Titans Clash of the Titans: GDPR och internationella skiljeförfaranden - en titt på framtiden
Författare: Neva Cirkveni och Per Neuburger
Introduktion
Under de senaste åren har det dykt upp frågor om de praktiska konsekvenserna av skyddet av personuppgifter och cybersäkerhet för det faktiska genomförandet av internationella skiljeförfaranden - särskilt när man tar hänsyn till den ständiga tekniska utvecklingen.
Den allmänna dataskyddsförordningen (GDPR)[i] firade sin andra födelsedag i maj 2020. GDPR:s ramverk för skydd av personuppgifter syftar till att säkerställa den fria rörligheten för personuppgifter om "identifierade eller identifierbara fysiska personer".[ii] Den är tillämplig inom Europeiska unionen och har en extraterritoriell räckvidd som kan sträcka sig utanför EU;[iii] Dataskyddsförordningen kan påverka inte bara alla fysiska eller juridiska personer utan även offentliga myndigheter, byråer och andra organ - eventuellt även internationella organisationer - som omfattas av skyldigheter i fråga om skydd av personuppgifter.[iv] GDPR-sanktionerna kan uppgå till 4 procent av den överträdande enhetens globala årsomsättning för det föregående räkenskapsåret eller 20 miljoner euro, beroende på vilket belopp som är högst.[v] Behovet av att ta tillämpningen på allvar har redan konstaterats genom de böter på flera miljoner euro som har utdömts i flera jurisdiktioner.[vi]
Även om det är fastställt att lagstiftningen om skydd av personuppgifter ska tillämpas på skiljeförfaranden, är det inte fastställt på vilket sätt lagarna ska tillämpas. Därför inrättade International Council for Commercial Arbitration (ICCA) och International Bar Association (IBA) i februari 2019 en gemensam arbetsgrupp för dataskydd i internationella skiljeförfaranden, med målet att ta fram en vägledning som ger praktisk vägledning för skydd av personuppgifter i internationella skiljeförfaranden. Arbetsgruppen publicerade ett samrådsutkast till denna vägledning i mars 2020.[vii] Denna kommentar kommer att baseras på detta utkast till färdplan (färdplanen),[viii] Den slutliga, reviderade versionen av färdplanen förväntas offentliggöras i september 2021. Även om tidsfristen för kommentarer till samrådsutkastet har gått ut när detta skrivs, är den preliminära versionen av färdplanen ändå illustrativ för de frågor som GDPR väcker i internationella skiljeförfaranden. Den kommer därför att användas som diskussionsunderlag.
De flesta lagar om skydd av personuppgifter är obligatoriska i skiljeförfaranden, vilket innebär att de föreskriver:
- vilka personuppgifter som får behandlas;
- där;
- på vilket sätt;
- med vilka informationssäkerhetsåtgärder, och
- hur länge.[ix]
De tar dock inte upp hur dessa bindande skyldigheter ska uppfyllas i skiljeförfaranden. I avsaknad av särskild vägledning från tillsynsmyndigheterna är färdplanen avsedd att hjälpa skiljedomsföreträdare att identifiera och förstå de skyldigheter i fråga om skydd av personuppgifter och personlig integritet som de kan komma att omfattas av i samband med ett internationellt skiljeförfarande. Vidare är omfattningen av GDPR-skyddet fortfarande relevant i internationella skiljeförfaranden, främst huruvida GDPR-lagstiftningen är tillämplig på skiljeförfaranden med säte utanför EU. Det finns flera ytterligare konsekvenser om GDPR anses vara tillämplig på ett skiljeförfarande: för det första om behandling av personuppgifter är förbjuden och för det andra om det finns restriktioner för överföring av personuppgifter utanför EU. Slutligen, på grund av den ökande frekvensen av cyberattacker kan konsekvenserna av en sådan attack mot ett skiljeförfarande medföra betydande skador.
Syftet med denna artikel är att kommentera färdplanen och utforska praktiska åtgärder som bör beaktas när det gäller skyldigheter i fråga om skydd av personuppgifter i internationella skiljeförfaranden. I artikeln identifieras färdplanen som ett lovande, om än ofullständigt, verktyg för att komplettera olika försök att harmonisera internationella skiljeförfaranden med mjuk lagstiftning, framför allt instrument från IBA och FN:s kommission för internationell handelsrätt (UNCITRAL).
Först kommer en kort sammanfattning av färdplanen att ges, med en hänvisning till GDPR-principerna. Detta är inte avsett att vara en omfattande översikt, utan snarare en introduktion till färdplanens huvudpunkter för att ge läsaren ett sammanhang för den efterföljande diskussionen. För det andra kommer en kommentar att ges som berör sex relevanta frågor:
- Tillämpligheten av dataskyddsförordningen på skiljeförfaranden som hålls utanför EU;
- GDPR i samband med skiljeförfaranden inom ramen för det nordamerikanska frihandelsavtalet (Nafta), vilket illustreras i Tennant Energy, LLC mot Kanadas regering;[x]
- Frågan om videokonferenser, som har ökat kraftigt i betydelse under Covid-19-pandemin, inklusive hänvisningar till "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (protokollet om cybersäkerhet i internationella skiljeförfaranden).[xi] IBA:s riktlinjer för cybersäkerhet.[xii] och ICC:s vägledning om möjliga åtgärder för att mildra effekterna av COVID-19-pandemin;[xiii]
- "Tredjepartsfinansiärer" och hur de beaktas i färdplanen;
- missbruk av GDPR, särskilt som en skyddsklausul för att inte avslöja information, och
- Möjligheten att använda bristande efterlevnad av kraven på skydd av personuppgifter som en väg till ogiltigförklaring eller vägran att erkänna och verkställa skiljedomen.
Slutsatser kommer att presenteras i slutsatsen.
Färdplan
Enskilda personer och juridiska personer är skyldiga att skydda de registrerades personuppgifter. Skiljedomstolen i sig själv omfattas inte av skyldigheter att skydda personuppgifter. Om endast en av deltagarna i skiljedomen omfattas av skyldigheter avseende skydd av personuppgifter kan dock skiljedomen påverkas som helhet. Huruvida behandlingen av personuppgifter omfattas av de relevanta lagarna, det materiella och rättsliga tillämpningsområdet avgör om lagarna om skydd av personuppgifter är tillämpliga.[xiv]
Moderna lagar om skydd av personuppgifter är tillämpliga när personuppgifter om en registrerad person behandlas under verksamhet som omfattas av de relevanta lagarnas jurisdiktionsområde.[xv] Personuppgifter omfattar "all information som rör en identifierad eller identifierbar fysisk person".[xvi] Under ett typiskt skiljeförfarande utbyts stora mängder information om bland annat parterna, deras ombud, domstolen och tredje part. Det är därför troligt att de kan anses omfattas av definitionen av "personuppgifter". Med "registrerade" avses de ovan nämnda personer som är identifierade eller identifierbara.[xvii] Behandlingen omfattar aktiva och passiva åtgärder och omfattar således användning, spridning och radering av personuppgifter samt mottagande, organisering och lagring av personuppgifter.[xviii] Tillämpningsområdet omfattar åtgärder när personuppgifter behandlas inom ramen för verksamheten vid en registeransvarigs eller ett registerföretags etablering i EU.[xix] och extraterritoriellt, t.ex. när personuppgifter överförs utanför EU till enheter eller personer som av andra skäl inte redan omfattas av GDPR.[xx]
Skiljemännen kommer att kvalificeras som registeransvariga, vilket innebär att de kommer att vara ansvariga för att följa lagstiftningen om skydd av personuppgifter. Men utifrån definitionen av "registeransvarig";[xxi] de flesta deltagarna i skiljeförfaranden[xxii] som sannolikt kommer att betraktas som sådana, inklusive advokater, parter och institutionen. Personuppgiftsansvariga kan delegera databehandling till personuppgiftsbiträden,[xxiii] som står under deras kontroll och som kräver avtal om databehandling på de villkor som föreskrivs i tillämplig lag. Sekreterare, transkriberare, översättare och andra kommer således sannolikt att betraktas som personuppgiftsbiträden. Det finns också en ytterligare fråga om gemensamma registeransvariga som gemensamt bestämmer ändamålen och metoderna för databehandlingen. Gemensamt personuppgiftsansvar tolkas brett, men den gemensamma personuppgiftsansvariges ansvar är begränsat till endast den behandling som den personuppgiftsansvarige har bestämt, dess syfte och medel och inte den totala behandlingen.[xxiv]
I internationella skiljeförfaranden är begränsningarna för överföring av personuppgifter mellan olika jurisdiktioner ett uppenbart sätt att tillämpa lagstiftningen om skydd av personuppgifter. De olika skiljedomsdeltagarnas bakgrund avgör tillämpningen av olika system för skydd av personuppgifter. Moderna lagar om skydd av personuppgifter begränsar överföringar av personuppgifter till tredjeländer för att säkerställa att rättsliga skyldigheter inte kringgås genom överföring av personuppgifter till jurisdiktioner med lägre standarder för skydd av personuppgifter.[xxv] Dataskyddsförordningen tillåter överföring av personuppgifter till tredje land om något av följande inträffar:
- landet har av EU-kommissionen bedömts erbjuda ett adekvat skydd av personuppgifter;
- någon av de uttryckligen angivna skyddsåtgärderna har vidtagits;
- ett undantag som tillåter överföringar när det är nödvändigt för att fastställa, utöva eller försvara rättsliga anspråk, eller
- en parts tvingande legitima intresse.[xxvi]
Dessa regler gäller för skiljedomsdeltagarna och inte för skiljedomsförfarandet som helhet, vilket innebär att varje skiljedomsdeltagare måste överväga vilka begränsningar för överföring av personuppgifter som gäller för dem.
De principer för skydd av personuppgifter som är tillämpliga i skiljeförfaranden omfattar rättvis och laglig behandling, proportionalitet, uppgiftsminimering, begränsning av syftet, den registrerades rättigheter, korrekthet, datasäkerhet, öppenhet och ansvarighet.[xxvii]
Några av dessa principer kräver ytterligare kommentarer. Rättvis och laglig behandling innebär att personuppgifter endast får behandlas på ett sätt som de registrerade rimligen kan förvänta sig och att det måste finnas en rättslig grund för behandlingen. Vid tillämpning av principen om rättvisa bör partiet och dess ombud fråga sig om personerna, mot bakgrund av alla fakta, skulle ha förväntat sig att deras personuppgifter skulle behandlas på detta sätt, om det kommer att få negativa konsekvenser för dem och om dessa konsekvenser är berättigade. Denna princip hindrar inte att personuppgifter som hittas i affärsmail tillåts som bevis.
Begreppet laglig behandling innebär en rättslig grund som är faktabaserad och fallspecifik. I stället för att förlita sig på samtycke bör man åberopa specifika rättsliga grunder i GDPR.[xxviii]
Proportionalitet kräver en bedömning av behandlingens art, omfattning, sammanhang och ändamål i förhållande till de risker som den registrerade utsätts för.[xxix] Uppgiftsminimering kräver att skiljedomsdeltagarna begränsar behandlingen till personuppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt.[xxx] Öppenhet kräver att de registrerade informeras om behandlingen och syftet med behandlingen av personuppgifter genom antingen allmänna meddelanden, särskilda meddelanden eller båda.[xxxi] Ansvarsskyldighet avser det personliga ansvaret för efterlevnaden av dataskyddet, vilket innebär att deltagarna i skiljeförfarandet bör dokumentera alla åtgärder och beslut som vidtas för att skydda personuppgifter för att visa att de efterlevs.[xxxii]
Överensstämmelse med bestämmelserna om skydd av personuppgifter påverkar de enskilda stegen i ett internationellt skiljedomsförfarande, inte bara under själva skiljedomsförfarandet utan även under förberedelserna. Skiljedomsdeltagarna bör redan från början överväga vilka lagar om skydd av personuppgifter som gäller för dem själva och andra skiljedomsdeltagare, och vilka skiljedomsdeltagare som kommer att behandla personuppgifter som registeransvariga, registerförare eller gemensamt registeransvariga. Regler för överföring av personuppgifter från tredje land och avtal om behandling av personuppgifter avseende tredjepartstjänsteleverantörer bör också beaktas. Under dokumentinsamlingen och granskningen behöver parterna och deras juridiska ombud en laglig grund för behandlingsverksamheten och överföringen av personuppgifter till tredje land.[xxxiii]
Begäran om skiljedom, liksom efterföljande inlagor, kommer att innehålla personuppgifter som helt och hållet faller inom området för behandling. Om ett skiljedomsinstitut är bundet av de tillämpliga lagarna om skydd av personuppgifter måste det överväga eventuella skyldigheter avseende skydd av personuppgifter som gäller under varje steg i förfarandet. Om en skiljedomsinstitution omfattas av GDPR kommer den vanligtvis att bli personuppgiftsansvarig. För att följa artiklarna 13 och 14 i GDPR bör en sådan institution inkludera information om säkerhetsåtgärder, utövandet av de registrerades rättigheter, registerhållning och policyer för brott mot och lagring av uppgifter i sitt integritetsmeddelande.[xxxiv] Internationella organisationer som administrerar skiljeförfaranden mellan investerare och stater kan dock undantas från tillämpningsområdet för lagstiftningen om skydd av personuppgifter på grund av privilegier och immunitet i den stat som ingår i organisationen eller i ett värdlandsavtal. Separata överväganden måste därför göras här, bland annat om organisationen är bunden av lagar om skydd av personuppgifter och om - och i vilken utsträckning - skiljedomsdeltagare skulle omfattas av privilegier och immunitet.[xxxv]
Vid utnämningen av skiljemän till en skiljedomstol utbyts i allmänhet betydande mängder av potentiella skiljemäns personuppgifter. Skiljedomsdeltagarna bör inkludera den rättsliga grunden för behandlingen av dessa personuppgifter i sina rättsliga meddelanden och uttryckligen underrätta de skiljemän som övervägs för utnämning om behandlingen av deras personuppgifter, särskilt vid överföring av personuppgifter till tredje land.[xxxvi]
När skiljedomsförfarandet har inletts bör ansvaret för efterlevnaden av bestämmelserna om skydd av personuppgifter fördelas tidigt för att minimera riskerna. Personuppgiftsskydd bör finnas med på dagordningen för den första processkonferensen, och deltagarna i skiljeförfarandet bör försöka komma överens om hur de ska hantera efterlevnaden av bestämmelserna om personuppgiftsskydd så tidigt som möjligt. Parterna, deras ombud och skiljemännen bör överväga att ingå ett protokoll om skydd av personuppgifter för att hantera frågor om efterlevnad på ett effektivt sätt. Om detta inte är möjligt är ett alternativt alternativ för tribunalen att inkludera dem i procedurorder nummer ett.[xxxvii]
I processen för framställning och utlämnande av handlingar är principen om minimering av personuppgifter särskilt relevant. Enligt GDPR skulle detta sannolikt kräva följande:
- begränsa de personuppgifter som lämnas ut till vad som är relevant och inte är duplicerande;
- identifiera de personuppgifter som finns i det svarande materialet, och
- redigering eller pseudonymisering av onödiga personuppgifter.
Dessa frågor bör också behandlas tidigt i förfarandet, helst vid eller före den första processkonferensen.[xxxviii]
När skiljedomare och institutioner ska fatta skiljedomar bör de överväga om det är motiverat och nödvändigt att inkludera personuppgifter i skiljedomar. Om skiljedomen är konfidentiell finns det ändå en risk för att den blir offentlig när den verkställs. Även om personuppgifter redigeras förblir de vanligtvis personuppgifter eftersom den registrerade kan identifieras från resten av skiljedomen eller relaterat material.[xxxix]
Lagring och radering av uppgifter betraktas som behandling enligt GDPR, som föreskriver att personuppgifter ska "bevaras i en form som gör det möjligt att identifiera de registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas".[xl] Controllers måste överväga, dokumentera och kunna motivera lagringens längd. Skiljedomare måste överväga vilken period för lagring av uppgifter som är rimlig och bör ta ett proportionerligt tillvägagångssätt för att balansera sina behov med den inverkan som lagringen av uppgifter har på den berörda personen.[xli]
Tillämpligheten av GDPR på skiljeförfaranden utanför EU
Den allmänna dataskyddsförordningens territoriella tillämpningsområde är relativt brett. Advokater bör vara medvetna om dess tillämpning oavsett om de befinner sig i EU eller inte, eller om skiljedomsförfarandet har sitt säte i EU eller inte. Dataskyddsförordningen är tillämplig på behandling av personuppgifter som utförs av registeransvariga eller registerförare som är etablerade i EU, oavsett om själva behandlingen äger rum i EU (artikel 3.1). När det gäller erbjudande av varor eller tjänster till EU-medborgare eller övervakning av beteenden som sker inom EU gäller GDPR dessutom behandling av personuppgifter av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i EU (artikel 3.2).
När GDPR tillämpas i skiljedomssammanhang åläggs skyldigheter för registeransvariga och registerförare - skiljemän, advokater, parter och institutioner - som omfattas av förordningens materiella och territoriella räckvidd, snarare än för skiljeförfarandet direkt. Även om det bara är en skiljedomsdeltagare som har en koppling till EU kommer de att vara skyldiga att behandla personuppgifter i enlighet med GDPR. Konsekvenser för förfarandet som helhet kan uppstå.[xlii]
Kanske mest anmärkningsvärda i samband med internationella skiljeförfaranden, där överföring av skiljematerial som innehåller personuppgifter är vanligt förekommande, är de begränsningar som gäller för överföring av personuppgifter till "tredjeländer" utanför Europeiska ekonomiska samarbetsområdet (EES). I ett sådant scenario krävs en av fyra lagliga grunder för att överföring av personuppgifter ska vara tillåten. För det första är överföring till ett tredjeland tillåten om tredjelandet omfattas av ett beslut om adekvat skyddsnivå (artikel 45.1).[xliii] Om så inte är fallet bör en av de lämpliga skyddsåtgärderna (artikel 46.1) införas när så är möjligt.[xliv] Om det inte finns något beslut om adekvat skyddsnivå och det inte är möjligt att införa en lämplig skyddsåtgärd kan ett särskilt undantag åberopas (artikel 49.1).[xlv] Slutligen kan en part i avsaknad av detta åberopa ett tvingande legitimt intresse (artikel 49.1).[xlvi] som en laglig grund för överföring av personuppgifter till tredje part.
Färdplanen innehåller en ganska omfattande redogörelse för de nödvändiga överväganden som deltagarna i skiljeförfaranden måste göra. Den betonar vid flera tillfällen att det är skiljedomsdeltagarna, och inte skiljedomsförfarandet som sådant, som omfattas av principerna för skydd av personuppgifter och överföringsreglerna.[xlvii] I linje med detta är den förmodade slutsatsen att en EU-baserad skiljeman i ett skiljeförfarande utanför EU som annars inte omfattas av GDPR ändå måste uppfylla GDPR:s krav på behandling och överföring av personuppgifter. Detta är faktiskt allmänt accepterat i kommersiella skiljeförfaranden,[xlviii] Men situationen är inte lika tydlig när det gäller skiljeförfaranden mellan investerare och stater.
Fallet Tennant Energy, LLC mot Kanadas regering
Under 2019, i skiljedomsförfarandet enligt kapitel 11 i Nafta Tennant Energy, LLC mot Kanadas regering (Tennant),[xlix] Tennant, den klagande, tog upp frågan om GDPR skulle tillämpas på förfarandet med tanke på att en av domstolens ledamöter var brittisk medborgare och hade hemvist i Storbritannien. Tribunalen utfärdade dock anvisningar till parterna och konstaterade att "ett skiljeförfarande enligt kapitel 11 i Nafta, ett fördrag som varken Europeiska unionen eller dess medlemsstater är part i, presumtivt sett inte omfattas av GDPR:s materiella räckvidd".[l]
Det är viktigt att skilja mellan avtalsbaserade skiljeförfaranden och kommersiella skiljeförfaranden, och Tennant faller in i den förstnämnda kategorin. Färdplanen tar upp denna distinktion och konstaterar att internationella organisationer kan undantas från tillämpningsområdet för lagar om skydd av personuppgifter.[li] Tribunalmedlemmar i Tennant-tvistemålen kan omfattas av vissa immuniteter som härrör från Permanenta skiljedomstolens (PCA) huvudavtal med Nederländerna. Nafta-tribunalen tog dock inte ställning till om PCA, i egenskap av internationell organisation, skulle omfattas av GDPR:s överföringsregler eller om tribunalmedlemmarna skulle få vissa immuniteter från avtalet.
The Tennant ger upphov till fler frågor än den ger svar när det gäller GDPR:s tillämplighet på Nafta-förfaranden och på avtalsbaserade skiljeförfaranden mer generellt, och en nyanserad diskussion om detta ligger utanför detta område. Trots detta visar Tennant-anvisningen, mot bakgrund av färdplanen, att denna fråga fortfarande är mycket osäker. Det är i bästa fall tveksamt om färdplanen ger någon klarhet åt skiljedomsdeltagare som ställs inför en sådan fråga, särskilt med tanke på att färdplanen utfärdades efter det att Tennant Det har meddelats en anvisning, men den har inte gett den sistnämnda något som helst utrymme för hänsyn.
Frågan om videokonferenser
I färdplanen erkänns betydelsen av säkerheten för personuppgifter. Med den senaste tidens användning av ytterligare teknik för att underlätta virtuella utfrågningar, liksom arbete hemifrån - främst på grund av de rådande omständigheter som pandemin Covid-19 har tvingat oss att göra - får denna fråga ytterligare tyngd. Protokollet om cybersäkerhet[lii] och IBA:s riktlinjer för cybersäkerhet[liii] har kastat lite ljus över frågan.
Liksom i färdplanen fastställs flera underliggande principer i protokollet om cybersäkerhet. Proportionalitetsprincipen är tillämplig, tribunalen har befogenhet och utrymme för skönsmässig bedömning när det gäller att fastställa vilka säkerhetsåtgärder som vidtas och informationssäkerhet är en fråga som bör diskuteras vid den första konferensen om ärendehantering. I bilaga A till protokollet om cybersäkerhet finns en checklista som parterna i ett skiljeförfarande kan använda för att skydda förfarandet.
Efter den senaste tidens förändring av arbetsmönster och arbetsmiljöer till följd av Covid-19-pandemin bör dessa frågor ges större vikt. I en värld som har pressats att hitta nya sätt att bedriva verksamhet och anpassa sig till tider av osäkerhet är en av de frågor som den juridiska sektorn har ställts inför frågan om utfrågningar i kombination med restriktioner och behovet av social distansering. Videokonferensernas popularitet och användningen av dem i internationella skiljedomsförfaranden är något som färdplanen borde ta upp, men som inte har gjorts - eller åtminstone inte ännu.
Även om många har diskuterat och påpekat problemen med videoutfrågningar har de flesta inte tagit upp hur lagstiftningen om skydd av personuppgifter bör tillämpas på dem, inte bara när det gäller skydd av personuppgifter utan också när det gäller säkerhet, eftersom vissa plattformar har utsatts för säkerhetsattacker.[liv]
Som diskuterats ovan är det viktigt att förstå de olika rollerna för de parter som är inblandade i ett skiljeförfarande om GDPR, nämligen vilka som är "registeransvariga" och "registerförare". Om videokonferensprogrammet behandlar personuppgifter, t.ex. användarnamn och e-postadress från en parts användning av tjänsten, betraktas de som "personuppgiftsbiträden". Detta innebär att de måste följa GDPR-reglerna om någon av deltagarna har hemvist i EU. Eftersom personaldomstolen är "personuppgiftsansvarig" blir det då personaldomstolens ansvar att säkerställa sådan efterlevnad.
Internationella handelskammaren (ICC) har utfärdat en vägledning[lv] som ger parterna förslag på klausuler för cybersäkerhetsprotokoll och virtuella utfrågningar. Syftet är att ta upp säkerhetsaspekten, men den tar inte upp aspekten skydd av personuppgifter. I färdplanen bör man diskutera de möjligheter som finns för att skydda personuppgifter vid virtuella förhör och hur man ska följa dem. GDPR anger visserligen de krav som måste uppfyllas när det gäller videokonferenser, men den ger ingen vägledning om hur kraven är direkt tillämpliga.
Även om färdplanen inte innehåller några rekommendationer om specifika programvaruleverantörer skulle den kunna sammanställa och förse praktiker med en förteckning över de nödvändiga specifikationerna för en idealisk programvara för videoförhör, på samma sätt som den innehåller checklistor för olika andra frågor i sina bilagor.
Var passar tredjepartsfinansiärer in?
Med tredjepartsfinansiär avses varje icke part i skiljeförfarandet som ingår ett avtal om att finansiera hela eller delar av kostnaderna för förfarandet mot en summa som helt eller delvis är beroende av utgången av målet.[lvi] Tredjepartsfinansiärer har tillgång till olika personuppgifter i skiljeförfaranden som de finansierar eller överväger att finansiera. Även om färdplanen uttryckligen endast riktar sig till deltagare i skiljeförfaranden, anges att vägledningen är relevant för tjänsteleverantörer som också berörs av kraven på skydd av personuppgifter.[lvii]
I färdplanen omfattar tjänsteleverantörerna "experter på e-utredningar, informationstekniker, domstolsreportrar, översättningstjänster osv.[lviii] men tredjepartsfinansiärer nämns inte uttryckligen. Enligt GDPR ingår insamling och lagring av personuppgifter i behandlingen. Om tredjepartsfinansiärerna samlar in personuppgifter från andra, gäller personuppgiftslagen alltså även för dem.[lix]
GDPR tillåter en part att behandla personuppgifter om "behandlingen är nödvändig för att tillgodose den personuppgiftsansvariges eller en tredje parts legitima intressen".[lx] som kan åberopas av skiljedomsdeltagarna som en tillämplig rättslig grund för behandling av relevanta personuppgifter. Det finns begränsad vägledning i denna fråga.[lxi] I färdplanen anges följande:
"Det första steget i en bedömning av legitimt intresse är att identifiera ett legitimt intresse - vilket är syftet med behandlingen av personuppgifterna och varför är det viktigt för dig som registeransvarig? I samband med skiljeförfaranden kan det legitima intresset omfatta rättskipning, säkerställande av att parternas rättigheter respekteras och snabb och rättvis lösning av anspråk enligt de tillämpliga skiljedomsreglerna, och många andra intressen också".[lxii]
Införandet av "många andra intressen" kan möjligen inbegripa tredjepartsfinansiärers legitima ekonomiska intressen. Om så är fallet skulle de då helt klart vara skyldiga att ingå avtal om databehandling med parterna i skiljeförfarandet och omfattas av bestämmelserna och kraven om skydd av personuppgifter. Det är intressant att färdplanen inte uttryckligen beskriver hur tredjepartsfinansiärer passar in i bilden, särskilt med tanke på att de allt oftare inkluderas i skiljeförfaranden.
Ett skydd för att inte avslöja något
Skyldigheterna i fråga om skydd av personuppgifter leder till risken för missbruk. Skiljedomsparter kan använda GDPR som en sköld i ond tro för att förhindra utlämnande av information som är relevant för förfarandet eller som begärs av motparten. En part kan till exempel invända mot en begäran om utlämnande med hänvisning till att handlingarna innehåller personuppgifter som inte har något samband med tvisten eller att det skulle vara onödigt betungande att redigera personuppgifter.[lxiii]
Färdplanen tar upp risken för missbruk. Den föreslår att man så tidigt som möjligt tar upp och förtydligar skyldigheterna i fråga om skydd av personuppgifter för att minska risken för att de påverkar förfarandena. Deltagarna bör överväga att ingå ett "dataskyddsprotokoll" - ett avtal om hur skyddet av personuppgifter ska tillämpas i ett visst sammanhang. Om det inte är möjligt att underteckna ett protokoll om uppgiftsskydd bör dessa frågor alternativt tas upp i procedurorder nummer ett.[lxiv]
Som en jämförelse kan man titta på efterlevnaden av GDPR under utredning i amerikanska tvister. Amerikanska federala domstolar har använt sig av avvägningstester för att avgöra om de ska beordra utlämnande eller efterlevnad av stämningsansökningar eller förelägganden om utredning som eventuellt strider mot utländska lagar, inklusive lagar om skydd av personuppgifter.[lxv] En icke uttömmande lista över faktorer som amerikanska federala domstolar tar hänsyn till är följande:
- Betydelsen av de begärda handlingarna eller annan information för tvisten;
- hur specifik begäran är;
- om informationen har sitt ursprung i USA;
- tillgången till alternativa sätt att säkra informationen, och
- i vilken utsträckning bristande efterlevnad skulle undergräva viktiga amerikanska intressen.[lxvi]
Oftast kräver federala domstolar att information lämnas ut trots potentiella överträdelser av utländska lagar om skydd av personuppgifter.[lxvii]
Skiljemännen ställs inför andra överväganden än domstolarna när de beslutar om de ska beordra en part att lämna ut uppgifter. Det är korrekt, vilket också framhålls i litteraturen,[lxviii] att domstolarna måste vara medvetna om konkurrerande rättigheter och skyldigheter mot bakgrund av hotet om ogiltigförklaring eller vägrad verkställighet enligt 1958 års konvention om erkännande och verkställighet av utländska skiljedomar (New York-konventionen). Detta synsätt tar dock inte hänsyn till det faktum att beslut om utlämnande av uppgifter är föremål för minimal prövning av statliga domstolar, med tanke på principen om rättslig icke-inblandning.[lxix] Det finns många exempel på statliga domstolar som avstår från att granska beslut om offentliggörande.[lxx]
Med tanke på det utrymme som domstolar har i procedurfrågor är det osannolikt att hotet om ogiltigförklaring eller vägrad verkställighet är en central faktor. Det är oundvikligt att parter försöker missbruka GDPR:s skyldigheter för att få en potentiell processuell fördel, vilket kommer att försätta domstolarna i en svår situation där de å ena sidan måste balansera den registrerades intressen och å andra sidan upprätthålla ett robust bevisförfarande.[lxxi] Att klargöra skyldigheterna i fråga om efterlevnad av bestämmelserna om skydd av personuppgifter i början av förfarandet - helst i ett undertecknat protokoll om dataskydd - i enlighet med rekommendationerna i färdplanen verkar vara ett nödvändigt steg för att kontrollera detta beteende.
Bristande efterlevnad av kraven på skydd av personuppgifter som en väg till ogiltigförklaring och vägran att erkänna och verkställa
Färdplanen tar inte upp huruvida bristande efterlevnad av kraven på skydd av personuppgifter kan användas för att upphäva en skiljedom eller för att vägra erkännande och verkställighet av den. Parterna har mycket begränsade möjligheter att överklaga skiljedomar. En förlorad part kan dock vilja ifrågasätta resultatet och använda någon av de viktigaste gemensamma grunderna för att ifrågasätta skiljedomen eller för att förhindra att den erkänns eller verkställs.
New York-konventionen har för närvarande 168 avtalsslutande stater, vilket gör den till den främsta rättsliga grunden för erkännande och verkställighet av utländska skiljedomar i internationella kommersiella skiljeförfaranden. I artikel V i konventionen anges begränsade grunder på vilka erkännande och verkställighet av en skiljedom kan vägras. Den mest anmärkningsvärda för detta ändamål är att artikel V.2 b ger den behöriga myndigheten i en signatärstat möjlighet att vägra erkännande eller verkställighet av en skiljedom som strider mot grunderna för rättsordningen.[lxxii]
De grunder på vilka en skiljedom kan upphävas varierar mellan olika jurisdiktioner. UNCITRAL:s modellag för internationell handelsarbitrage, som har antagits i stor utsträckning, innehåller i artikel 34.2 en förteckning över grunder för ogiltigförklaring. Förteckningen är nära inspirerad av artikel V i New York-konventionen.[lxxiii] I artikel 34.2 b ii anges att en skiljedom kan upphävas av domstolen om skiljedomen strider mot statens allmänna ordning.[lxxiv]
EG-domstolen ansåg i målet Eco Swiss mot Benetton att tvingande bestämmelser i EU-rätten som har företräde framför andra bestämmelser kan utgöra grundläggande bestämmelser om allmän ordning, vars överträdelse kan utgöra en grund för ogiltigförklaring av en skiljedom som grundar sig på en sådan grund i den nationella lagstiftningen.[lxxv] Huruvida en dom kan upphävas eller om dess erkännande eller verkställighet kan vägras på grund av att kraven på skydd av personuppgifter inte uppfylls beror därför på om reglerna i GDPR ska betraktas som tvingande bestämmelser som strider mot nationell allmän ordning.[lxxvi]
I artikel 9.1 i Rom I-förordningen definieras tvingande bestämmelser som bestämmelser "vars efterlevnad anses vara avgörande för ett land för att skydda sina allmänna intressen ... i sådan utsträckning att de är tillämpliga på varje situation som omfattas av deras tillämpningsområde, oberoende av vilken lag som annars är tillämplig". Som Cervenka och Schwarz tidigare har erkänt kan de flesta av reglerna i GDPR sannolikt betraktas som överordnade tvingande bestämmelser i enlighet med EU-rätten. Som sådana kan överträdelser av dem betraktas som en överträdelse av allmän ordning.[lxxvii]
Möjligheten att bristande efterlevnad av kraven på skydd av personuppgifter kan leda till att en skiljedom ogiltigförklaras eller inte erkänns och inte verkställs väcker olika farhågor. För det första bör det definieras exakt vilka skyldigheter i fråga om skydd av personuppgifter som skulle utgöra tvingande bestämmelser, eftersom alla överträdelser inte har samma vikt. I slutändan kommer EG-domstolen troligen att uppmanas att ge ytterligare klargöranden. För det andra bör man också ta hänsyn till det potentiella missbruket av möjligheten att ifrågasätta eller bestrida verkställigheten av en skiljedom på grundval av en överträdelse av dataskyddsförordningen, för att förhindra att parter avsiktligt bryter mot reglerna om skydd av personuppgifter för att senare ha möjlighet att överklaga skiljedomen. Slutligen bör det fastställas om bestämmelserna om skydd av personuppgifter ska ingå i processuell eller materiell rätt och på vilket sätt.[lxxviii]
Även om mycket återstår att definiera, bör man ta upp konsekvenserna av bristande efterlevnad av kraven på skydd av personuppgifter när det gäller ogiltigförklaring samt erkännande och verkställighet av skiljedomar. Det är mycket intressant att detta inte nämns i färdplanen.
Slutsats
Färdplanen är avsedd att hjälpa skiljedomsföreträdare att identifiera och förstå de skyldigheter som gäller skydd av personuppgifter och integritet som de kan omfattas av i internationella skiljeförfaranden. Som tidigare diskuterats tar den dock fortfarande inte upp några specifika frågor som är relevanta och brådskande i dag. De sex frågor som identifieras och utvecklas i detta dokument är följande:
- Tillämpligheten av dataskyddsförordningen på skiljeförfaranden som hålls utanför EU;
- GDPR i samband med skiljeförfaranden inom ramen för Nafta;
- frågan om virtuella skiljedomsförhandlingar;
- Tredjepartsfinansiärer och deras plats i färdplanen;
- potentiellt missbruk av GDPR, och
- Eventuell bristande efterlevnad av dataskyddsförordningen som en väg till ogiltigförklaring eller vägran att erkänna och verkställa skiljedomen.
Alla dessa frågor kommer att kräva ytterligare överväganden, eftersom de förväntas bli ännu mer relevanta under de kommande åren. Förhoppningen är att det har visats att de är värda att tas med i färdplanen.
Bilagorna[lxxix] som läggs till i färdplanen är avsedda att hjälpa yrkesverksamma att hantera dessa krav på ett praktiskt sätt. Checklistan för dataskydd, checklistan för bedömning av berättigade intressen, exempel på integritetsmeddelanden och EU:s standardavtalsklausuler är alla ytterst värdefulla resurser och bör användas av yrkesverksamma för att se till att de uppfyller kraven i GDPR.
I en konfliktsituation mellan olika jurisdiktioner kan dock skillnaderna mellan olika nationella lagstiftningar om skydd av personuppgifter leda till oklarheter. Även om riktlinjerna i färdplanen är omfattande är de fortfarande inte bindande. Tidigare har UNCITRAL och IBA strävat efter att åstadkomma en harmonisering inom internationella skiljeförfaranden genom sina regler, riktlinjer och liknande; även om dessa inte är bindande är de definitivt övertygande. På samma sätt som UNCITRAL och IBA har försökt att göra med olika aspekter av internationella skiljeförfaranden finns det också ett skriande behov av harmonisering av kraven på skydd av personuppgifter i samband med skiljeförfaranden, och därför bör nödvändiga riktlinjer införas med harmonisering i åtanke.
Även om det fortfarande saknas harmonisering, förståelse och medvetenhet om kraven på efterlevnad av GDPR och dess konsekvenser i samband med internationella skiljeförfaranden, kommer vi som skiljedomare att fortsätta att nöja oss med den rättsliga ram som finns på plats. Trots sina brister utgör färdplanen ett välbehövligt och uppmuntrande steg i riktning mot en gemensam förståelse för skiljedomsdeltagarnas skyldigheter i fråga om skydd av personuppgifter.
[i] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd av fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EUT L 119/1.
[ii] "Personuppgifter" definieras i artikel 4 i GDPR som:
(1) ''personuppgifter'': all information som rör en identifierad eller identifierbar fysisk person ("den registrerade"); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet."
[iii] GDPR:s territoriella räckvidd definieras i artikel 3 på följande sätt:
- "Denna förordning är tillämplig på behandling av personuppgifter inom ramen för verksamheten vid ett verksamhetsställe för en registeransvarig eller ett personuppgiftsbiträde i unionen, oavsett om behandlingen äger rum i unionen eller inte.
- Denna förordning är tillämplig på behandling av personuppgifter om registrerade som befinner sig i unionen av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerat i unionen, om behandlingen är relaterad till:
(a) erbjudande av varor eller tjänster, oavsett om det krävs betalning av den registrerade eller inte, till sådana registrerade i unionen, eller
(b) övervakning av deras beteende i den mån deras beteende äger rum inom unionen.
- Denna förordning är tillämplig på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där medlemsstaternas lagstiftning är tillämplig i enlighet med internationell offentlig rätt.
[iv] Se definitionen av "personuppgiftsbiträde" i artikel 4 i GDPR.
[v] Artikel 83.4 i GDPR.
[vi] "Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 januari 2019), se www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 oktober 2020), se www.bbc.com/news/technology-54568784.
[vii] ICCA-IBA Joint Task Force on Data Protection in International Arbitration (ICCA), se www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, besökt den 18 augusti 2021.
[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, februari 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, tillgänglig den 18 augusti 2021.
[ix] Ibid, 1.
[x] PCA-ärende nr 2018-54.
[xi] ICCA och New York City Bar och International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, besökt den 18 augusti 2021.
[xii] "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, besökt den 1 december 2020.
[xiii] "ICC Guidance Note on Possible Measures Aim" (Internationella handelskammaren, 9 april 2020), tillgänglig den 18 augusti 2021.
[xiv] Färdplan, avsnitt B.
[xv] Ibid.
[xvi] Artikel 4, GDPR.
[xvii] Ibid.
[xviii] Artikel 4, GDPR
[xix] Ibid, artikel 3.1.
[xx] Färdplan, 7.
[xxi] Artikel 4, GDPR.
[xxii] I färdplanen definieras "skiljedomsdeltagare" som "inklusive parterna, deras juridiska ombud, skiljemännen och skiljedomsinstitutionerna (endast)". Se färdplanen (n 3), 2.
[xxiii] Artikel 4, GDPR.
[xxiv] Se dom av den 29 juli 2019, Fashion ID GmbH & Co KG mot Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, punkterna 74 och 85. Se även dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; dom av den 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
[xxv] Färdplan, 11
[xxvi] Ibid, 12.
[xxvii] Artiklarna 5 och 12-22 i GDPR, färdplan 14-15.
[xxviii] Enligt dataskyddsförordningen är till exempel behandling av personuppgifter i samband med internationella skiljeförfaranden laglig när den är nödvändig för att tillgodose den registeransvariges legitima intressen - med förbehåll för begränsningar som grundar sig på den registrerades intressen och grundläggande rättigheter - och känsliga uppgifter kan behandlas enligt undantaget för rättsliga anspråk (artikel 9.2 f) i samband med skiljeförfaranden.
[xxix] Färdplan, 19.
[xxx] Ibid, 20-21.
[xxxi] Ibid, 30-31.
[xxxii] Ibid, 32.
[xxxiii] Ibid, 33-36.
[xxxiv] Ibid, 37-39.
[xxxv] Ibid, 37.
[xxxvi] Ibid, 39.
[xxxvii] Ibid, 40-41.
[xxxviii] Ibid, 42.
[xxxix] Ibid, 43.
[xl] Artikel 5.1 e i GDPR.
[xli] Färdplan, 44.
[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.
[xliii] EU-kommissionen har ansett att landet erbjuder ett adekvat dataskydd.
[xliv] När det gäller internationella skiljeförfaranden är detta troligen en vanlig avtalsklausul.
[xlv] Undantaget för rättsliga anspråk, som tillåter överföringar om de är "nödvändiga för att fastställa, göra gällande eller försvara rättsliga anspråk", är det mest tillämpliga i skiljedomssammanhang.
[xlvi] På grund av det höga tröskelvärdet och anmälningskravet är det i praktiken föga relevant att förlita sig på tvingande legitima intressen. Se EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6 februari 2018 (Data Transfer Guidance).
[xlvii] Färdplan, 8, 13.
[xlviii] Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Kan vi inte få den att försvinna? (Kluwer Arbitration Blog, 29 augusti 2019), se http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [besökt 18 augusti 2021].
[xlix] Ärende nr 2018-54.
[l] Ibid, Tribunalens meddelande till parterna (Perm Ct Arb, 2019).
[li] Färdplan, 37.
[lii] ICCA och New York City Bar och International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, besökt den 18 augusti 2021.
[liii] "Cybersecurity Guidelines" (IBA, oktober 2018), se www.ibanet.org/LPRU/Cybersecurity, besökt den 1 december 2020.
[liv] Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings? (Kluwer Arbitration Blog, 18 juli 2020), se http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, besökt den 18 augusti 2021.
[lv] "ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9 april 2020), tillgänglig den 18 augusti 2021.
[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.
[lvii] Färdplan, 2.
[lviii] Ibid, 23-25.
[lix] Artikel 4.2 i GDPR, se punkt 1 ovan.
[lx] Artikel 6.1 f i GDPR.
[lxi] Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10 augusti 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, besökt den 18 augusti 2021.
[lxii] Färdplan, bilaga 5.
[lxiii] Allan J Arffa m.fl., "GDPR Issues in International Arbitration" (Lexology, 10 augusti 2020), se www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91>, besökt den 18 augusti 2021.
[lxiv] Färdplan 40-41.
[lxv] Se till exempel: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
[lxvii] "Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 februari 2020), se www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration>, besökt den 18 augusti 2021.
[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
[lxix] Gary Born, International Commercial Arbitration (2:a utgåvan, Kluwer Law International 2014), 2335.
[lxx] Ibid. Born hänvisar till följande domar för att styrka detta argument: Dom av den 22 januari 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" mot Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel i Paris): "Skiljedomstolens beslut om att beordra utredning ligger inom ramen för dess processuella utrymme för skönsmässig bedömning och kan inte granskas av domstolarna"; Karaha Bodas Co mot Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), bekräftad, 364 F 3d 274 (5th Cir 2004): Begäran om utlämnande av uppgifter ligger "väl inom ramen för en rimlig utövning av tribunalens skönsmässiga befogenheter".
[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 december 2019), se www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, besökt den 18 augusti 2021.
[lxxii] New York-konventionen, artikel V.2: "Erkännande och verkställighet av en skiljedom kan också vägras om den behöriga myndigheten i det land där erkännande och verkställighet begärs finner att... (b) erkännandet eller verkställigheten av skiljedomen skulle strida mot den allmänna ordningen i det landet".
[lxxiii] FN:s generalsekreterare, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), artikel 34, punkt 6.
[lxxiv] UNCITRAL:s modellag för internationellt handelsarbitrage, artikel 34.2: "En skiljedom får upphävas av den domstol som anges i artikel 6 endast om... b) domstolen finner att... ii) skiljedomen strider mot den allmänna ordningen i denna stat".
[lxxv] Dom av den 1 juni 1999, Eco Swiss China Time Ltd mot Benetton International NV C-126/97, REG 1999, s. I-03055, punkterna. 39 och 41. För en detaljerad diskussion om EU:s offentliga politik, se: Sacha Prechal och Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
[lxxvi] Anja Cervenka och Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
[lxxvii] Ibid.
[lxxviii] För en mer detaljerad diskussion om dessa och andra frågor, se: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" i José R Mata Dona och Nikos Lavranos (red.), International Arbitration and EU Law (Edward Elgar Publishing, 2021), punkt 5.63 och följande; Cervenka och Schwarz, se punkt 76 ovan, 84-85.
[lxxix] "The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, februari 2020), se https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, tillgänglig den 18 augusti 2021.
Denna artikel publicerades först i Dispute Resolution International, Vol 15 No 2, oktober 2021, och återges med tillstånd av International Bar Association, London, Storbritannien. © International Bar Association.