iba

Spopad titanov: GDPR in mednarodna arbitraža - pogled v prihodnost

Avtor: Neva Cirkveni in Per Neuburger

Uvod

V zadnjih letih so se pojavila vprašanja o praktičnih posledicah zasebnosti osebnih podatkov in kibernetske varnosti na dejansko izvajanje mednarodnih arbitraž - zlasti če upoštevamo stalno hitrost tehnoloških sprememb.

Splošna uredba o varstvu podatkov (GDPR)[i] je maja 2020 praznoval svoj drugi rojstni dan. Namen okvira GDPR za varstvo osebnih podatkov je zagotoviti prost pretok osebnih podatkov "določenih ali določljivih fizičnih oseb".[ii] Uporablja se v Evropski uniji in ima eksteritorialno področje uporabe, ki se lahko razširi tudi zunaj EU;[iii] GDPR ne vpliva le na vse fizične ali pravne osebe, temveč za javne organe, agencije in druga telesa - po možnosti tudi mednarodne organizacije - veljajo tudi obveznosti glede varstva osebnih podatkov.[iv] Sankcije GDPR lahko znašajo 4 odstotke svetovnega letnega prometa kršitelja v preteklem poslovnem letu ali 20 milijonov evrov, kar je višje.[v] Da je treba njegovo uporabo jemati resno, so pokazale že večmilijonske globe, ki so bile naložene v več jurisdikcijah.[vi]

Čeprav je uporaba zakonov o varstvu osebnih podatkov za arbitražo določena, pa način, na katerega bi bilo treba zakone uporabljati, ni določen. Zato sta Mednarodni svet za gospodarsko arbitražo (ICCA) in Mednarodno združenje odvetnikov (IBA) februarja 2019 ustanovila skupno delovno skupino za varstvo podatkov v mednarodnih arbitražnih postopkih, da bi pripravila vodnik, ki bo vseboval praktične smernice za varstvo osebnih podatkov v mednarodni arbitraži. Delovna skupina je marca 2020 objavila posvetovalni osnutek tega vodnika.[vii] Pričujoči komentar temelji na tem osnutku načrta ("načrt"),[viii] končna, revidirana različica načrta bo predvidoma objavljena septembra 2021. Čeprav je rok za pripombe na posvetovalni osnutek v času pisanja tega prispevka že potekel, je predhodna različica načrta kljub temu nazoren prikaz vprašanj, ki jih GDPR odpira v mednarodnih arbitražah. Zato bo uporabljena kot podlaga za razpravo.

Večina zakonov o varstvu osebnih podatkov je v arbitražnih postopkih obvezna, kar pomeni, da predpisujejo:

  • kateri osebni podatki se lahko obdelujejo;
  • kjer;
  • na kakšen način;
  • s katerimi ukrepi za varovanje informacij; in
  • kako dolgo.[ix]

Vendar pa ne obravnavajo, kako je treba te zavezujoče obveznosti izpolnjevati v arbitražnih postopkih. Ker ni posebnih smernic regulativnih organov, je namen tega načrta pomagati strokovnjakom za arbitražo pri ugotavljanju in razumevanju obveznosti glede varstva osebnih podatkov in zasebnosti, ki bi lahko veljale zanje v okviru mednarodne arbitraže. Poleg tega je obseg varstva na podlagi uredbe GDPR še vedno pomemben v mednarodnih arbitražnih postopkih, predvsem glede tega, ali zakoni GDPR veljajo za arbitraže s sedežem zunaj EU. Če se ugotovi, da se GDPR uporablja za arbitražo, obstajajo različne nadaljnje posledice: prvič, ali je obdelava osebnih podatkov prepovedana, in drugič, ali obstajajo omejitve glede prenosov osebnih podatkov zunaj EU. Nazadnje, zaradi vse pogostejših kibernetskih napadov bi lahko posledice takega napada na arbitražo povzročile precejšnjo škodo.

Namen tega članka je podati komentar o načrtu in preučiti praktične ukrepe, ki jih je treba upoštevati v zvezi z obveznostmi glede varstva osebnih podatkov v mednarodnih arbitražnih postopkih. V njem je načrt opredeljen kot obetavno, čeprav nepopolno orodje, ki dopolnjuje različne dosedanje poskuse usklajevanja mednarodne arbitraže na podlagi mehkega prava, predvsem instrumente Mednarodne zveze za arbitražo (IBA) in Komisije Združenih narodov za mednarodno trgovinsko pravo (UNCITRAL).

Najprej bo podan kratek povzetek načrta, ki vključuje sklicevanje na načela GDPR. Namen tega ni izčrpen pregled, temveč bodo predstavljene glavne točke načrta, da bi bralec dobil kontekst za nadaljnjo razpravo. Drugič, podan bo komentar, ki se bo dotaknil šestih pomembnih vprašanj:

  • uporabo GDPR za arbitraže, ki potekajo zunaj EU;
  • GDPR v okviru arbitraž Severnoameriškega sporazuma o prosti trgovini (NAFTA), kot je prikazano v zadevi Tennant Energy, LLC proti vladi Kanade;[x]
  • vprašanje videokonferenc, katerih pomen se je v času pandemije Covid-19 močno povečal, vključno s sklici na "Protokol ICCA-NYC Bar-CPR o kibernetski varnosti v mednarodni arbitraži" (Protokol o kibernetski varnosti)[xi] smernice za kibernetsko varnost združenja IBA[xii] in Smernice Mednarodnega kazenskega sodišča o možnih ukrepih za ublažitev posledic pandemije COVID-19;[xiii]
  • "tretjih financerjev" in kako so upoštevani v načrtu;
  • zloraba GDPR, zlasti kot ščit za nerazkrivanje, in
  • možnost uporabe neskladnosti z zahtevami glede varstva osebnih podatkov kot poti za razveljavitev ali zavrnitev priznanja in izvršitve arbitražne odločbe.

Zaključne misli bodo podane v zaključku.

Načrt

Posamezniki in pravne osebe morajo zaščititi osebne podatke posameznikov, na katere se nanašajo osebni podatki. Za samo arbitražo ne veljajo obveznosti varstva osebnih podatkov. Če pa obveznosti varstva osebnih podatkov veljajo samo za enega udeleženca arbitraže, lahko to vpliva na arbitražo kot celoto. Od tega, ali obdelava osebnih podatkov spada v ustrezne zakone, materialno in jurisdikcijsko področje, je odvisno, ali se uporabljajo zakoni o varstvu osebnih podatkov.[xiv]

Sodobni zakoni o varstvu osebnih podatkov se uporabljajo vedno, kadar se osebni podatki o posamezniku, na katerega se nanašajo osebni podatki, obdelujejo med dejavnostmi, ki spadajo na področje uporabe ustreznih zakonov o varstvu osebnih podatkov.[xv] Osebni podatki vključujejo "vse informacije v zvezi z določeno ali določljivo fizično osebo".[xvi] Med tipičnim arbitražnim postopkom se izmenja precej informacij, ki se med drugim nanašajo na stranke, njihove odvetnike, sodišče in tretje osebe. Kot take jih je verjetno mogoče obravnavati v skladu z opredelitvijo "osebnih podatkov". "Posamezniki, na katere se nanašajo osebni podatki", so zgoraj navedeni posamezniki, ki so identificirani ali določljivi.[xvii] Obdelava vključuje aktivna in pasivna dejanja, torej uporabo, razširjanje in brisanje osebnih podatkov ter prejemanje, urejanje in shranjevanje osebnih podatkov.[xviii] Področje uporabe zajema ukrepe, kadar se osebni podatki obdelujejo v okviru dejavnosti poslovalnice upravljavca ali obdelovalca v EU.[xix] in ekstrateritorialno, na primer pri prenosu osebnih podatkov zunaj EU subjektom ali posameznikom, za katere GDPR ne velja iz drugih razlogov.[xx]

Arbitri bodo kvalificirani kot upravljavci podatkov, kar pomeni, da bodo odgovorni za skladnost z zakoni o varstvu osebnih podatkov. Vendar na podlagi opredelitve pojma "upravljavec podatkov";[xxi] večina arbitražnih udeležencev[xxii] ki se bodo verjetno šteli za take, vključno z odvetniki, strankami in institucijo. Upravljavci podatkov lahko obdelavo podatkov prenesejo na obdelovalce podatkov,[xxiii] ki bodo pod njihovim nadzorom in bodo zahtevali sporazume o obdelavi podatkov pod pogoji, ki jih določa veljavna zakonodaja. Tako bodo tajnice, prepisovalci, prevajalci in drugi verjetno veljali za obdelovalce podatkov. Nadaljnje vprašanje so skupni upravljavci, ki skupaj določajo namene in sredstva obdelave podatkov. Skupni nadzor se razlaga široko, vendar je odgovornost skupnega upravljavca omejena le na obdelavo, ki jo je določil upravljavec, njen namen in sredstva, ne pa na celotno obdelavo.[xxiv]

V mednarodnih arbitražah so omejitve prenosa osebnih podatkov med jurisdikcijami očiten način uporabe zakonodaje o varstvu osebnih podatkov. Ozadje različnih arbitražnih udeležencev bo določilo uporabo različnih ureditev varstva osebnih podatkov. Sodobni zakoni o varstvu osebnih podatkov omejujejo prenose osebnih podatkov v tretje države, da bi zagotovili, da se pravnim obveznostim ne bi izognili s prenosom osebnih podatkov v jurisdikcije z nižjimi standardi varstva osebnih podatkov.[xxv] Splošna uredba o varstvu podatkov dovoljuje prenos osebnih podatkov v tretje države, če se zgodi eden od naslednjih primerov:

  • je Komisija EU ocenila, da država zagotavlja ustrezno varstvo osebnih podatkov;
  • se uvede eden od izrecno naštetih zaščitnih ukrepov;
  • odstopanje, ki dovoljuje prenose, kadar so potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; ali
  • nujni legitimni interes stranke.[xxvi]

Ta pravila veljajo za udeležence arbitraže in ne za arbitražo kot celoto, zato mora vsak udeleženec arbitraže upoštevati, katere omejitve prenosa osebnih podatkov veljajo zanj.

Načela varstva osebnih podatkov, ki se uporabljajo v arbitraži, vključujejo pošteno in zakonito obdelavo, sorazmernost, zmanjšanje količine podatkov, omejitev namena, pravice posameznikov, na katere se nanašajo osebni podatki, točnost, varnost podatkov, preglednost in odgovornost.[xxvii]

Nekatera od teh načel je treba podrobneje pojasniti. Poštena in zakonita obdelava pomeni, da je treba osebne podatke obdelovati le na način, ki ga posamezniki, na katere se nanašajo osebni podatki, razumno pričakujejo, in da mora obstajati pravna podlaga za obdelavo. Pri uporabi načela poštenosti bi se morala stranka in njen svetovalec vprašati, ali bi posamezniki v okviru vseh dejstev pričakovali, da bodo njihovi osebni podatki obdelani na tak način, ali bo to imelo negativne posledice zanje in ali so te posledice upravičene. To načelo ne bo preprečevalo, da bi se osebni podatki, najdeni v poslovnih elektronskih sporočilih, sprejeli kot dokaz.

Pojem zakonite obdelave vključuje pravno podlago, ki temelji na dejstvih in je odvisna od posameznega primera. Namesto da bi se zanašali na privolitev, bi se morali sklicevati na posebne pravne podlage iz GDPR.[xxviii]

Sorazmernost zahteva preučitev narave, obsega, konteksta in namenov obdelave glede na tveganja, ki jih predstavlja za posameznika, na katerega se nanašajo osebni podatki.[xxix] Minimiziranje podatkov zahteva, da arbitražni udeleženci omejijo obdelavo na osebne podatke, ki so primerni, ustrezni in omejeni na to, kar je potrebno.[xxx] Preglednost zahteva, da so posamezniki, na katere se nanašajo osebni podatki, obveščeni o obdelavi in namenu obdelave osebnih podatkov s splošnimi obvestili, posebnimi obvestili ali obojim.[xxxi] Odgovornost se nanaša na osebno odgovornost za skladnost z varstvom podatkov, kar pomeni, da morajo arbitražni udeleženci dokumentirati vse ukrepe za varstvo osebnih podatkov in sprejete odločitve, da bi dokazali skladnost.[xxxii]

Upoštevanje varstva osebnih podatkov vpliva na posamezne korake mednarodnega arbitražnega postopka, ne le med samo arbitražo, temveč tudi med pripravami. Arbitražni udeleženci morajo že na začetku razmisliti, kateri zakoni o varstvu osebnih podatkov veljajo zanje in za druge arbitražne udeležence ter kateri arbitražni udeleženci bodo obdelovali osebne podatke kot upravljavci, obdelovalci ali skupni upravljavci. Upoštevati je treba tudi pravila o prenosu osebnih podatkov tretjih držav in sporazume o obdelavi osebnih podatkov v zvezi s tretjimi ponudniki storitev. Med postopkom zbiranja in pregledovanja dokumentov stranke in njihovi pravni svetovalci potrebujejo zakonito podlago za dejavnosti obdelave in prenose osebnih podatkov v tretje države.[xxxiii]

Zahteva za arbitražo in poznejše vloge bodo vključevale osebne podatke, ki sodijo na področje obdelave. Če arbitražno institucijo zavezujejo veljavni zakoni o varstvu osebnih podatkov, mora upoštevati morebitne obveznosti varstva osebnih podatkov, ki se uporabljajo v vsaki fazi postopka. Če za arbitražno institucijo velja uredba GDPR, bo običajno postala upravljavec osebnih podatkov. Za uskladitev s členoma 13 in 14 GDPR mora takšna institucija v obvestilo o varstvu osebnih podatkov vključiti informacije o varnostnih ukrepih, uveljavljanju pravic posameznikov, na katere se nanašajo osebni podatki, vodenju evidenc ter politikah kršitve in hrambe podatkov.[xxxiv] Mednarodne organizacije, ki vodijo arbitraže med vlagatelji in državo, pa so lahko zaradi privilegijev in imunitet v državi ustanoviteljici ali v sporazumu z državo gostiteljico izključene iz področja uporabe zakonov o varstvu osebnih podatkov. Zato je treba v tem primeru opraviti ločene premisleke, med drugim o tem, ali so za organizacijo zavezujoči zakoni o varstvu osebnih podatkov in ali bi za arbitražne udeležence veljali privilegiji in imunitete - in v kakšnem obsegu.[xxxv]

Med imenovanjem arbitrov v arbitražno sodišče se običajno izmenjajo znatne količine osebnih podatkov potencialnih arbitrov. Arbitražni udeleženci bi morali pravno podlago za obdelavo teh osebnih podatkov vključiti v svoja pravna obvestila in izrecno obvestiti arbitre, ki se obravnavajo za imenovanje, o obdelavi njihovih osebnih podatkov, zlasti v primeru prenosa osebnih podatkov iz tretjih držav.[xxxvi]

Ko se arbitraža začne, je treba odgovornosti za skladnost z varstvom osebnih podatkov razporediti zgodaj, da se tveganja čim bolj zmanjšajo. Varstvo osebnih podatkov je treba vključiti na dnevni red prve postopkovne konference, udeleženci arbitraže pa se morajo poskušati čim prej dogovoriti, kako obravnavati skladnost z varstvom osebnih podatkov. Stranke, njihovi svetovalci in arbitri bi morali razmisliti o sklenitvi protokola o varstvu osebnih podatkov za učinkovito upravljanje vprašanj skladnosti. Če to ni mogoče, je alternativna možnost, da jih arbitražno sodišče vključi v postopkovni sklep številka ena.[xxxvii]

V postopku priprave in razkritja dokumentov je še posebej pomembno načelo zmanjšanja količine osebnih podatkov. V skladu z uredbo GDPR bi to verjetno zahtevalo:

  • omejitev razkritih osebnih podatkov na tiste, ki so pomembni in se ne podvajajo;
  • prepoznavanje osebnih podatkov, ki jih vsebuje odzivno gradivo, in
  • redigiranje ali psevdonimiziranje nepotrebnih osebnih podatkov.

Tudi ta vprašanja je treba obravnavati na začetku postopka, po možnosti na prvi procesni konferenci ali pred njo.[xxxviii]

Arbitri in institucije bi morali pri izdaji odločb preučiti, na kakšni podlagi in ali je treba osebne podatke vključiti v odločbe. Če je arbitraža zaupna, vseeno obstaja tveganje, da bo sodba ob izvršitvi postala javna. Tudi če so osebni podatki redigirani, običajno ostanejo osebni podatki, saj je posameznika, na katerega se podatki nanašajo, mogoče prepoznati iz preostalega dela razsodbe ali povezanega gradiva.[xxxix]

Hranjenje in brisanje podatkov se štejeta za obdelavo v skladu z GDPR, ki določa, da se osebni podatki "hranijo v obliki, ki omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, največ toliko časa, kot je potrebno za namene, za katere se osebni podatki obdelujejo".[xl] Upravljavci morajo upoštevati, dokumentirati in utemeljiti trajanje hrambe. Arbitražni udeleženci morajo razmisliti, kakšno obdobje hrambe podatkov je razumno, in uporabiti sorazmeren pristop, da uravnotežijo svoje potrebe z učinkom hrambe podatkov na posameznika.[xli]

Uporaba GDPR za arbitraže zunaj EU

Teritorialno področje uporabe Splošne uredbe o varstvu podatkov je razmeroma široko. Strokovnjaki se morajo zavedati njene uporabe ne glede na to, ali imajo sedež ali arbitraža poteka v EU. Splošna uredba se uporablja za obdelavo osebnih podatkov, ki jo izvajajo upravljavci ali obdelovalci s sedežem v EU, ne glede na to, ali sama obdelava poteka v EU (člen 3(1)). Poleg tega, ko gre za ponujanje blaga ali storitev državljanom EU ali spremljanje vedenja, ki poteka v EU, GDPR velja za obdelavo osebnih podatkov s strani upravljavca ali obdelovalca, ki nima sedeža v EU (člen 3(2)).

V arbitražnem kontekstu GDPR nalaga obveznosti upravljavcem in obdelovalcem podatkov - arbitrom, svetovalcem, strankam in institucijam -, ki spadajo v njeno stvarno in ozemeljsko področje uporabe, in ne neposredno arbitražnemu postopku. Tudi če je samo en arbitražni udeleženec povezan z EU, bo moral osebne podatke obdelovati v skladu z GDPR. Lahko se pojavijo posledice za postopek kot celoto.[xlii]

V okviru mednarodne arbitraže, kjer je prenos arbitražnega gradiva, ki vsebuje osebne podatke, običajen, so morda najbolj opazne omejitve prenosa osebnih podatkov v "tretje države" zunaj Evropskega gospodarskega prostora (EGP). V takem primeru je za odobritev prenosa osebnih podatkov potrebna ena od štirih zakonitih podlag. Prvič, prenos v tretjo državo je dovoljen, če za tretjo državo velja sklep o ustreznosti (člen 45(1)).[xliii] V nasprotnem primeru je treba, če je to mogoče, uvesti enega od ustreznih zaščitnih ukrepov (člen 46(1)).[xliv] Če ni sklepa o ustreznosti in ustreznega zaščitnega ukrepa ni mogoče izvesti, se je mogoče sklicevati na posebno odstopanje (člen 49(1)).[xlv] Če ni zgoraj navedenega, se lahko stranka sklicuje na nujni legitimni interes (člen 49(1)).[xlvi] kot zakonita podlaga za prenos osebnih podatkov tretje osebe.

Načrt precej izčrpno določa potrebne premisleke, ki jih morajo opraviti udeleženci arbitražnega postopka. Večkrat je poudarjeno, da so udeleženci arbitraže in ne arbitraža kot taka tisti, za katere veljajo načela varstva osebnih podatkov in pravila o prenosu.[xlvii] V skladu s tem je domnevni sklep, da bi moral arbiter s sedežem v EU v arbitraži zunaj EU, za katero sicer ne velja GDPR, kljub temu izpolnjevati zahteve GDPR glede obdelave in prenosa osebnih podatkov. To je dejansko splošno sprejeto v postopkih gospodarske arbitraže,[xlviii] vendar položaj ni tako jasen, ko gre za arbitražo med vlagateljem in državo.

Zadeva Tennant Energy, LLC proti Vladi Kanade

Leta 2019 v arbitraži na podlagi poglavja 11 sporazuma NAFTA Tennant Energy, LLC proti Vladi Kanade (Tennant),[xlix] Tožeča stranka Tennant je izpostavila vprašanje uporabe GDPR v postopku glede na državljanstvo in stalno prebivališče enega od članov sodišča v Združenem kraljestvu. Vendar je sodišče strankam izdalo navodila, v katerih je navedlo, da "arbitraža na podlagi 11. poglavja NAFTA, pogodbe, katere pogodbenice niso niti Evropska unija niti njene države članice, domnevno ne spada na vsebinsko področje uporabe uredbe GDPR".[l]

Pomembno je razlikovati med arbitražo, ki temelji na pogodbi, in poslovno arbitražo, pri čemer Tennant spada v prvo kategorijo. Načrt upošteva to razlikovanje in ugotavlja, da so lahko mednarodne organizacije izključene iz področja uporabe zakonodaje o varstvu osebnih podatkov.[li] Za člane sodišča v arbitraži Tennant lahko veljajo nekatere imunitete, ki izhajajo iz sporazuma o sedežu Stalnega arbitražnega sodišča (PCA) z Nizozemsko. Vendar sodišče NAFTA ni preučilo, ali bi za PCA kot mednarodno organizacijo veljala pravila GDPR o prenosu podatkov ali ali bi člani sodišča iz sporazuma pridobili določene imunitete.

Spletna stran Tennant smer postavlja več vprašanj kot odgovorov glede uporabe GDPR v postopkih NAFTA in na splošno v arbitražah na podlagi pogodb, pri čemer podrobna razprava o tem presega pričujoči obseg. Kljub temu usmeritev Tennant v luči časovnega načrta kaže, da ta tema ostaja zelo negotova. V najboljšem primeru je vprašljivo, ali načrt prinaša kakršno koli jasnost za arbitražne udeležence, ki se soočajo s takšnim vprašanjem, zlasti ob upoštevanju, da je bil načrt izdan po Tennant izdana je bila usmeritev, vendar slednji ni bila odobrena nobena obravnava.

Vprašanje videokonferenc

Načrt priznava pomen varnosti osebnih podatkov. Vendar ima to vprašanje zaradi nedavne uporabe dodatne tehnologije, ki omogoča virtualna zaslišanja, in dela od doma - predvsem zaradi trenutnih okoliščin, ki nam jih nalaga pandemija Covid-19 - še dodatno težo. Protokol o kibernetski varnosti[lii] in smernice za kibernetsko varnost združenja IBA[liii] so osvetlili to vprašanje.

Tako kot načrt tudi protokol o kibernetski varnosti določa več temeljnih načel. Uporablja se načelo sorazmernosti, sodišče ima pristojnost in diskrecijsko pravico za določitev veljavnih varnostnih ukrepov, informacijska varnost pa je vprašanje, o katerem je treba razpravljati na prvi konferenci o vodenju zadeve. Priloga A k Protokolu o kibernetski varnosti vsebuje kontrolni seznam, ki ga lahko stranke v arbitraži uporabijo za zaščito postopka.

Po nedavnih spremembah delovnih vzorcev in okolij zaradi pandemije Covid-19 je treba tem vprašanjem nameniti več pozornosti. V svetu, ki je pod pritiskom iskanja novih načinov poslovanja in prilagajanja časom negotovosti, je eno od vprašanj, s katerimi se je soočil pravni sektor, vprašanje zaslišanj v kombinaciji z omejitvami in potrebo po družbeni distanci. Priljubljenost videokonferenc in njihova uporaba v mednarodnih arbitražnih postopkih je zato nekaj, kar bi moral načrt obravnavati, vendar tega ni storil - ali pa vsaj še ne.

Čeprav so številni razpravljali o vprašanjih videoposluhov in jih izpostavili, večina ni obravnavala, kako bi bilo treba zanje uporabljati zakone o varstvu osebnih podatkov, ne le glede varstva osebnih podatkov, temveč tudi glede varnosti, saj so bile nekatere platforme izpostavljene varnostnim napadom.[liv]

Kot je navedeno zgoraj, je treba razumeti različne vloge strank, ki sodelujejo v arbitraži v zvezi z GDPR, in sicer kdo so "upravljavci podatkov" in "obdelovalci podatkov". Če programska oprema za videokonference obdeluje kakršne koli osebne podatke, na primer uporabniško ime in e-poštni naslov iz uporabe storitve s strani stranke, se šteje za "obdelovalca podatkov". To pomeni, da mora upoštevati pravila GDPR, če ima kateri od udeležencev stalno prebivališče v EU. Ker je sodišče za uslužbence "upravljavec podatkov", bo moralo zagotoviti takšno skladnost.

Mednarodna trgovinska zbornica (ICC) je izdala smernice[lv] v katerem so strankam na voljo predlagane klavzule za protokole o kibernetski varnosti in virtualna zaslišanja. Njegov namen je obravnavati varnostni vidik, ne obravnava pa vidika varstva osebnih podatkov. V načrtu bi bilo treba obravnavati možnosti, v katerih bi se varstvo osebnih podatkov uporabljalo za zaslišanja, ki se izvajajo virtualno, in tudi, kako se tega držati. Čeprav uredba GDPR določa zahteve, ki jih je treba izpolniti v zvezi z videokonferencami, ne daje smernic o tem, kako se njene zahteve neposredno uporabljajo.

Čeprav časovni načrt ne vsebuje priporočil za posamezne ponudnike programske opreme, bi lahko pripravil seznam potrebnih specifikacij idealne programske opreme za video obravnave in ga zagotovil strokovnjakom, tako kot v prilogah vsebuje kontrolne sezname o različnih drugih zadevah.

Kje so tretji financerji?

Tretja oseba, ki financira, je vsaka oseba, ki ni stranka v arbitražnem postopku in sklene dogovor o financiranju vseh ali dela stroškov postopka v zameno za znesek, ki je v celoti ali delno odvisen od izida zadeve.[lvi] Tretji financerji imajo dostop do različnih osebnih podatkov v arbitražnih postopkih, ki jih financirajo ali jih nameravajo financirati. Čeprav je načrt izrecno namenjen le udeležencem arbitražnega postopka, je v njem navedeno, da so smernice pomembne tudi za ponudnike storitev, na katere prav tako vplivajo zahteve glede varstva osebnih podatkov.[lvii]

V načrtu so med ponudniki storitev navedeni "strokovnjaki za e-odkrivanje, strokovnjaki za informacijsko tehnologijo, sodni poročevalci, prevajalske storitve itd.[lviii] vendar tretji financerji niso izrecno omenjeni. V skladu z GDPR sta zbiranje in shranjevanje osebnih podatkov vključena v obdelavo. Če torej tretji financerji zbirajo osebne podatke od drugih, bi zakoni o osebnih podatkih veljali tudi zanje.[lix]

GDPR stranki dovoljuje obdelavo osebnih podatkov, če je "obdelava potrebna za namene zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba,".[lx] ki jo lahko arbitražni udeleženci navedejo kot veljavno pravno podlago za obdelavo zadevnih osebnih podatkov. Smernice o tej temi so omejene.[lxi] V načrtu je navedeno:

"Prvi korak pri oceni zakonitega interesa je opredelitev zakonitega interesa - kakšen je namen obdelave osebnih podatkov in zakaj je pomemben za vas kot upravljavca? V okviru arbitraže lahko zakoniti interes vključuje upravljanje pravosodja, zagotavljanje spoštovanja pravic strank ter hitro in pošteno reševanje zahtevkov v skladu z veljavnimi arbitražnimi pravili, pa tudi številne druge interese.[lxii]

Vključitev "tudi številnih drugih interesov" bi lahko vključevala zakonite denarne interese tretjih oseb, ki financirajo. Če bi bilo tako, bi bili potem nedvomno dolžni skleniti sporazume o obdelavi podatkov s strankami v arbitražnem postopku in bi bili vključeni v področje uporabe predpisov in zahtev o varstvu osebnih podatkov. Zanimivo je, da v načrtu ni izrecno opredeljeno, kako so v to vključeni tretji financerji, zlasti glede na to, da so vse pogosteje vključeni v arbitražne postopke.

Ščit za nerazkrivanje

Obveznosti varstva osebnih podatkov povzročajo možnost zlorabe. Arbitražne stranke lahko GDPR v slabi veri uporabijo kot ščit, da bi preprečile razkritje informacij, ki so pomembne za postopek ali jih zahteva nasprotna stranka. Stranka lahko na primer ugovarja zahtevi za razkritje, če trdi, da dokumenti vsebujejo osebne podatke, ki niso povezani s sporom, ali da bi bila redakcija osebnih podatkov pretirano obremenjujoča.[lxiii]

Načrt obravnava možnost zlorabe. Predlaga, da se čim prej izpostavijo in pojasnijo obveznosti glede varstva osebnih podatkov, da se zmanjša tveganje, da bi te obveznosti vplivale na postopke. Udeleženci bi morali razmisliti o sklenitvi "protokola o varstvu podatkov" - dogovora o tem, kako se bo varstvo osebnih podatkov uporabljalo v določenem kontekstu. Če podpisanega protokola o varstvu podatkov ni mogoče doseči, je treba ta vprašanja obravnavati v postopkovnem sklepu številka ena.[lxiv]

Za primerjavo si lahko ogledamo skladnost z GDPR med odkrivanjem v sodnih postopkih v ZDA. Ameriška zvezna sodišča so uporabila teste uravnoteženosti, da bi odločila, ali naj odredijo razkritje ali izpolnitev sodnih pozivov ali odredb o odkritju, ki bi lahko kršili tuje zakone, vključno z zakoni o varstvu osebnih podatkov, ali ne.[lxv] Neizčrpen seznam dejavnikov, ki jih obravnavajo ameriška zvezna sodišča, je naslednji:

  • pomembnost zahtevanih dokumentov ali drugih informacij za sodni postopek;
  • stopnjo specifičnosti zahteve;
  • ali informacije izvirajo iz ZDA;
  • razpoložljivost alternativnih sredstev za zavarovanje informacij in
  • v kolikšni meri bi neizpolnjevanje zahtev ogrozilo pomembne interese ZDA.[lxvi]

Zvezna sodišča največkrat zahtevajo razkritje kljub morebitnim kršitvam tujih zakonov o varstvu osebnih podatkov.[lxvii]

Arbitri se pri odločanju o tem, ali naj stranka odredi razkritje, soočajo z drugačnimi premisleki kot sodišča. Pravilno je, kot je navedeno v literaturi,[lxviii] da se morajo sodišča zavedati konkurenčnih pravic in dolžnosti zaradi grožnje razveljavitve ali zavrnitve izvršitve v skladu s Konvencijo o priznavanju in izvrševanju tujih arbitražnih odločb iz leta 1958 (Newyorška konvencija). Vendar to stališče ne upošteva dejstva, da so odredbe o razkritju predmet minimalnega nadzora državnih sodišč zaradi načela nevmešavanja sodišč.[lxix] Primerov, ko se državna sodišča vzdržijo pregleda odredb o razkritju, je veliko.[lxx]

Glede na diskrecijsko pravico, ki jo imajo sodišča v postopkovnih zadevah, grožnja razveljavitve ali zavrnitve izvršitve verjetno ne bo osrednji dejavnik. Neizogibnost, da bodo stranke poskušale zlorabiti obveznosti GDPR za pridobitev morebitne procesne prednosti, bo sodišča postavila v težaven položaj, ko bodo morala na eni strani uravnotežiti interese posameznika, na katerega se nanašajo osebni podatki, na drugi strani pa ohraniti zanesljiv dokazni postopek.[lxxi] Pojasnitev obveznosti glede skladnosti z varstvom osebnih podatkov na začetku postopka - po možnosti v podpisanem protokolu o varstvu podatkov - v skladu s priporočili iz načrta se zdi nujen korak za preverjanje takšnega ravnanja.

Neupoštevanje zahtev za varstvo osebnih podatkov kot razlog za razglasitev ničnosti ter zavrnitev priznanja in izvršitve

Načrt ne obravnava vprašanja, ali se lahko neskladnost z zahtevami glede varstva osebnih podatkov uporabi za razveljavitev arbitražne odločbe ali za zavrnitev njenega priznanja in izvršitve. Stranke imajo zelo omejena pravna sredstva zoper arbitražne odločbe. Kljub temu lahko neuspešna stranka želi izpodbijati njen izid in uporabiti enega od glavnih skupnih razlogov za izpodbijanje arbitražne odločbe ali preprečitev njenega priznanja ali izvršitve.

Newyorško konvencijo trenutno podpisuje 168 držav pogodbenic, zato je glavna pravna podlaga za priznavanje in izvrševanje tujih arbitražnih odločb v mednarodni trgovinski arbitraži. Konvencija v členu V določa omejene razloge za zavrnitev priznanja in izvršitve arbitražne odločbe. Za sedanje namene je najpomembnejši člen V(2)(b), v katerem je priznana možnost, da pristojni organ države podpisnice zavrne priznanje ali izvršitev arbitražne odločbe, ki krši javni red.[lxxii]

Razlogi za razveljavitev arbitražne razsodbe se med različnimi jurisdikcijami razlikujejo. Vzorčni zakon UNCITRAL o mednarodni trgovinski arbitraži, ki je bil splošno sprejet, v členu 34(2) določa seznam razlogov za razveljavitev. Ta seznam je bil oblikovan po vzoru člena V Newyorške konvencije.[lxxiii] Člen 34(2)(b)(ii) določa, da lahko sodišče razveljavi arbitražno odločbo, če je ta v nasprotju z javnim redom države.[lxxiv]

Evropsko sodišče je v zadevi Eco Swiss proti Benettonu razsodilo, da lahko prevladujoče obvezne določbe prava EU predstavljajo temeljna pravila javnega reda, katerih kršitev je lahko razlog za razveljavitev arbitražne odločbe, ki temelji na takšnem razlogu v nacionalnem pravu.[lxxv] Ali je mogoče odločbo razveljaviti ali zavrniti njeno priznanje ali izvršitev zaradi neskladnosti z zahtevami glede varstva osebnih podatkov, je torej odvisno od tega, ali je treba pravila GDPR obravnavati kot nadrejene obvezne določbe, katerih kršitev je v nasprotju z nacionalnim javnim redom.[lxxvi]

Člen 9(1) Uredbe Rim I opredeljuje prevladujoče obvezne določbe kot določbe, "katerih spoštovanje država šteje za ključno za zaščito svojih javnih interesov ... do te mere, da se uporabljajo za vse primere, ki spadajo na njihovo področje uporabe, ne glede na pravo, ki se sicer uporablja". Kot sta že priznala Cervenka in Schwarz, se večina pravil uredbe GDPR verjetno lahko šteje za prevladujoče obvezne določbe v skladu s pravom EU. Kot taka se lahko njihova kršitev šteje za kršitev javnega reda.[lxxvii]

Možnost, da bi neizpolnjevanje zahtev o varstvu osebnih podatkov vodilo do razveljavitve ali nepriznavanja in neizvrševanja arbitražne odločbe, vzbuja različne pomisleke. Prvič, natančno bi bilo treba opredeliti, katere obveznosti glede varstva osebnih podatkov bi pomenile prevladujoče obvezne določbe, saj vse kršitve nimajo enake teže. Na koncu bo Sodišče Evropskih skupnosti verjetno pozvano, da zagotovi dodatna pojasnila. Drugič, upoštevati bi bilo treba tudi morebitno zlorabo možnosti izpodbijanja ali izpodbijanja izvršitve arbitražne odločbe na podlagi kršitve SUVP, da se prepreči, da bi stranke namerno kršile pravila o varstvu osebnih podatkov, da bi imele pozneje možnost regresa zoper arbitražno odločbo. Nazadnje bi bilo treba opredeliti, ali bodo predpisi o varstvu osebnih podatkov del procesnega ali materialnega prava in na kakšen način.[lxxviii]

Čeprav je treba opredeliti še marsikaj, je treba obravnavati posledice neskladnosti z zahtevami glede varstva osebnih podatkov za razveljavitev ter priznavanje in izvrševanje arbitražnih odločb. Zelo zanimivo je, da v časovnem načrtu to ni omenjeno.

Zaključek

Namen načrta je pomagati strokovnjakom za arbitražo pri prepoznavanju in razumevanju obveznosti glede varstva osebnih podatkov in zasebnosti, ki bi jih lahko imeli v okviru mednarodne arbitraže. Vendar pa, kot je bilo obravnavano prej, še vedno ne obravnava nekaterih posebnih vprašanj, ki so danes pomembna in pereča. Šest vprašanj, ki so opredeljena in obravnavana v tem dokumentu, je naslednjih:

  • uporabo GDPR za arbitraže, ki potekajo zunaj EU;
  • GDPR v okviru arbitraž NAFTA;
  • vprašanje virtualnih arbitražnih obravnav;
  • tretji financerji in njihovo mesto v načrtu;
  • morebitne zlorabe GDPR in
  • morebitno neskladnost z GDPR kot možnost za razveljavitev ali zavrnitev priznanja in izvršitve arbitražne odločbe.

O vseh teh vprašanjih bo treba še naprej razmišljati, saj bodo po napovedih v prihodnjih letih postala še pomembnejša. Upamo, da se je pokazalo, da jih je vredno vključiti v načrt.

Priloge[lxxix] dodani načrtu so namenjeni temu, da strokovnjakom pomagajo pri praktičnem reševanju teh zahtev. Dodani kontrolni seznam za varstvo podatkov, kontrolni seznam za oceno zakonitih interesov, primeri obvestil o zasebnosti in standardne pogodbene klavzule EU so izjemno dragoceni viri, ki jih morajo strokovnjaki uporabljati pri zagotavljanju skladnosti z GDPR.

Vendar lahko v primeru spora med različnimi jurisdikcijami razlike med različnimi nacionalnimi zakonodajami, ki se nanašajo na varstvo osebnih podatkov, povzročijo dvoumnost. Čeprav so smernice iz načrta obsežne, še vedno niso zavezujoče. V preteklosti sta se UNCITRAL in IBA s svojimi pravili, smernicami in podobnim trudila zagotoviti uskladitev v mednarodni arbitraži; čeprav te niso zavezujoče, so zagotovo prepričljive. Tako kot sta UNCITRAL in IBA poskušala storiti z različnimi vidiki mednarodne arbitraže, je nujno potrebna tudi uskladitev zahtev glede varstva osebnih podatkov v zvezi z arbitražo; zato bi bilo treba z namenom uskladitve pripraviti potrebne smernice.

Medtem ko usklajenost, razumevanje in ozaveščenost o zahtevah za skladnost z GDPR in njenih posledicah v kontekstu mednarodne arbitraže ostajajo pomanjkljivi, se bomo strokovnjaki za arbitražo še naprej zadovoljili s trenutno veljavnim pravnim okvirom. Kljub pomanjkljivostim pa načrt predstavlja prepotreben in spodbuden korak v smeri skupnega razumevanja obveznosti arbitražnih udeležencev glede varstva osebnih podatkov.

[i] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), UL 2016 L 119/1.

[ii] "Osebni podatki" so v 4. členu GDPR opredeljeni kot:

(1) "'osebni podatki' pomenijo vse informacije v zvezi z določeno ali določljivo fizično osebo ('posameznik, na katerega se nanašajo osebni podatki'); določljiva fizična oseba je tista, ki jo je mogoče neposredno ali posredno določiti, zlasti s sklicevanjem na identifikator, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali eden ali več dejavnikov, značilnih za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali socialno identiteto te fizične osebe."

[iii] Teritorialno področje uporabe GDPR je v členu 3 opredeljeno na naslednji način:

  1. "Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti poslovne enote upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.
  2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki se nahajajo v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane z:

(a) ponujanje blaga ali storitev, ne glede na to, ali se zahteva plačilo posameznika, na katerega se nanašajo osebni podatki, takim posameznikom, na katere se nanašajo osebni podatki, v Uniji; ali

(b) spremljanje njihovega vedenja, če se to dogaja v Uniji.

  1. Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč na kraju, kjer se na podlagi mednarodnega javnega prava uporablja pravo države članice.

[iv] Glej opredelitev pojma "obdelovalec" v členu 4 SUVP.

[v] člen 83(4) SUVP.

[vi] "Najvišja globa v skladu z GDPR naložena Googlu" (Simmons + Simmons, 22. januar 2019), glej www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways kaznovan z 20 milijoni funtov zaradi kršitve varstva podatkov" (BBC, 16. oktober 2020), glej www.bbc.com/news/technology-54568784.

[vii] "Skupna delovna skupina ICCA-IBA za varstvo podatkov v mednarodni arbitraži" (ICCA), glej www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, dostop 18. avgusta 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, februar 2020), glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, dostopno 18. avgusta 2021.

[ix] Prav tam, 1.

[x] Zadeva PCA št. 2018-54.

[xi] ICCA in newyorška odvetniška zbornica ter Mednarodni inštitut za preprečevanje in reševanje konfliktov, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostop 18. avgusta 2021.

[xii] "Smernice za kibernetsko varnost" (IBA, oktober 2018), glej www.ibanet.org/LPRU/Cybersecurity, dostopno 1. decembra 2020.

[xiii] "ICC Guidance Note on Possible Measures Aim" (Mednarodna trgovinska zbornica, 9. april 2020), dostopno 18. avgusta 2021.

[xiv] Načrt, oddelek B.

[xv] Prav tam.

[xvi] 4. člen GDPR.

[xvii] Prav tam.

[xviii] 4. člen GDPR

[xix] Prav tam, člen 3(1).

[xx] Načrt, 7.

[xxi] 4. člen GDPR.

[xxii] Načrt opredeljuje "udeležence arbitražnega postopka" kot "vključno s strankami, njihovimi pravnimi svetovalci, arbitri in (samo) arbitražnimi institucijami". Glej Načrt (n 3), 2.

[xxiii] 4. člen GDPR.

[xxiv] Glej sodbo z dne 29. julija 2019, Fashion ID GmbH & Co KG proti Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, točki 74 in 85. Glej tudi sodbo z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; sodbo z dne 10. julija 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Časovni načrt, 11

[xxvi] Prav tam, 12.

[xxvii] 5. in 12.-22. člen GDPR; časovni načrt 14-15.

[xxviii] V skladu z GDPR je na primer obdelava osebnih podatkov v okviru mednarodne arbitraže zakonita, če je potrebna za namene zakonitih interesov upravljavca podatkov - ob upoštevanju omejitev na podlagi interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki -, občutljivi podatki pa se lahko v okviru arbitraže obdelujejo na podlagi odstopanja glede pravnih zahtevkov (člen 9(2)(f)).

[xxix] Načrt, 19.

[xxx] Prav tam, 20-21.

[xxxi] Prav tam, 30-31.

[xxxii] Prav tam, 32.

[xxxiii] Prav tam, 33-36.

[xxxiv] Prav tam, 37-39.

[xxxv] Prav tam, 37.

[xxxvi] Prav tam, 39.

[xxxvii] Prav tam, 40-41.

[xxxviii] Prav tam, 42.

[xxxix] Prav tam, 43.

[xl] Člen 5(1)(e), GDPR.

[xli] Načrt, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Komisija EU je ocenila, da država zagotavlja ustrezno varstvo podatkov.

[xliv] V primeru mednarodne arbitraže je to najverjetneje standardna pogodbena klavzula.

[xlv] Odstopanje glede pravnih zahtevkov, ki dovoljuje prenose, kadar so "potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov", se najbolj uporablja v arbitražnem kontekstu.

[xlvi] Zaradi visokega praga in zahteve po obveščanju je sklicevanje na nujne legitimne interese v praksi malo pomembno. Glej EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. februar 2018 (Smernice o prenosu podatkov).

[xlvii] Načrt, 8, 13.

[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Ali ga ne moremo odpraviti?" (The can't We Make It Go Away?) (Kluwer Arbitration Blog, 29. avgust 2019), glej http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [zajeto 18. avgusta 2021].

[xlix] Zadeva PCA št. 2018-54.

[l] Prav tam, Sporočilo sodišča strankam (Perm Court Arb, 2019).

[li] Načrt, 37.

[lii] ICCA in newyorška odvetniška zbornica ter Mednarodni inštitut za preprečevanje in reševanje konfliktov, "Protokol ICCA-NYC Bar-CPR o kibernetski varnosti v mednarodni arbitraži (izdaja 2020)" (ICCA), glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, dostop 18. avgusta 2021.

[liii] "Smernice za kibernetsko varnost" (IBA, oktober 2018), glej www.ibanet.org/LPRU/Cybersecurity, dostopno 1. decembra 2020.

[liv] Andreas Respondek, Tasha Lim, "Ali naj delovna skupina ICCA/IBA za varstvo podatkov obravnava vpliv GDPR na videokonference v mednarodnih arbitražnih postopkih? (Kluwer Arbitration Blog, 18. julij 2020), glej http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, dostopno 18. avgusta 2021.

[lv] "Smernice Mednarodnega kazenskega sodišča o možnih ukrepih za ublažitev posledic pandemije COVID-19" (Mednarodno kazensko sodišče, 9. april 2020), dostopno 18. avgusta 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Načrt, 2.

[lviii] Prav tam, 23-25.

[lix] Člen 4(2) Splošne uredbe o varstvu podatkov, glej točko 1 zgoraj.

[lx] Člen 6(1)(f), Splošna uredba o varstvu podatkov.

[lxi] Allan J Arffa in drugi, "GDPR Issues in International Arbitration" (Lexology, 10. avgust 2020), glej www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, dostopno 18. avgusta 2021.

[lxii] Načrt, Priloga 5.

[lxiii] Allan J Arffa in drugi, "GDPR Issues in International Arbitration" (Lexology, 10. avgust 2020), glej www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91>, dostop 18. avgust 2021.

[lxiv] Načrt 40-41.

[lxv] Glej na primer: David M. Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Prav tam; Richmark Corp proti Timber Falling Consultants, 959 F.2d 1468, 1475 (9. okrožje 1992).

[lxvii] "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6. februar 2020), glej www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration>, dostop 18. avgusta 2021.

[lxviii] David M. Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2. izdaja, Kluwer Law International 2014), 2335.

[lxx] Prav tam. Born v podkrepitev te trditve navaja naslednje sodbe: Sodba z dne 22. januarja 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" proti Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Paris Cour d'appel): "odločitev arbitražnega sodišča, da odredi razkritje, je v njegovi procesni diskreciji in je sodišča ne morejo preverjati"; Karaha Bodas Co proti Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Zahteve za razkritje so "v okviru razumnega izvajanja diskrecijske pravice Sodišča za uslužbence".

[lxxi] Natalia M Szlarb, "GDPR in mednarodna arbitraža na razpotju" (The National Law Review, 4. december 2019), glej www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, dostopno 18. avgusta 2021.

[lxxii] Newyorška konvencija, člen V(2): "Priznanje in izvršitev arbitražne odločbe se lahko zavrne tudi, če pristojni organ v državi, kjer se zahteva priznanje in izvršitev, ugotovi, da ... (b) bi bilo priznanje ali izvršitev odločbe v nasprotju z javnim redom te države.

[lxxiii] Generalni sekretar ZN, Analitični komentar k osnutku besedila vzorčnega zakona o mednarodni trgovinski arbitraži, A/CN.9/264 (1985), člen 34, odstavek 6.

[lxxiv] Vzorčni zakon UNCITRAL o mednarodni trgovinski arbitraži, člen 34(2): "Arbitražno odločbo lahko razveljavi sodišče iz 6. člena samo, če...(b) sodišče ugotovi, da...(ii) je odločba v nasprotju z javnim redom te države.

[lxxv] Sodba z dne 1. junija 1999, Eco Swiss China Time Ltd proti Benetton International NV C-126/97, Recueil 1999, str. 39 in 41. Za podrobno razpravo o javni politiki EU glej: Sacha Prechal in Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka in Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Prav tam.

[lxxviii] Za podrobnejšo razpravo o teh in drugih vprašanjih glej: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" v José R Mata Dona in Nikos Lavranos (ur.), International Arbitration and EU Law (Edward Elgar Publishing, 2021), 5.63 in naslednji odstavki; Cervenka in Schwarz, glej št. 76 zgoraj, 84-85.

[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes" (ICCA, februar 2020), glej https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, dostopno 18. avgusta 2021.

Ta članek je bil prvič objavljen v Dispute Resolution International, letnik 15, št. 2, oktober 2021, in je objavljen s prijaznim dovoljenjem Mednarodnega združenja odvetnikov, London, Združeno kraljestvo. © International Bar Association.