Logo Medzinárodnej advokátskej komory

Súboj titanov: GDPR a medzinárodná arbitráž - pohľad do budúcnosti

Autor: Mgr: Neva Cirkveni a Per Neuburger

Úvod

V posledných rokoch sa vynárajú otázky o praktických dôsledkoch ochrany osobných údajov a kybernetickej bezpečnosti na samotný priebeh medzinárodných arbitráží - najmä ak sa zohľadní neustále tempo technologických zmien.

Všeobecné nariadenie o ochrane údajov (GDPR)[i] oslávila v máji 2020 svoje druhé narodeniny. Cieľom rámca ochrany osobných údajov GDPR je zabezpečiť voľný pohyb osobných údajov "identifikovaných alebo identifikovateľných fyzických osôb".[ii] Uplatňuje sa v rámci Európskej únie a má exteritoriálnu pôsobnosť, ktorá sa môže rozšíriť aj mimo EÚ;[iii] GDPR sa môže týkať nielen všetkých fyzických alebo právnických osôb, ale povinnosti v oblasti ochrany osobných údajov sa vzťahujú aj na verejné orgány, agentúry a iné subjekty - prípadne aj na medzinárodné organizácie.[iv] Sankcie podľa GDPR môžu dosiahnuť 4 % celosvetového ročného obratu subjektu, ktorý porušil nariadenie, za predchádzajúci finančný rok alebo 20 miliónov EUR, podľa toho, ktorá suma je vyššia.[v] Potreba brať jeho uplatňovanie vážne sa už preukázala prostredníctvom pokút v hodnote niekoľkých miliónov eur, ktoré boli uložené vo viacerých jurisdikciách.[vi]

Hoci je uplatňovanie zákonov o ochrane osobných údajov na rozhodcovské konanie stanovené, spôsob, akým by sa tieto zákony mali uplatňovať, nie je stanovený. Z tohto dôvodu Medzinárodná rada pre obchodnú arbitráž (ICCA) a Medzinárodná advokátska komora (IBA) zriadili vo februári 2019 spoločnú pracovnú skupinu pre ochranu údajov v medzinárodnom rozhodcovskom konaní s cieľom vypracovať príručku, ktorá poskytne praktické usmernenie k ochrane osobných údajov v medzinárodnej arbitráži. Pracovná skupina zverejnila konzultačný návrh tejto príručky v marci 2020.[vii] Tento komentár bude vychádzať z tohto návrhu plánu (ďalej len "plán"),[viii] pričom konečná, revidovaná verzia plánu by mala byť zverejnená v septembri 2021. Hoci lehota na predloženie pripomienok ku konzultačnému návrhu v čase písania tejto správy už uplynula, predbežná verzia plánu napriek tomu ilustruje otázky, ktoré GDPR vyvoláva v medzinárodných arbitrážach. Bude sa preto používať ako základ diskusie.

Väčšina zákonov o ochrane osobných údajov je v rozhodcovskom konaní záväzná, čo znamená, že predpisujú:

  • aké osobné údaje sa môžu spracúvať;
  • kde;
  • akými prostriedkami;
  • s akými opatreniami na zabezpečenie informácií a
  • na ako dlho.[ix]

Nezaoberajú sa však tým, ako by sa tieto záväzné povinnosti mali dodržiavať v rozhodcovskom konaní. Vzhľadom na to, že regulačné orgány neposkytli konkrétne usmernenia, cieľom tohto plánu je pomôcť odborníkom v oblasti rozhodcovského konania identifikovať a pochopiť povinnosti v oblasti ochrany osobných údajov a súkromia, ktoré sa na nich môžu vzťahovať v kontexte medzinárodného rozhodcovského konania. Okrem toho rozsah ochrany GDPR zostáva relevantný v medzinárodných rozhodcovských konaniach, najmä pokiaľ ide o to, či sa právne predpisy GDPR uplatňujú na rozhodcovské konania so sídlom mimo EÚ. Ak sa zistí, že GDPR sa vzťahuje na rozhodcovské konanie, existujú rôzne ďalšie dôsledky: po prvé, či je zakázané spracúvanie osobných údajov a po druhé, či existujú obmedzenia prenosu osobných údajov mimo EÚ. Napokon, vzhľadom na čoraz častejšie kybernetické útoky by následky takéhoto útoku na rozhodcovské konanie mohli priniesť značné škody.

Cieľom tohto článku je poskytnúť komentár k plánu a preskúmať praktické opatrenia, ktoré by sa mali zohľadniť v súvislosti s povinnosťami v oblasti ochrany osobných údajov v medzinárodnom rozhodcovskom konaní. Plán sa v ňom označuje za sľubný, aj keď neúplný nástroj, ktorý dopĺňa rôzne doterajšie pokusy o harmonizáciu medzinárodného rozhodcovského konania v rámci soft law, najmä nástroje IBA a Komisie OSN pre medzinárodné obchodné právo (UNCITRAL).

Najprv sa uvedie stručný prehľad plánu, ktorý obsahuje odkaz na zásady GDPR. Nemá to byť komplexný prehľad, ale skôr predstavenie hlavných bodov plánu, aby čitateľ získal kontext pre následnú diskusiu. Po druhé, bude uvedený komentár, ktorý sa dotkne šiestich relevantných otázok:

  • uplatniteľnosť GDPR na rozhodcovské konania mimo EÚ;
  • GDPR v kontexte arbitráží v rámci Severoamerickej dohody o voľnom obchode (NAFTA), ako je uvedené vo veci Tennant Energy, LLC proti vláde Kanady;[x]
  • otázka videokonferencií, ktorých význam počas pandémie Covid-19 výrazne vzrástol, vrátane odkazov na "Protokol ICCA-NYC Bar-CPR o kybernetickej bezpečnosti v medzinárodnej arbitráži" (Protokol o kybernetickej bezpečnosti)[xi] usmernenia IBA o kybernetickej bezpečnosti[xii] a Usmernenie ICC o možných opatreniach zameraných na zmiernenie účinkov pandémie COVID-19;[xiii]
  • "tretích strán" a spôsob, akým sú zohľadnené v pláne;
  • zneužívanie GDPR, najmä ako štítu na nezverejňovanie informácií, a
  • možnosť využitia nedodržania požiadaviek na ochranu osobných údajov ako cesty k zrušeniu alebo odmietnutiu uznania a výkonu rozhodcovského rozsudku.

Záverečné myšlienky budú uvedené v závere.

Plán cesty

Na fyzické a právnické osoby sa vzťahujú povinnosti chrániť osobné údaje dotknutých osôb. Na samotné rozhodcovské konanie sa nevzťahujú povinnosti týkajúce sa ochrany osobných údajov. Ak však povinnosti v oblasti ochrany osobných údajov podlieha len jeden účastník rozhodcovského konania, môže to mať vplyv na rozhodcovské konanie ako celok. To, či spracúvanie osobných údajov spadá do príslušných zákonov, vecnej a jurisdikčnej pôsobnosti, určí, či sa uplatňujú zákony o ochrane osobných údajov.[xiv]

Moderné zákony o ochrane osobných údajov sa uplatňujú vždy, keď sa spracúvajú osobné údaje o dotknutej osobe počas činností, ktoré patria do pôsobnosti príslušných zákonov o ochrane osobných údajov.[xv] Osobné údaje zahŕňajú "akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby".[xvi] Počas typického rozhodcovského konania sa vymieňajú podstatné časti informácií týkajúcich sa okrem iného strán, ich právnych zástupcov, súdu a tretích strán. Ako také sa pravdepodobne budú považovať za údaje, ktoré možno zahrnúť do vymedzenia pojmu "osobné údaje". Pod pojmom "dotknuté osoby" sa rozumejú vyššie uvedené osoby, ktoré sú identifikované alebo identifikovateľné.[xvii] Spracúvanie zahŕňa aktívne a pasívne operácie, teda používanie, šírenie a vymazávanie osobných údajov, ako aj prijímanie, organizovanie a uchovávanie osobných údajov.[xviii] Rozsah pôsobnosti zahŕňa činnosti, pri ktorých sa osobné údaje spracúvajú v rámci činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v EÚ.[xix] a extrateritoriálne, napríklad keď sa osobné údaje prenášajú mimo EÚ subjektom alebo jednotlivcom, ktorí už z iných dôvodov nepodliehajú GDPR.[xx]

Rozhodcovia budú kvalifikovaní ako kontrolóri údajov, čo znamená, že budú zodpovední za dodržiavanie zákonov o ochrane osobných údajov. Vychádzajúc z definície pojmu "kontrolór údajov";[xxi] väčšina účastníkov rozhodcovského konania[xxii] sa za také pravdepodobne považujú, vrátane právneho zástupcu, strán a inštitúcie. Správcovia údajov môžu poveriť spracovaním údajov spracovateľov údajov,[xxiii] ktoré budú pod ich kontrolou a budú vyžadovať dohody o spracovaní údajov za podmienok stanovených platnými právnymi predpismi. Sekretárky, zapisovatelia, prekladatelia a ďalší sa teda pravdepodobne budú považovať za spracovateľov údajov. Ďalej je tu otázka spoločných prevádzkovateľov, ktorí spoločne určujú účely a prostriedky spracovania údajov. Spoločná kontrola sa vykladá široko, ale zodpovednosť spoločného kontrolóra je obmedzená len na spracovanie, ktoré určil kontrolór, jeho účel a prostriedky, a nie na celkové spracovanie.[xxiv]

V medzinárodných arbitrážach sú obmedzenia prenosu osobných údajov medzi jurisdikciami zjavným spôsobom, akým sa uplatňujú právne predpisy o ochrane osobných údajov. Pozadie rôznych účastníkov rozhodcovského konania bude určovať uplatňovanie rôznych režimov ochrany osobných údajov. Moderné zákony o ochrane osobných údajov obmedzujú prenosy osobných údajov do tretích krajín s cieľom zabezpečiť, aby sa právne povinnosti neobchádzali prenosom osobných údajov do jurisdikcií s nižšími normami ochrany osobných údajov.[xxv] GDPR povoľuje prenos osobných údajov do tretej krajiny, ak nastane jedna z týchto skutočností:

  • Komisia EÚ uznala, že krajina poskytuje primeranú ochranu osobných údajov;
  • sa zavedie jedno z výslovne uvedených ochranných opatrení;
  • výnimka umožňujúca prenosy, ak sú potrebné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo
  • presvedčivý oprávnený záujem strany.[xxvi]

Tieto pravidlá sa vzťahujú na účastníkov rozhodcovského konania, a nie na rozhodcovské konanie ako celok, čím sa každému účastníkovi rozhodcovského konania ukladá povinnosť zvážiť, aké obmedzenia prenosu osobných údajov sa na neho vzťahujú.

Zásady ochrany osobných údajov uplatniteľné v rozhodcovskom konaní zahŕňajú spravodlivé a zákonné spracúvanie, proporcionalitu, minimalizáciu údajov, obmedzenie účelu, práva dotknutých osôb, presnosť, bezpečnosť údajov, transparentnosť a zodpovednosť.[xxvii]

Niektoré z týchto zásad si vyžadujú ďalšie komentáre. Spravodlivé a zákonné spracúvanie znamená, že osobné údaje by sa mali spracúvať len spôsobom, ktorý by dotknuté osoby odôvodnene očakávali, a že na spracúvanie musí existovať právny základ. Pri uplatňovaní zásady spravodlivého spracúvania by si strana a jej právny zástupca mali položiť otázku, či by fyzické osoby v kontexte všetkých skutočností očakávali, že ich osobné údaje budú spracúvané takýmto spôsobom, či to pre ne bude mať nepriaznivé dôsledky a či sú tieto dôsledky odôvodnené. Táto zásada nebude brániť tomu, aby boli osobné údaje nájdené v obchodných e-mailoch prijaté ako dôkaz.

Pojem zákonné spracúvanie zahŕňa právny základ, ktorý sa odvíja od skutočnosti a závisí od konkrétneho prípadu. Namiesto spoliehania sa na súhlas by sa mali uvádzať konkrétne právne základy v GDPR.[xxviii]

Proporcionalita si vyžaduje posúdenie povahy, rozsahu, kontextu a účelov spracúvania vo vzťahu k rizikám, ktoré predstavujú pre dotknutú osobu.[xxix] Minimalizácia údajov vyžaduje, aby účastníci rozhodcovského konania obmedzili spracúvanie na osobné údaje, ktoré sú primerané, relevantné a obmedzené na to, čo je nevyhnutné.[xxx] Transparentnosť si vyžaduje, aby boli dotknuté osoby informované o spracúvaní a účele spracúvania osobných údajov buď prostredníctvom všeobecných oznámení, osobitných oznámení, alebo oboch.[xxxi] Zodpovednosť sa týka osobnej zodpovednosti za dodržiavanie ochrany údajov, čo znamená, že účastníci rozhodcovského konania by mali zdokumentovať všetky opatrenia a rozhodnutia týkajúce sa ochrany osobných údajov, ktoré prijali, aby preukázali ich dodržiavanie.[xxxii]

Dodržiavanie ochrany osobných údajov ovplyvňuje jednotlivé kroky medzinárodného rozhodcovského konania, a to nielen počas samotného rozhodcovského konania, ale aj počas príprav. Účastníci rozhodcovského konania by mali od začiatku zvážiť, ktoré právne predpisy o ochrane osobných údajov sa vzťahujú na nich a ostatných účastníkov rozhodcovského konania a ktorí účastníci rozhodcovského konania budú spracúvať osobné údaje ako prevádzkovatelia, sprostredkovatelia alebo spoloční prevádzkovatelia. Mali by sa zvážiť aj pravidlá prenosu osobných údajov tretích krajín a dohody o spracúvaní osobných údajov týkajúce sa poskytovateľov služieb tretích strán. Počas procesu zhromažďovania a posudzovania dokumentov potrebujú účastníci a ich právni poradcovia zákonný základ pre spracovateľské činnosti a prenosy osobných údajov do tretích krajín.[xxxiii]

Žiadosť o rozhodcovské konanie, ako aj následné podania budú obsahovať osobné údaje, ktoré patria do oblasti spracovania. Ak je rozhodcovská inštitúcia viazaná platnými právnymi predpismi o ochrane osobných údajov, musí zvážiť potenciálne povinnosti v oblasti ochrany osobných údajov, ktoré sa uplatňujú počas každého procesného kroku. Ak sa na rozhodcovskú inštitúciu vzťahuje nariadenie GDPR, zvyčajne sa stane prevádzkovateľom osobných údajov. Na splnenie požiadaviek článkov 13 a 14 GDPR by takáto inštitúcia mala do svojho oznámenia o ochrane osobných údajov zahrnúť informácie týkajúce sa bezpečnostných opatrení, výkonu práv dotknutej osoby, vedenia záznamov a zásad porušenia a uchovávania údajov.[xxxiv] Medzinárodné organizácie spravujúce arbitráže medzi investorom a štátom však môžu byť vylúčené z rozsahu pôsobnosti zákonov o ochrane osobných údajov z dôvodu výsad a imunít v zakladajúcom štáte alebo v dohode s hostiteľskou krajinou. V tomto prípade je preto potrebné vykonať samostatné úvahy, okrem iného vrátane toho, či je organizácia viazaná zákonmi o ochrane osobných údajov a či - a v akom rozsahu - by sa na účastníkov rozhodcovského konania vzťahovali výsady a imunity.[xxxv]

Počas vymenúvania rozhodcov do rozhodcovského súdu sa spravidla vymieňa značné množstvo osobných údajov potenciálnych rozhodcov. Účastníci rozhodcovského konania by mali do svojich právnych oznámení zahrnúť právny základ spracúvania týchto osobných údajov a výslovne informovať rozhodcov, ktorých vymenovanie sa zvažuje, o spracúvaní ich osobných údajov, najmä v prípade prenosu osobných údajov z tretích krajín.[xxxvi]

Po začatí rozhodcovského konania by sa mali včas prideliť zodpovednosti za dodržiavanie ochrany osobných údajov, aby sa minimalizovali riziká. Ochrana osobných údajov by mala byť zaradená do programu prvej procesnej konferencie a účastníci rozhodcovského konania by sa mali pokúsiť čo najskôr dohodnúť na spôsobe riešenia súladu s ochranou osobných údajov. Strany, ich právni zástupcovia a rozhodcovia by mali zvážiť uzavretie protokolu o ochrane osobných údajov s cieľom účinne riadiť otázky dodržiavania súladu. Ak to nie je možné, alternatívnou možnosťou je, aby ich rozhodcovský súd zahrnul do procesného poriadku číslo jeden.[xxxvii]

V procese tvorby a zverejňovania dokumentov je obzvlášť dôležitá zásada minimalizácie osobných údajov. Podľa nariadenia GDPR by si to pravdepodobne vyžadovalo:

  • obmedzenie zverejnených osobných údajov na tie, ktoré sú relevantné a neduplicitné;
  • identifikáciu osobných údajov obsiahnutých v odpovedajúcom materiáli a
  • redigovanie alebo pseudonymizácia nepotrebných osobných údajov.

Aj tieto otázky by sa mali zvážiť na začiatku konania, najlepšie na prvej procesnej konferencii alebo pred ňou.[xxxviii]

Pokiaľ ide o vydávanie rozhodcovských rozsudkov, rozhodcovia a inštitúcie by mali zvážiť základ a nevyhnutnosť zahrnutia osobných údajov do rozsudkov. Ak je rozhodcovské konanie dôverné, napriek tomu existuje riziko, že sa rozhodcovský rozsudok stane verejným, keď sa vykoná. Aj keď sú osobné údaje redigované, zvyčajne zostávajú osobnými údajmi, keďže dotknutá osoba je identifikovateľná z ostatných častí rozhodcovského rozsudku alebo súvisiacich materiálov.[xxxix]

Uchovávanie a vymazávanie údajov sa považuje za spracúvanie podľa GDPR, ktoré stanovuje, že osobné údaje sa "uchovávajú vo forme, ktorá umožňuje identifikáciu dotknutých osôb, nie dlhšie, ako je potrebné na účely, na ktoré sa osobné údaje spracúvajú".[xl] Prevádzkovatelia musia zvážiť, zdokumentovať a vedieť zdôvodniť dĺžku skladovania. Účastníci rozhodovania musia zvážiť, aká doba uchovávania údajov je primeraná, a mali by zvoliť primeraný prístup, aby vyvážili svoje potreby s vplyvom uchovávania údajov na subjekt.[xli]

Uplatniteľnosť GDPR na rozhodcovské konania mimo EÚ

Územná pôsobnosť všeobecného nariadenia o ochrane údajov je pomerne široká. Právnici by si mali byť vedomí jeho uplatňovania bez ohľadu na to, či majú sídlo alebo rozhodcovské konanie prebieha v EÚ. Všeobecné nariadenie o ochrane údajov sa vzťahuje na spracúvanie osobných údajov prevádzkovateľmi alebo sprostredkovateľmi so sídlom v EÚ bez ohľadu na to, či sa samotné spracúvanie vykonáva v EÚ (článok 3 ods. 1). Okrem toho, ak ide o ponuku tovaru alebo služieb občanom EÚ alebo monitorovanie správania, ktoré sa uskutočňuje v EÚ, GDPR sa vzťahuje na spracúvanie osobných údajov prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v EÚ (článok 3 ods. 2).

Pri aplikácii na rozhodcovské konanie GDPR ukladá povinnosti prevádzkovateľom a spracovateľom údajov - rozhodcom, právnym zástupcom, stranám a inštitúciám -, ktoré patria do jeho vecnej a územnej pôsobnosti, a nie priamo rozhodcovskému konaniu. Aj keď ide len o jedného účastníka rozhodcovského konania, ktorý má väzbu na EÚ, bude povinný spracúvať osobné údaje v súlade s GDPR. Môžu vzniknúť dôsledky pre konanie ako celok.[xlii]

V kontexte medzinárodnej arbitráže, kde je prenos rozhodcovských materiálov obsahujúcich osobné údaje bežný, sú azda najpozoruhodnejšie obmedzenia prenosu osobných údajov do "tretích krajín" mimo Európskeho hospodárskeho priestoru (EHP). V takomto prípade sa na povolenie prenosu osobných údajov vyžaduje jeden zo štyroch zákonných základov. Po prvé, prenos do tretej krajiny je povolený, ak sa na túto tretiu krajinu vzťahuje rozhodnutie o primeranosti (článok 45 ods. 1).[xliii] Ak to tak nie je, mala by sa zaviesť jedna z vhodných záruk (článok 46 ods. 1), ak je to možné.[xliv] Ak neexistuje rozhodnutie o primeranosti a nie je možné prijať vhodné ochranné opatrenie, je možné uplatniť osobitnú výnimku (článok 49 ods. 1).[xlv] Napokon, ak neexistujú vyššie uvedené skutočnosti, môže sa strana odvolávať na naliehavý oprávnený záujem (článok 49 ods. 1).[xlvi] ako zákonný základ pre prenos osobných údajov tretej strane.

V pláne sú pomerne komplexne uvedené potrebné úvahy, ktoré musia účastníci rozhodcovského konania urobiť. Viackrát sa v ňom zdôrazňuje, že sú to účastníci rozhodcovského konania, a nie rozhodcovské konanie ako také, na ktorých sa vzťahujú zásady ochrany osobných údajov a pravidlá prenosu.[xlvii] V súlade s tým sa predpokladá, že rozhodca so sídlom v EÚ, ktorý sa zúčastňuje na rozhodcovskom konaní mimo EÚ, na ktoré sa inak nevzťahuje GDPR, by napriek tomu musel spĺňať požiadavky GDPR týkajúce sa spracúvania a prenosu osobných údajov. To je skutočne všeobecne akceptované v obchodných rozhodcovských konaniach,[xlviii] ale situácia nie je taká jasná, pokiaľ ide o arbitráž medzi investorom a štátom.

Prípad Tennant Energy, LLC proti vláde Kanady

V roku 2019 v arbitráži podľa kapitoly 11 dohody NAFTA Tennant Energy, LLC proti vláde Kanady (Tennant),[xlix] Žalobca Tennant vzniesol otázku uplatňovania GDPR na konanie vzhľadom na štátnu príslušnosť a bydlisko jedného z členov tribunálu v Spojenom kráľovstve. Tribunál však vydal účastníkom konania pokyny, v ktorých uviedol, že "rozhodcovské konanie podľa kapitoly 11 NAFTA, zmluvy, ktorej zmluvnou stranou nie je Európska únia ani jej členské štáty, zrejme nespadá do vecnej pôsobnosti GDPR".[l]

Je dôležité rozlišovať medzi zmluvnou a obchodnou arbitrážou, pričom Tennant patrí do prvej kategórie. Plán sa zaoberá týmto rozlišovaním a uvádza, že medzinárodné organizácie môžu byť vylúčené z rozsahu pôsobnosti zákonov o ochrane osobných údajov.[li] Na členov tribunálu v rozhodcovskom konaní vo veci Tennant sa môžu vzťahovať určité imunity vyplývajúce z dohody o sídle Stáleho rozhodcovského súdu (PCA) s Holandskom. Tribunál NAFTA sa však nezaoberal tým, či by sa na PCA ako na medzinárodnú organizáciu vzťahovali pravidlá o prenose podľa GDPR alebo či by členovia tribunálu mali z tejto dohody odvodené určité imunity.

Stránka Tennant smer vyvoláva viac otázok ako odpovedí, pokiaľ ide o uplatniteľnosť GDPR na konania NAFTA a na zmluvné arbitráže vo všeobecnosti, ktorých podrobná diskusia presahuje rámec tohto príspevku. Napriek tomu smerovanie Tennant, vnímané vo svetle plánu, ukazuje, že táto téma zostáva veľmi neistá. Je nanajvýš otázne, či plán prináša účastníkom rozhodcovského konania, ktorí čelia takejto otázke, nejakú jasnosť, najmä vzhľadom na to, že plán bol vydaný po Tennant bolo vydané usmernenie, ktoré mu však nepriznalo žiadnu protihodnotu.

Problematika videokonferencií

V pláne sa uznáva dôležitosť bezpečnosti osobných údajov. Avšak vzhľadom na nedávne využívanie ďalších technológií na uľahčenie virtuálnych vypočutí, ako aj práce z domu - väčšinou podnietenej súčasnými okolnosťami, ktoré nám vnucuje pandémia Covid-19 - má táto otázka väčšiu váhu. Protokol o kybernetickej bezpečnosti[lii] a usmernenia IBA o kybernetickej bezpečnosti[liii] vniesli do tejto problematiky trochu svetla.

Podobne ako plán, aj protokol o kybernetickej bezpečnosti stanovuje niekoľko základných zásad. Uplatňuje sa zásada proporcionality, súd má právomoc a diskrečnú právomoc pri určovaní zavedených bezpečnostných opatrení a bezpečnosť informácií je otázka, ktorá by sa mala prerokovať na prvej konferencii o riadení prípadu. V prílohe A k Protokolu o kybernetickej bezpečnosti sa uvádza kontrolný zoznam, ktorý môžu strany rozhodcovského konania použiť na zabezpečenie konania.

Po nedávnej zmene pracovných modelov a prostredia v dôsledku pandémie Covid-19 by sa týmto otázkam mala venovať väčšia pozornosť. Vo svete, ktorý bol tlačený k tomu, aby našiel nové spôsoby podnikania a prispôsobil sa časom neistoty, je jedným z problémov, ktorým čelí právny sektor, otázka vypočúvania spojená s obmedzeniami a potrebou sociálneho odstupu. Popularita videokonferencií a ich využívanie v medzinárodných rozhodcovských konaniach je preto niečo, čím by sa mal plán zaoberať, ale neurobil tak - alebo aspoň zatiaľ nie.

Hoci mnohí diskutovali a poukazovali na problémy videozáznamov, väčšina z nich sa nezaoberala tým, ako by sa na ne mali uplatňovať zákony o ochrane osobných údajov, a to nielen pokiaľ ide o ochranu osobných údajov, ale aj o bezpečnosť, keďže niektoré platformy boli predmetom bezpečnostných útokov.[liv]

Ako sa uvádza vyššie, je nevyhnutné pochopiť rôzne úlohy strán zapojených do rozhodcovského konania týkajúceho sa GDPR, konkrétne kto sú "prevádzkovatelia údajov" a "sprostredkovatelia údajov". Ak videokonferenčný softvér spracúva akékoľvek osobné údaje, napríklad používateľské meno a e-mailovú adresu z používania služby stranou, bude sa považovať za "spracovateľa údajov". To znamená, že musí dodržiavať pravidlá GDPR, ak má niektorý z účastníkov sídlo v EÚ. Keďže tribunál je "prevádzkovateľom údajov", bude potom povinnosťou tribunálu zabezpečiť takéto dodržiavanie.

Medzinárodná obchodná komora (ICC) vydala usmernenie[lv] ktorá poskytuje stranám navrhované doložky pre protokoly o kybernetickej bezpečnosti a virtuálne vypočutia. Jeho cieľom je riešiť aspekt bezpečnosti, ale nezaoberá sa aspektom ochrany osobných údajov. V pláne by sa malo diskutovať o možnostiach, v ktorých by sa ochrana osobných údajov uplatňovala na vypočutia vykonávané virtuálne, a tiež o tom, ako ich dodržiavať. V nariadení GDPR sa síce uvádzajú požiadavky, ktoré musia byť splnené v súvislosti s videokonferenciami, ale neuvádza sa v ňom usmernenie, ako sa jeho požiadavky priamo uplatňujú.

Hoci plán neposkytuje odporúčania týkajúce sa konkrétnych poskytovateľov softvéru, mohol by zostaviť a poskytnúť odborníkom z praxe zoznam potrebných špecifikácií ideálneho softvéru pre videoprocesy, rovnako ako poskytuje kontrolné zoznamy týkajúce sa rôznych iných otázok v rámci svojich príloh.

Ako do toho zapadajú poskytovatelia finančných prostriedkov z tretích strán?

Financujúcou treťou stranou sa rozumie každá osoba, ktorá nie je účastníkom rozhodcovského konania a ktorá uzavrie dohodu o financovaní všetkých alebo časti nákladov konania výmenou za sumu, ktorá úplne alebo čiastočne závisí od výsledku prípadu.[lvi] Financujúce tretie strany majú prístup k rôznym osobným údajom v rozhodcovských konaniach, ktoré financujú alebo ktorých financovanie zvažujú. Hoci je plán výslovne určený len účastníkom rozhodcovského konania, uvádza sa v ňom, že usmernenie je relevantné aj pre poskytovateľov služieb, na ktorých sa vzťahujú požiadavky na ochranu osobných údajov.[lvii]

V pláne sú medzi poskytovateľmi služieb uvedení "odborníci na elektronické zisťovanie, odborníci na informačné technológie, súdni zapisovatelia, prekladateľské služby atď.[lviii] ale financujúce tretie strany nie sú výslovne uvedené. Podľa nariadenia GDPR je zhromažďovanie a uchovávanie osobných údajov zahrnuté do spracovania. Ak teda tretie strany - poskytovatelia finančných prostriedkov zhromažďujú osobné údaje od iných osôb, zákony o osobných údajoch by sa vzťahovali aj na ne.[lix]

GDPR povoľuje strane spracúvať osobné údaje, ak "je spracúvanie nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany,[lx] ktorý môžu účastníci rozhodcovského konania potenciálne uviesť ako uplatniteľný právny základ na spracúvanie príslušných osobných údajov. K tejto téme existuje len obmedzené usmernenie.[lxi] V pláne sa uvádza:

"Prvým krokom pri posudzovaní oprávneného záujmu je identifikácia oprávneného záujmu - aký je účel spracovania osobných údajov a prečo je pre vás ako prevádzkovateľa dôležitý? V kontexte rozhodcovského konania môže oprávnený záujem zahŕňať výkon spravodlivosti, zabezpečenie dodržiavania práv strán a rýchle a spravodlivé riešenie nárokov podľa platných pravidiel rozhodcovského konania, ako aj mnohé iné záujmy.[lxii]

Zahrnutie "aj mnohých iných záujmov" by mohlo zahŕňať oprávnený peňažný záujem tretích strán, ktoré financujú. Ak by to tak bolo, potom by boli jednoznačne povinní uzavrieť dohody o spracúvaní údajov so stranami rozhodcovského konania a boli by zahrnutí do rozsahu pôsobnosti predpisov a požiadaviek na ochranu osobných údajov. Zaujímavé je, že v pláne sa výslovne neuvádza, ako do tohto obrazu zapadajú tretie strany - financovatelia, najmä vzhľadom na nárast ich začlenenia do rozhodcovských konaní.

Štít pre nezverejňovanie informácií

Povinnosti týkajúce sa ochrany osobných údajov vedú k možnosti zneužitia. Rozhodujúce strany môžu v zlej viere použiť GDPR ako štít, aby zabránili zverejneniu informácií relevantných pre konanie alebo požadovaných protistranou. Strana môže napríklad namietať proti žiadosti o sprístupnenie informácií s tvrdením, že dokumenty obsahujú osobné údaje, ktoré nesúvisia so sporom, alebo že redakcia osobných informácií by bola neprimerane zaťažujúca.[lxiii]

Plán sa zaoberá možnosťou zneužitia. Navrhuje čo najskôr upozorniť na povinnosti týkajúce sa ochrany osobných údajov a objasniť ich, aby sa znížilo riziko ich vplyvu na konanie. Účastníci by mali zvážiť uzavretie "protokolu o ochrane údajov" - dohody o tom, ako sa bude ochrana osobných údajov uplatňovať v konkrétnom kontexte. Prípadne, ak nie je možné dosiahnuť podpísanie protokolu o ochrane údajov, tieto otázky by sa mali riešiť v procesnom poriadku číslo jedna.[lxiv]

Pre porovnanie sa môžeme pozrieť na dodržiavanie GDPR počas zisťovania v súdnych sporoch v USA. Americké federálne súdy používajú testy vyváženosti pri rozhodovaní o tom, či nariadiť zverejnenie alebo splnenie predvolaní alebo príkazov na zistenie, ktoré sú potenciálne v rozpore so zahraničnými zákonmi vrátane zákonov o ochrane osobných údajov.[lxv] Neúplný zoznam faktorov, ktoré skúmajú federálne súdy USA, je nasledovný:

  • význam požadovaných dokumentov alebo iných informácií pre súdny spor;
  • stupeň konkrétnosti žiadosti;
  • či informácie pochádzajú z USA;
  • dostupnosť alternatívnych prostriedkov na zabezpečenie informácií a
  • rozsah, v akom by nedodržanie dohody ohrozilo dôležité záujmy USA.[lxvi]

Federálne súdy najčastejšie požadujú zverejnenie napriek možnému porušeniu zahraničných zákonov o ochrane osobných údajov.[lxvii]

Rozhodcovia pri rozhodovaní o tom, či nariadiť zverejnenie informácií stranou, čelia iným úvahám ako súdy. Je správne, ako sa uvádza v literatúre,[lxviii] že súdy si musia byť vedomé konkurenčných práv a povinností vzhľadom na hrozbu zrušenia alebo odmietnutia výkonu podľa Dohovoru o uznávaní a výkone cudzích rozhodcovských rozsudkov z roku 1958 (Newyorský dohovor). Tento názor však nezohľadňuje skutočnosť, že príkazy na sprístupnenie informácií podliehajú minimálnemu preskúmaniu zo strany štátnych súdov vzhľadom na zásadu nezasahovania súdov.[lxix] Príkladov, keď štátne súdy upustili od preskúmania príkazov na sprístupnenie informácií, je veľa.[lxx]

Vzhľadom na diskrečnú právomoc, ktorú majú súdy v procesných otázkach, je nepravdepodobné, že by hrozba zrušenia alebo odmietnutia výkonu bola hlavným faktorom. Nevyhnutnosť, že sa strany pokúsia zneužiť povinnosti vyplývajúce z GDPR na získanie potenciálnej procesnej výhody, postaví tribunály do zložitej pozície, keď budú musieť na jednej strane vyvažovať záujmy dotknutej osoby a na druhej strane zachovať spoľahlivý proces dokazovania.[lxxi] Objasnenie povinností týkajúcich sa dodržiavania ochrany osobných údajov na začiatku konania - najlepšie v podpísanom protokole o ochrane údajov - v súlade s odporúčaniami plánu sa javí ako nevyhnutný krok na kontrolu tohto správania.

Nedodržanie požiadaviek na ochranu osobných údajov ako dôvod na zrušenie a zamietnutie uznania a výkonu

Plán sa nezaoberá tým, či by sa nedodržanie požiadaviek na ochranu osobných údajov mohlo použiť na zrušenie rozhodcovského rozsudku alebo na odmietnutie jeho uznania a výkonu. Strany majú veľmi obmedzené možnosti odvolania sa proti rozhodcovským rozsudkom. Napriek tomu môže neúspešná strana chcieť napadnúť jeho výsledok a použiť jeden z hlavných spoločných dôvodov na napadnutie rozhodcovského rozsudku alebo na zabránenie jeho uznaniu alebo výkonu.

Newyorský dohovor má v súčasnosti 168 zmluvných štátov, čo z neho robí hlavný právny základ pre uznávanie a výkon zahraničných rozhodcovských rozsudkov v medzinárodnej obchodnej arbitráži. V článku V dohovoru sa stanovujú obmedzené dôvody, na základe ktorých možno odmietnuť uznanie a výkon rozhodcovského rozsudku. Najmä na súčasné účely sa v článku V ods. 2 písm. b) uznáva možnosť príslušného orgánu signatárskeho štátu odmietnuť uznanie alebo výkon rozhodcovského rozsudku, ktorý porušuje verejný poriadok.[lxxii]

Dôvody, na základe ktorých možno zrušiť rozhodcovský rozsudok, sa v jednotlivých jurisdikciách líšia. Vzorový zákon UNCITRAL o medzinárodnej obchodnej arbitráži, ktorý bol široko prijatý, uvádza zoznam dôvodov na zrušenie v článku 34 ods. 2. Tento zoznam bol vytvorený podľa článku V Newyorského dohovoru.[lxxiii] V článku 34 ods. 2 písm. b) bode ii) sa uvádza, že rozhodcovský rozsudok môže súd zrušiť, ak je rozsudok v rozpore s verejným poriadkom štátu.[lxxiv]

Európsky súdny dvor (ESD) vo veci Eco Swiss/Benetton rozhodol, že nadradené kogentné ustanovenia práva EÚ môžu predstavovať základné pravidlá verejného poriadku, ktorých porušenie môže byť dôvodom na zrušenie rozhodcovského rozsudku založeného na takomto dôvode vo vnútroštátnom práve.[lxxv] To, či sa rozhodcovský rozsudok môže zrušiť alebo jeho uznanie či výkon odmietnuť z dôvodu nedodržania požiadaviek na ochranu osobných údajov, bude preto závisieť od toho, či sa pravidlá GDPR majú považovať za nadradené kogentné ustanovenia, ktorých porušenie je v rozpore s vnútroštátnym verejným poriadkom.[lxxvi]

Článok 9 ods. 1 nariadenia Rím I definuje nadradené kogentné ustanovenia ako ustanovenia, "ktorých dodržiavanie krajina považuje za rozhodujúce pre ochranu svojich verejných záujmov... v takom rozsahu, že sú uplatniteľné na každú situáciu, ktorá spadá do ich pôsobnosti, bez ohľadu na inak uplatniteľné právo". Ako už predtým uznali Cervenka a Schwarz, väčšinu pravidiel GDPR možno pravdepodobne považovať za nadradené kogentné ustanovenia podľa práva EÚ. Ich porušenie ako také možno považovať za porušenie verejného poriadku.[lxxvii]

Možnosť, že nedodržanie požiadaviek na ochranu osobných údajov môže viesť k zrušeniu alebo neuznaniu a nevykonaniu rozhodcovského rozsudku, vyvoláva rôzne obavy. Po prvé, malo by sa presne vymedziť, ktoré povinnosti v oblasti ochrany osobných údajov by predstavovali nadradené záväzné ustanovenia, keďže nie všetky porušenia majú rovnakú váhu. V konečnom dôsledku bude Súdny dvor EÚ pravdepodobne vyzvaný, aby poskytol ďalšie objasnenie. Po druhé, malo by sa zohľadniť aj potenciálne zneužitie možnosti napadnúť alebo spochybniť výkon rozhodcovského rozsudku na základe porušenia GDPR, aby sa predišlo úmyselnému porušovaniu pravidiel ochrany osobných údajov stranami s cieľom získať možnosť neskoršieho odvolania sa proti rozhodcovskému rozsudku. Napokon by sa malo vymedziť, či by predpisy o ochrane osobných údajov tvorili súčasť procesného alebo hmotného práva a akým spôsobom.[lxxviii]

Hoci je potrebné ešte veľa vymedziť, mali by sa riešiť dôsledky nedodržania požiadaviek na ochranu osobných údajov na zrušenie, ako aj na uznanie a výkon rozhodcovských rozsudkov. Je veľmi zaujímavé, že v pláne sa o tom nenachádza žiadna zmienka.

Záver

Cieľom tohto plánu je pomôcť odborníkom v oblasti rozhodcovského konania identifikovať a pochopiť povinnosti v oblasti ochrany osobných údajov a súkromia, ktoré sa na nich môžu vzťahovať v kontexte medzinárodnej arbitráže. Ako sa však už uviedlo, stále sa v ňom neriešia niektoré konkrétne otázky, ktoré sú v súčasnosti relevantné a naliehavé. Ide o šesť otázok identifikovaných a rozpracovaných v tomto dokumente:

  • uplatniteľnosť GDPR na rozhodcovské konania mimo EÚ;
  • GDPR v kontexte arbitráží NAFTA;
  • otázka virtuálnych rozhodcovských konaní;
  • financujúce tretie strany a ich miesto v pláne;
  • potenciálne zneužitie GDPR a
  • potenciálny nesúlad s GDPR ako cesta k zrušeniu alebo odmietnutiu uznania a výkonu rozhodcovského rozsudku.

O každej z týchto otázok bude potrebné ďalej uvažovať, pretože sa predpokladá, že v nasledujúcich rokoch budú ešte dôležitejšie. Dúfame, že sa ukázalo, že sú hodné zahrnutia do plánu.

Prílohy[lxxix] pridané do plánu majú pomôcť odborníkom prakticky riešiť tieto požiadavky. Pridanie Kontrolného zoznamu ochrany údajov, Kontrolného zoznamu posúdenia oprávnených záujmov, vzorových oznámení o ochrane osobných údajov a štandardných zmluvných doložiek EÚ sú mimoriadne cenné zdroje a odborníci by ich mali využívať pri zabezpečovaní súladu s GDPR.

V konfliktných situáciách medzi rôznymi jurisdikciami však môžu rozdiely medzi rôznymi vnútroštátnymi právnymi predpismi týkajúcimi sa ochrany osobných údajov viesť k nejednoznačnosti. Aj keď sú usmernenia uvedené v pláne rozsiahle, stále nie sú záväzné. V minulosti sa UNCITRAL a IBA priklonili k zabezpečeniu harmonizácie v medzinárodnej arbitráži prostredníctvom svojich pravidiel, usmernení a podobne; hoci nie sú záväzné, určite sú presvedčivé. Tak, ako sa UNCITRAL a IBA pokúsili o rôzne aspekty medzinárodnej arbitráže, existuje aj naliehavá potreba harmonizácie v požiadavkách na ochranu osobných údajov týkajúcich sa arbitráže; preto by sa mali zaviesť potrebné usmernenia s ohľadom na harmonizáciu.

Zatiaľ čo harmonizácia, pochopenie a informovanosť o požiadavkách na dodržiavanie GDPR a jeho dôsledkoch v kontexte medzinárodnej arbitráže stále chýbajú, my ako odborníci na arbitráž si budeme naďalej vystačiť so súčasným právnym rámcom. Napriek svojim nedostatkom však plán predstavuje veľmi potrebný a povzbudivý krok smerom k spoločnému chápaniu povinností účastníkov rozhodcovského konania v oblasti ochrany osobných údajov.

[i] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), Ú. v. EÚ L 119/1.

[ii] "Osobné údaje" sú v článku 4 GDPR definované ako:

(1) "osobné údaje" sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby ("dotknutá osoba"); identifikovateľná fyzická osoba je osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä na základe identifikátora, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo na základe jedného či viacerých faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

[iii] Územná pôsobnosť GDPR je vymedzená v článku 3 takto:

  1. "Toto nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie.
  2. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom neusadeným v Únii, ak spracovateľské činnosti súvisia s:

(a) ponúkanie tovaru alebo služieb bez ohľadu na to, či sa vyžaduje platba dotknutej osoby, takýmto dotknutým osobám v Únii alebo

(b) monitorovanie ich správania, pokiaľ sa ich správanie uskutočňuje v rámci Únie.

  1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov prevádzkovateľom, ktorý nie je usadený v Únii, ale na mieste, kde sa uplatňuje právo členského štátu na základe medzinárodného práva verejného.

[iv] Pozri vymedzenie pojmu "spracovateľ" v článku 4 GDPR.

[v] Čl. 83 ods. 4 GDPR.

[vi] "Najväčšia pokuta podľa GDPR uložená spoločnosti Google" (Simmons + Simmons, 22. januára 2019), pozri www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways dostala pokutu 20 miliónov libier za porušenie ochrany údajov" (BBC, 16. októbra 2020), pozri www.bbc.com/news/technology-54568784.

[vii] "Spoločná pracovná skupina ICCA-IBA pre ochranu údajov v medzinárodnej arbitráži" (ICCA), pozri www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, prístup 18. augusta 2021.

[viii] Plán ICCA-IBA na ochranu údajov v medzinárodnej arbitráži" (ICCA, február 2020), pozri https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, prístup 18. augusta 2021.

[ix] Tamže, 1.

[x] Prípad PCA č. 2018-54.

[xi] ICCA a New York City Bar a Medzinárodný inštitút pre prevenciu a riešenie konfliktov, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", pozri https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, prístup 18. augusta 2021.

[xii] "Usmernenia o kybernetickej bezpečnosti" (IBA, október 2018), pozri www.ibanet.org/LPRU/Cybersecurity, prístup 1. decembra 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Medzinárodná obchodná komora, 9. apríla 2020), prístupné 18. augusta 2021.

[xiv] Plán, časť B.

[xv] Tamtiež.

[xvi] Článok 4, GDPR.

[xvii] Tamtiež.

[xviii] Článok 4, GDPR

[xix] Tamže, článok 3 ods. 1.

[xx] Plán cesty, 7.

[xxi] Článok 4, GDPR.

[xxii] Plán definuje "účastníkov rozhodcovského konania" ako "vrátane strán, ich právnych zástupcov, rozhodcov a rozhodcovských inštitúcií (len)". Pozri plán (č. 3), 2.

[xxiii] Článok 4, GDPR.

[xxiv] Pozri rozsudok z 29. júla 2019, Fashion ID GmbH & Co KG proti Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, body 74, 85. Pozri tiež rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; rozsudok z 10. júla 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Cestovná mapa, 11

[xxvi] Tamže, 12.

[xxvii] Čl. 5 a 12-22 GDPR; Plán postupu 14-15.

[xxviii] Napríklad podľa GDPR je spracúvanie osobných údajov v kontexte medzinárodnej arbitráže zákonné, ak je potrebné na účely oprávnených záujmov prevádzkovateľa - s výhradou obmedzení založených na záujmoch a základných právach dotknutej osoby - a citlivé údaje sa môžu spracúvať na základe výnimky týkajúcej sa právnych nárokov (článok 9 ods. 2 písm. f)) v kontexte arbitráže.

[xxix] Cestovná mapa, 19.

[xxx] Tamže, 20-21.

[xxxi] Tamže, 30-31.

[xxxii] Tamže, 32.

[xxxiii] Tamže, 33-36.

[xxxiv] Tamže, 37-39.

[xxxv] Tamže, 37.

[xxxvi] Tamže, 39.

[xxxvii] Tamže, 40-41.

[xxxviii] Tamže, 42.

[xxxix] Tamže, 43.

[xl] Čl. 5 ods. 1 písm. e) GDPR.

[xli] Cestovná mapa, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Komisia EÚ usúdila, že krajina poskytuje primeranú ochranu údajov.

[xliv] V prípade medzinárodnej arbitráže by to pravdepodobne bola štandardná zmluvná doložka.

[xlv] Výnimka týkajúca sa právnych nárokov, ktorá umožňuje prenosy, ak sú "potrebné na určenie, výkon alebo obhajobu právnych nárokov", je v rozhodcovskom kontexte najpoužiteľnejšia.

[xlvi] Vzhľadom na vysokú prahovú hodnotu a oznamovaciu povinnosť má spoliehanie sa na presvedčivé oprávnené záujmy malý praktický význam. Pozri EDPB, "Usmernenia 2/2018 k výnimkám z článku 49 podľa nariadenia 2016/679", 6. februára 2018 (Usmernenia k prenosu údajov).

[xlvii] Cestovná mapa, 8, 13.

[xlviii] Emily Hay, "Neviditeľná ruka GDPR v medzinárodnej zmluvnej arbitráži: "Can't We Make It Go Away? (Kluwer Arbitration Blog, 29. augusta 2019), pozri http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [prístup 18. augusta 2021].

[xlix] Prípad PCA č. 2018-54.

[l] Tamže, oznámenie Súdu pre verejnú službu účastníkom konania (Perm Ct Arb, 2019).

[li] Cestovná mapa, 37.

[lii] ICCA a New York City Bar a Medzinárodný inštitút pre prevenciu a riešenie konfliktov, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), pozri https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, prístup 18. augusta 2021.

[liii] "Usmernenia o kybernetickej bezpečnosti" (IBA, október 2018), pozri www.ibanet.org/LPRU/Cybersecurity, prístup 1. decembra 2020.

[liv] Andreas Respondek, Tasha Lim, "Mala by sa pracovná skupina ICCA/IBA pre ochranu údajov zaoberať vplyvom GDPR na videokonferencie v medzinárodnom rozhodcovskom konaní? (Kluwer Arbitration Blog, 18. júla 2020), pozri http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, prístup 18. augusta 2021.

[lv] "Usmernenie ICC k možným opatreniam zameraným na zmiernenie účinkov pandémie COVID-19" (ICC, 9. apríla 2020), prístupné 18. augusta 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Plán cesty, 2.

[lviii] Tamže, 23-25.

[lix] Článok 4 ods. 2 GDPR, pozri vyššie n 1.

[lx] Článok 6 ods. 1 písm. f), GDPR.

[lxi] Allan J Arffa a iní, "GDPR Issues in International Arbitration" (Lexology, 10. augusta 2020), pozri www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, prístup 18. augusta 2021.

[lxii] Plán, príloha 5.

[lxiii] Allan J Arffa a iní, "GDPR Issues in International Arbitration" (Lexology, 10. augusta 2020), pozri www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> prístup 18. augusta 2021.

[lxiv] Cestovná mapa 40-41.

[lxv] Pozri napríklad: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Tamtiež; Richmark Corp v. Timber Falling Consultants, 959 F.2d 1468, 1475 (9. obvod 1992).

[lxvii] "Zahraničné zákony o ochrane údajov v súdnych sporoch a medzinárodných arbitrážach v USA" (Baker Botts, 6. februára 2020), pozri www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> prístup 18. augusta 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, Medzinárodná obchodná arbitráž (2. vydanie, Kluwer Law International 2014), 2335.

[lxx] Tamtiež. Born na podporu tohto argumentu uvádza nasledujúce rozsudky: Rozsudok z 22. januára 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" proti Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "rozhodnutie rozhodcovského súdu o nariadení zisťovania je v rámci jeho procesnej voľnosti a súdy ho nemôžu preskúmavať"; Karaha Bodas Co proti Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Žiadosti o sprístupnenie informácií sú "v rámci primeraného výkonu diskrečnej právomoci súdu".

[lxxi] Natalia M Szlarb, "GDPR a medzinárodná arbitráž na križovatke" (Národná právna revue, 4. decembra 2019), pozri www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, prístup 18. augusta 2021.

[lxxii] Newyorský dohovor, článok V ods. 2: "Uznanie a výkon rozhodcovského rozsudku možno odmietnuť aj vtedy, ak príslušný orgán v krajine, kde sa žiada o uznanie a výkon, zistí, že... b) uznanie alebo výkon rozsudku by boli v rozpore s verejným poriadkom tejto krajiny.

[lxxiii] Generálny tajomník OSN, Analytický komentár k návrhu textu vzorového zákona o medzinárodnej obchodnej arbitráži, A/CN.9/264 (1985), článok 34, odsek 6.

[lxxiv] Vzorový zákon UNCITRAL o medzinárodnej obchodnej arbitráži, článok 34 ods. 2: "Rozhodcovský rozsudok môže súd uvedený v článku 6 zrušiť len vtedy, ak... b) súd zistí, že... ii) rozsudok je v rozpore s verejným poriadkom tohto štátu".

[lxxv] Rozsudok z 1. júna 1999, Eco Swiss China Time Ltd proti Benetton International NV C-126/97, Zb. 1999, s. I-03055, body. 39 a 41. Podrobnú diskusiu o verejnom poriadku EÚ pozri: Sacha Prechal a Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka a Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Tamtiež.

[lxxviii] Podrobnejšiu diskusiu o týchto a ďalších otázkach nájdete na: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021), body 5.63 a nasledujúce; Cervenka a Schwarz, pozri vyššie n 76, 84-85.

[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes" (ICCA, február 2020), pozri https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, prístup 18. augusta 2021.

Tento článok bol prvýkrát uverejnený v časopise Dispute Resolution International, zväzok 15 č. 2, október 2021, a je reprodukovaný s láskavým súhlasom Medzinárodnej advokátskej komory, Londýn, Spojené kráľovstvo. © Medzinárodná advokátska komora.