnega sodišča v Združenem kraljestvu. Vendar je sodišče strankam izdalo navodila, v katerih je navedlo, da "arbitraža na podlagi 11. poglavja NAFTA, pogodbe, katere pogodbenice niso niti Evropska unija niti njene države članice, domnevno ne sodi na vsebinsko področje uporabe GDPR"[50].

Pomembno je razlikovati med arbitražo na podlagi pogodbe in trgovinsko arbitražo, pri čemer Tennant spada v prvo kategorijo. Načrt upošteva to razlikovanje in ugotavlja, da so lahko mednarodne organizacije izključene iz področja uporabe zakonodaje o varstvu osebnih podatkov.[51] Za člane sodišča v arbitraži Tennant lahko veljajo nekatere imunitete, ki izhajajo iz sporazuma o sedežu Stalnega arbitražnega sodišča (PCA) z Nizozemsko. Vendar sodišče NAFTA ni preučilo, ali bi za PCA kot mednarodno organizacijo veljala pravila GDPR o prenosu podatkov ali ali bi člani sodišča iz sporazuma pridobili določene imunitete.

Usmeritev Tennant v zvezi z uporabo uredbe GDPR v postopkih NAFTA in na splošno v arbitražah na podlagi pogodb odpira več vprašanj, kot daje odgovorov, pri čemer njuansirana razprava o tem presega pričujoči obseg. Kljub temu pa usmeritev Tennant v luči časovnega načrta kaže, da ta tema ostaja zelo negotova. V najboljšem primeru je vprašljivo, ali načrt prinaša kakršno koli jasnost za arbitražne udeležence, ki se soočajo s takim vprašanjem, zlasti ob upoštevanju, da je bil načrt izdan po izdaji navodila Tennant, vendar slednjega ni upošteval.

Vprašanje videokonferenc

Načrt priznava pomen varnosti osebnih podatkov. Vendar ima to vprašanje zaradi nedavne uporabe dodatne tehnologije za omogočanje virtualnih zaslišanj in dela od doma, ki so ga v glavnem spodbudile trenutne okoliščine, ki jih je povzročila pandemija Covid-19, dodatno težo. Protokol o kibernetski varnosti[52] in smernice za kibernetsko varnost Mednarodnega združenja odvetnikov (IBA)[53] so to vprašanje nekoliko osvetlili.

Protokol o kibernetski varnosti tako kot načrt določa več temeljnih načel. Uporablja se načelo sorazmernosti, sodišče ima pristojnost in diskrecijsko pravico za določitev veljavnih varnostnih ukrepov, informacijska varnost pa je vprašanje, o katerem je treba razpravljati na prvi konferenci o vodenju zadeve. Priloga A k Protokolu o kibernetski varnosti vsebuje kontrolni seznam, ki ga lahko stranke v arbitraži uporabijo za zaščito postopka.

Po nedavni spremembi delovnih vzorcev in okolij zaradi pandemije Covid-19 je treba tem vprašanjem dati večjo težo. V svetu, ki je pod pritiskom iskanja novih načinov poslovanja in prilagajanja časom negotovosti, je eno od vprašanj, s katerimi se je soočil pravni sektor, vprašanje obravnav v povezavi z omejitvami in potrebo po družbeni distanci. Priljubljenost videokonferenc in njihova uporaba v mednarodnih arbitražnih postopkih je zato nekaj, kar bi moral načrt obravnavati, vendar tega ni storil - ali pa vsaj še ne.

Čeprav so mnogi razpravljali in opozarjali na vprašanja videokonferenc, večina ni obravnavala, kako bi bilo treba zanje uporabljati zakone o varstvu osebnih podatkov, ne le glede varstva osebnih podatkov, temveč tudi glede varnosti, saj so bile nekatere platforme predmet varnostnih napadov[54].

Kot je navedeno zgoraj, je treba razumeti različne vloge strank, vključenih v arbitražo v zvezi z GDPR, in sicer kdo so "upravljavci podatkov" in "obdelovalci podatkov". Če programska oprema za videokonference obdeluje kakršne koli osebne podatke, na primer uporabniško ime in e-poštni naslov iz uporabe storitve s strani stranke, se šteje za "obdelovalca podatkov". To pomeni, da mora upoštevati pravila GDPR, če ima kateri od udeležencev stalno prebivališče v EU. Ker je sodišče za uslužbence "upravljavec podatkov", bo moralo zagotoviti takšno skladnost.

Mednarodna trgovinska zbornica (ICC) je izdala smernice[55], v katerih so strankam na voljo predlagane klavzule za protokole o kibernetski varnosti in virtualne obravnave. Njen namen je obravnavati varnostni vidik, vendar ne obravnava vidika varstva osebnih podatkov. Načrt bi moral obravnavati možnosti, v katerih bi varstvo osebnih podatkov veljalo za zaslišanja, ki potekajo virtualno, in tudi, kako se tega držati. Čeprav uredba GDPR določa zahteve, ki jih je treba izpolniti v zvezi z videokonferencami, ne daje smernic o tem, kako se njene zahteve neposredno uporabljajo.

Čeprav načrt ne vsebuje priporočil za posamezne ponudnike programske opreme, bi lahko pripravil seznam potrebnih specifikacij idealne programske opreme za video obravnave in ga zagotovil pravnikom, tako kot v svojih prilogah zagotavlja kontrolne sezname o različnih drugih zadevah.

Kje so tretji financerji?

Tretja oseba, ki financira, je vsaka oseba, ki ni stranka v arbitražnem postopku in sklene dogovor o financiranju vseh ali dela stroškov postopka v zameno za znesek, ki je v celoti ali delno odvisen od izida zadeve.[56] Tretja oseba, ki financira, ima dostop do različnih osebnih podatkov v arbitražnih postopkih, ki jih financira ali o financiranju razmišlja. Čeprav je načrt izrecno namenjen samo udeležencem arbitražnega postopka, je v njem navedeno, da so smernice pomembne tudi za ponudnike storitev, na katere prav tako vplivajo zahteve glede varstva osebnih podatkov[57].

V načrtu so med ponudniki storitev navedeni "strokovnjaki za e-odkrivanje, strokovnjaki za informacijsko tehnologijo, sodni poročevalci, prevajalske storitve itd."[58], vendar tretje osebe, ki financirajo arbitražo, niso izrecno omenjene. V skladu z uredbo GDPR sta zbiranje in shranjevanje osebnih podatkov vključena v obdelavo. Če torej tretji financerji zbirajo osebne podatke od drugih, bi se zakoni o osebnih podatkih uporabljali tudi zanje[59].

GDPR stranki dovoljuje obdelavo osebnih podatkov, če je "obdelava potrebna za namene zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba",[60] kar lahko arbitražni udeleženci potencialno navedejo kot veljavno pravno podlago za obdelavo zadevnih osebnih podatkov. Navodila o tej temi so omejena.[61] V načrtu je navedeno:

"Prvi korak pri oceni zakonitega interesa je opredelitev zakonitega interesa - kakšen je namen obdelave osebnih podatkov in zakaj je pomemben za vas kot upravljavca? V okviru arbitraže lahko zakoniti interes vključuje upravljanje pravosodja, zagotavljanje spoštovanja pravic strank ter hitro in pošteno reševanje zahtevkov v skladu z veljavnimi pravili arbitraže, pa tudi številne druge interese."[62]

Vključitev "tudi številnih drugih interesov" bi morda lahko vključevala legitimne denarne interese tretjih oseb, ki financirajo arbitražo. Če bi bilo tako, bi bili potem očitno dolžni skleniti sporazume o obdelavi podatkov s strankami v arbitražnem postopku in bi bili vključeni v področje uporabe predpisov in zahtev o varstvu osebnih podatkov. Zanimivo je, da v načrtu ni izrecno opredeljeno, kako so v to vključeni tretji financerji, zlasti glede na to, da so vse pogosteje vključeni v arbitražne postopke.

Ščit za nerazkrivanje

Obveznosti glede varstva osebnih podatkov povzročajo možnost zlorabe. Arbitražne stranke lahko GDPR v slabi veri uporabijo kot ščit, da bi preprečile razkritje informacij, ki so pomembne za postopek ali jih zahteva nasprotna stranka. Stranka lahko na primer ugovarja zahtevi za razkritje, če trdi, da dokumenti vsebujejo osebne podatke, ki niso povezani s sporom, ali da bi bila redakcija osebnih podatkov pretirano obremenjujoča[63].

Načrt obravnava možnost zlorabe. Predlaga, da se čim prej izpostavijo in pojasnijo obveznosti glede varstva osebnih podatkov, da bi se zmanjšalo tveganje, da bi te obveznosti vplivale na postopke. Udeleženci bi morali razmisliti o sklenitvi "protokola o varstvu podatkov" - dogovora o tem, kako se bo varstvo osebnih podatkov uporabljalo v določenem kontekstu. Če podpisanega protokola o varstvu podatkov ni mogoče doseči, je treba ta vprašanja obravnavati v postopkovnem sklepu številka ena[64].

Za primerjavo si lahko ogledamo skladnost GDPR med odkrivanjem v sodnih postopkih v ZDA. Zvezna sodišča ZDA so uporabila teste tehtanja, da bi odločila, ali naj odredijo razkritje ali izpolnitev sodnih pozivov ali odredb o odkrivanju, ki so potencialno v nasprotju s tujimi zakoni, vključno z zakoni o varstvu osebnih podatkov.[65] Neizčrpen seznam dejavnikov, ki so jih obravnavala zvezna sodišča ZDA, je

  • pomen zahtevanih dokumentov ali drugih informacij za sodni postopek;
  • stopnja specifičnosti zahteve;
  • ali informacije izvirajo iz ZDA;
  • razpoložljivost alternativnih sredstev za zagotovitev informacij in
  • obseg, v katerem bi neizpolnitev zahteve ogrozila pomembne interese ZDA[66].

Pogosteje zvezna sodišča zahtevajo razkritje kljub morebitnim kršitvam tujih zakonov o varstvu osebnih podatkov[67].

Arbitri se pri odločanju o tem, ali naj stranka odredi razkritje, soočajo z drugačnimi premisleki kot sodišča. Prav je, kot je navedeno v literaturi,[68] da se morajo razsodišča zavedati konkurenčnih pravic in dolžnosti v luči grožnje razveljavitve ali zavrnitve izvršitve v skladu s Konvencijo o priznavanju in izvrševanju tujih arbitražnih odločb iz leta 1958 (Newyorška konvencija). Vendar to stališče ne upošteva dejstva, da so odredbe o razkritju predmet minimalnega nadzora državnih sodišč zaradi načela nevmešavanja sodišč[69].[70] Primerov, ko se državna sodišča vzdržijo pregleda odredb o razkritju, je veliko[71].

Glede na diskrecijsko pravico, ki jo imajo sodišča v postopkovnih zadevah, grožnja razveljavitve ali zavrnitve izvršitve verjetno ne bo osrednji dejavnik. Neizogibnost, da bodo stranke poskušale zlorabiti obveznosti GDPR za pridobitev morebitne procesne prednosti, bo sodišča postavila v težaven položaj, ko bodo morala na eni strani uravnotežiti interese posameznika, na katerega se nanašajo osebni podatki, in na drugi strani ohraniti trden dokazni postopek.[71] Pojasnitev obveznosti glede skladnosti varstva osebnih podatkov na začetku postopka - po možnosti v podpisanem protokolu o varstvu podatkov - v skladu s priporočili iz načrta se zdi predpogojni korak za preverjanje tega ravnanja.

Neizpolnjevanje zahtev o varstvu osebnih podatkov kot pot do razveljavitve ter zavrnitve priznanja in izvršitve

Načrt ne obravnava vprašanja, ali se lahko neskladnost z zahtevami glede varstva osebnih podatkov uporabi za razveljavitev arbitražne odločbe ali zavrnitev njenega priznanja in izvršitve. Stranke imajo zelo omejena pravna sredstva zoper arbitražne odločbe. Kljub temu lahko neuspešna stranka želi izpodbijati njen izid in uporabiti enega od glavnih skupnih razlogov za izpodbijanje arbitražne odločbe ali preprečitev njenega priznanja ali izvršitve.

Newyorško konvencijo trenutno podpisuje 168 držav pogodbenic, zato je glavna pravna podlaga za priznavanje in izvrševanje tujih arbitražnih odločb v mednarodni trgovinski arbitraži. Konvencija v členu V določa omejene razloge, na podlagi katerih je mogoče zavrniti priznanje in izvršitev arbitražne odločbe. Za sedanje namene je najpomembnejši člen V(2)(b), v katerem je priznana možnost, da pristojni organ države podpisnice zavrne priznanje ali izvršitev arbitražne odločbe, ki krši javni red[72].

Razlogi za razveljavitev arbitražne razsodbe se med različnimi jurisdikcijami razlikujejo. Vzorčni zakon UNCITRAL o mednarodni trgovinski arbitraži, ki je bil široko sprejet, v členu 34(2) določa seznam razlogov za razveljavitev. Ta seznam je bil oblikovan po vzoru člena V Newyorške konvencije.[73] Člen 34(2)(b)(ii) določa, da lahko sodišče razveljavi arbitražno odločbo, če je ta v nasprotju z javnim redom države[74].

Sodišče Evropske unije (SES) je v zadevi Eco Swiss proti Benettonu razsodilo, da lahko prevladujoče obvezne določbe prava EU pomenijo temeljna pravila javnega reda, katerih kršitev je lahko razlog za razveljavitev arbitražne odločbe, ki temelji na takšnem razlogu v nacionalnem pravu.[75] Ali se lahko arbitražna odločba razveljavi ali zavrne njeno priznanje ali izvršitev zaradi neskladnosti z zahtevami glede varstva osebnih podatkov, bo torej odvisno od tega, ali se pravila GDPR štejejo za prevladujoče obvezne določbe, katerih kršitev je v nasprotju z nacionalnim javnim redom.[76]

V členu 9(1) Uredbe Rim I so prevladujoče obvezne določbe opredeljene kot določbe, "katerih spoštovanje država šteje za ključno za zaščito svojih javnih interesov ... v tolikšni meri, da se uporabljajo za vse primere, ki spadajo na njihovo področje uporabe, ne glede na pravo, ki se sicer uporablja". Kot sta že priznala Cervenka in Schwarz, se večina pravil uredbe GDPR verjetno lahko šteje za prevladujoče obvezne določbe v skladu s pravom EU. Zato se lahko njihova kršitev šteje za kršitev javnega reda[77].

Možnost, da bi nespoštovanje zahtev o varstvu osebnih podatkov lahko privedlo do razveljavitve ali nepriznavanja in neizvrševanja arbitražne odločbe, vzbuja različne pomisleke. Prvič, natančno bi bilo treba opredeliti, katere obveznosti glede varstva osebnih podatkov bi pomenile prevladujoče obvezne določbe, saj vse kršitve nimajo enake teže. Na koncu bo Sodišče Evropskih skupnosti verjetno pozvano, da zagotovi dodatna pojasnila. Drugič, upoštevati bi bilo treba tudi morebitno zlorabo možnosti izpodbijanja ali izpodbijanja izvršitve arbitražne odločbe na podlagi kršitve SUVP, da se prepreči, da bi stranke namerno kršile pravila o varstvu osebnih podatkov, da bi imele pozneje možnost regresa zoper arbitražno odločbo. Nazadnje bi bilo treba opredeliti, ali bodo predpisi o varstvu osebnih podatkov del procesnega ali materialnega prava in na kakšen način[78].

Čeprav je treba opredeliti še marsikaj, bi bilo treba obravnavati posledice neupoštevanja zahtev o varstvu osebnih podatkov na razveljavitev ter priznanje in izvršitev arbitražnih odločb. Zelo zanimivo je, da v časovnem načrtu to ni omenjeno.

Zaključek

Namen načrta je pomagati strokovnjakom na področju arbitraže opredeliti in razumeti obveznosti glede varstva osebnih podatkov in zasebnosti, ki bi lahko veljale zanje v okviru mednarodne arbitraže. Vendar pa, kot je bilo obravnavano prej, še vedno ne obravnava nekaterih posebnih vprašanj, ki so danes pomembna in pereča. Šest vprašanj, ki so opredeljena in obravnavana v tem dokumentu, je naslednjih:

  • uporaba uredbe GDPR za arbitraže, ki potekajo zunaj EU;
  • GDPR v okviru arbitraž NAFTA;
  • vprašanje virtualnih arbitražnih obravnav;
  • tretji financerji in njihovo mesto v časovnem načrtu;
  • morebitne zlorabe uredbe GDPR in
  • morebitna neskladnost z uredbo GDPR kot način za razveljavitev ali zavrnitev priznanja in izvršitve arbitražne odločbe.

O vsakem od teh vprašanj bo treba še naprej razmišljati, saj bodo po napovedih v prihodnjih letih postala še pomembnejša. Upamo, da se je pokazalo, da so vredna vključitve v časovni načrt.

Namen prilog[79], ki so dodane načrtu, je pomagati strokovnjakom pri praktičnem reševanju teh zahtev. Dodani kontrolni seznam za varstvo podatkov, kontrolni seznam za oceno zakonitih interesov, primeri obvestil o zasebnosti in standardne pogodbene klavzule EU so izjemno dragoceni viri, ki jih morajo strokovnjaki uporabljati pri zagotavljanju skladnosti z GDPR.

Vendar pa lahko v konfliktnih situacijah med različnimi jurisdikcijami razlike med različnimi domačimi zakonodajami, ki se nanašajo na varstvo osebnih podatkov, povzročijo nejasnosti. Čeprav so smernice iz načrta obsežne, še vedno niso zavezujoče. V preteklosti sta se UNCITRAL in IBA s svojimi pravili, smernicami in podobnim trudila zagotoviti usklajevanje v mednarodni arbitraži; čeprav ti niso zavezujoči, so vsekakor prepričljivi. Tako kot sta UNCITRAL in IBA poskušala storiti z različnimi vidiki mednarodne arbitraže, je nujno potrebna tudi uskladitev zahtev glede varstva osebnih podatkov v zvezi z arbitražo; zato bi bilo treba z namenom uskladitve pripraviti potrebne smernice.

Medtem ko usklajevanja, razumevanja in ozaveščenosti o zahtevah glede skladnosti z GDPR in njenih posledicah v okviru mednarodne arbitraže še vedno ni, se bomo kot strokovnjaki za arbitražo še naprej zadovoljili s trenutno veljavnim pravnim okvirom. Kljub pomanjkljivostim pa načrt predstavlja prepotreben in spodbuden korak v smeri skupnega razumevanja obveznosti arbitražnih udeležencev glede varstva osebnih podatkov.

Viri

  1. Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), UL 2016 L 119/1.
  2. "Osebni podatki" so v členu 4 Splošne uredbe o varstvu podatkov opredeljeni kot: (1) "'osebni podatki' pomenijo vse informacije v zvezi z določeno ali določljivo fizično osebo ('posameznik, na katerega se nanašajo osebni podatki'); določljiva fizična oseba je tista, ki jo je mogoče neposredno ali posredno določiti, zlasti na podlagi identifikatorja, kot je ime, identifikacijska številka, lokacijski podatki, spletni identifikator ali na podlagi enega ali več dejavnikov, značilnih za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali družbeno identiteto te fizične osebe."
  3. Teritorialno področje uporabe SUVP je v členu 3 opredeljeno na naslednji način:
    1. "Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti poslovne enote upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.

    2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane z

      (a) ponujanjem blaga ali storitev, ne glede na to, ali se zahteva plačilo posameznika, na katerega se nanašajo osebni podatki, takim posameznikom, na katere se nanašajo osebni podatki, v Uniji; ali

      (b) spremljanjem njihovega vedenja, če se njihovo vedenje odvija v Uniji.

    3. Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč na kraju, kjer se na podlagi mednarodnega javnega prava uporablja pravo države članice.
  4. Glej opredelitev pojma "obdelovalec" v členu 4 Splošne uredbe o varstvu podatkov.
  5. Člen 83(4) Splošne uredbe o varstvu podatkov.
  6. "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22. januar 2019), glej www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16. oktober 2020), glej www.bbc.com/news/technology-54568784.
  7. "Skupna delovna skupina ICCA-IBA za varstvo podatkov v mednarodni arbitraži" (ICCA), glej www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, dostop 18. avgusta 2021.
  8. Načrt ICCA-IBA za varstvo podatkov v mednarodni arbitraži" (ICCA, februar 2020), glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, dostop 18. avgusta 2021.
  9. Prav tam, 1.
  10. Zadeva PCA št. 2018-54.
  11. ICCA in newyorška odvetniška zbornica ter Mednarodni inštitut za preprečevanje in reševanje konfliktov, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostop 18. avgusta 2021.
  12. 'Smernice o kibernetski varnosti' (IBA, oktober 2018), glej www.ibanet.org/LPRU/Cybersecurity, dostop 1. decembra 2020.
  13. 'Smernice ICC o možnih ukrepih Aim' (Mednarodna trgovinska zbornica, 9. april 2020), dostopno 18. avgusta 2021.
  14. Načrt, oddelek B.
  15. Prav tam.
  16. Člen 4 Splošne uredbe o varstvu podatkov.
  17. Prav tam.
  18. Člen 4 Splošne uredbe o varstvu podatkov.
  19. Prav tam, člen 3(1).
  20. Načrt, 7.
  21. Člen 4 Splošne uredbe o varstvu podatkov.
  22. V časovnem načrtu so "udeleženci arbitražnega postopka" opredeljeni kot "vključno s strankami, njihovimi pravnimi svetovalci, arbitri in (samo) arbitražnimi institucijami". Glej Načrt (št. 3), 2.
  23. Člen 4 Splošne uredbe o varstvu podatkov.
  24. Glej sodbo z dne 29. julija 2019, Fashion ID GmbH & Co KG proti Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, točki 74 in 85. Glej tudi sodbo z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; sodbo z dne 10. julija 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Načrt, 11
  26. Prav tam, 12.
  27. Člena 5 in 12-22 Splošne uredbe o varstvu podatkov; časovni načrt, 14-15.
  28. V skladu z GDPR je na primer obdelava osebnih podatkov v okviru mednarodne arbitraže zakonita, če je potrebna za namene zakonitih interesov upravljavca podatkov - ob upoštevanju omejitev na podlagi interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki -, občutljivi podatki pa se lahko v okviru arbitraže obdelujejo na podlagi odstopanja glede pravnih zahtevkov (člen 9(2)(f)).
  29. Načrt, 19.
  30. Prav tam, 20-21.
  31. Prav tam, 30-31.
  32. Prav tam, 32.
  33. Prav tam, 33-36.
  34. Prav tam, 37-39.
  35. Prav tam, 37.
  36. Prav tam, 39.
  37. Prav tam, 40-41.
  38. Prav tam, 42.
  39. Prav tam, 43.
  40. Člen 5(1)(e) Splošne uredbe o varstvu podatkov.
  41. Načrt, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: (Kluwer Arbitration Blog, 29. avgust 2019), glej http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, dostopno 18. avgusta 2021.
  43. Komisija EU je ocenila, da država zagotavlja ustrezno varstvo podatkov.
  44. V primeru mednarodne arbitraže bi bila to najverjetneje standardna pogodbena klavzula.
  45. Odstopanje glede pravnih zahtevkov, ki dovoljuje prenose, kadar so "potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov", je najbolj uporabno v arbitražnem kontekstu.
  46. Zaradi visokega praga in zahteve po obveščanju je sklicevanje na nujne zakonite interese v praksi malo pomembno. Glej EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. februar 2018 (Smernice o prenosu podatkov).
  47. Načrt, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration (Nevidna roka uredbe GDPR v arbitraži na podlagi mednarodnih pogodb): (Kluwer Arbitration Blog, 29. avgust 2019), glej http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [zajeto 18. avgusta 2021].
  49. Zadeva PCA št. 2018-54.
  50. Prav tam, Sporočilo sodišča strankam (Perm Ct Arb, 2019).
  51. Načrt, 37.
  52. ICCA in newyorška odvetniška zbornica ter Mednarodni inštitut za preprečevanje in reševanje konfliktov, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostop 18. avgusta 2021.
  53. 'Smernice o kibernetski varnosti' (IBA, oktober 2018), glej www.ibanet.org/LPRU/Cybersecurity, dostop 1. decembra 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18. julij 2020), glej http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, dostop 18. avgusta 2021.
  55. "Smernice ICC o možnih ukrepih, namenjenih ublažitvi učinkov pandemije COVID-19" (ICC, 9. april 2020), dostopno 18. avgusta 2021.
  56. "Financiranje tretjih oseb v mednarodni arbitraži: (ICCA, maj 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, dostop 18. avgusta 2018.
  57. Načrt, 2.
  58. Prav tam, 23-25.
  59. Člen 4(2) Splošne uredbe o varstvu podatkov, glej točko 1 zgoraj.
  60. Člen 6(1)(f) SUVP.
  61. Allan J Arffa in drugi, "GDPR Issues in International Arbitration" (Lexology, 10. avgust 2020), glej www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, dostop 18. avgusta 2021.
  62. Načrt, Priloga 5.
  63. Allan J Arffa in drugi, "GDPR Issues in International Arbitration" (Lexology, 10. avgust 2020), glej www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, dostop 18. avgusta 2021.
  64. Načrt 40-41.
  65. Glej npr: David M. Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Prav tam; Richmark Corp proti Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6. februar 2020), glej www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, dostopno 18. avgusta 2021.
  68. David M. Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2. izdaja, Kluwer Law International 2014), 2335.
  70. Ibid. Born v podkrepitev te trditve navaja naslednje sodbe: Sodba z dne 22. januarja 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" proti Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "odločitev arbitražnega sodišča, da odredi razkritje, je v njegovi procesni diskreciji in je sodišča ne morejo preverjati"; Karaha Bodas Co proti Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Zahteve za razkritje so "v okviru razumnega izvajanja diskrecijske pravice Sodišča za uslužbence".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. december 2019), glej www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, dostop 18. avgusta 2021.
  72. Newyorška konvencija, člen V(2): "Priznanje in izvršitev arbitražne odločbe se lahko zavrneta tudi, če pristojni organ v državi, kjer se zahteva priznanje in izvršitev, ugotovi, da ... (b) bi bilo priznanje ali izvršitev odločbe v nasprotju z javnim redom te države.
  73. Generalni sekretar ZN, Analitični komentar k osnutku besedila vzorčnega zakona o mednarodni trgovinski arbitraži, A/CN.9/264 (1985), člen 34, odstavek 6.
  74. Vzorčni zakon UNCITRAL o mednarodni trgovinski arbitraži, člen 34(2): Sodišče iz 6. člena lahko razveljavi arbitražno odločbo samo, če ...(b) sodišče ugotovi, da ...(ii) je odločba v nasprotju z javnim redom te države".
  75. Sodba z dne 1. junija 1999, Eco Swiss China Time Ltd proti Benetton International NV C-126/97, Recueil 1999, str. 39 in 41. Za podrobno razpravo o javnem redu EU glej: Sacha Prechal in Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka in Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Za podrobnejšo razpravo o teh in drugih vprašanjih gl: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" v José R Mata Dona in Nikos Lavranos (ur.), International Arbitration and EU Law (Edward Elgar Publishing, 2021), 5.63 in naslednji odstavki; Cervenka in Schwarz, glej št. 76 zgoraj, 84-85.
  79. 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, februar 2020), glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, dostopno 18. avgusta 2021.

Ta članek je bil prvič objavljen v Dispute Resolution International, letnik 15, št. 2, oktober 2021, in je povzet s prijaznim dovoljenjem Mednarodnega združenja odvetnikov, London, Združeno kraljestvo. © Mednarodno združenje odvetnikov.

Nazaj na pregled