U doba u kojem su podaci novi oblik valute, Osjetljive informacije o zaštiti je ključno razmatranje u međunarodnoj arbitraži. U isto vrijeme, Zakoni o zaštiti podataka u svijetu brzo su se proširili u opsegu do te mjere da, Prema Gonçalves i Brander, „Ne postoji područje zakona na koje ne utječu ta pitanja.”[1] Ova napomena istražuje ključne izazove i praktična razmatranja oko teme zaštite podataka u međunarodnoj arbitraži.
Povjerljivost u međunarodnoj arbitraži
Međunarodna arbitraža široko je cijenjena zbog svoje povjerljive prirode. Za razliku od domaćih odijela, Arbitražni postupak obično se odvija iza zatvorenih vrata, a arbitražne nagrade ostaju neobjavljene, osim ako nije drugačije dogovoreno.
Ovaj se princip ogleda u pravilima većine arbitražnih institucija. Na primjer, the 2025 Arbitražna pravila Međunarodnog arbitražnog centra Singapura Omogućite da svi sudionici arbitražu “bit će pod kontinuiranom obvezom tretirati sve stvari koje se odnose na postupak kao povjerljivo.”[2]
slično, the 2024 HKIAC upravljana arbitražnim pravilima Hong Konga međunarodnog arbitražnog centra Navedite da "[u]ukoliko se stranke ne dogovore drugačije, Nijedan predstavnik stranke ili stranke ne može objaviti, otkriti ili komunicirati bilo koje informacije koje se odnose na [...] arbitraža prema arbitražnom sporazumu”.[3]
U Engleskoj i Walesu, Povjerljivost arbitražnog postupka čak se podrazumijeva u uvjetima arbitražnih sporazuma (s ograničenim iznimkama). U Istočna saga, Komercijalni sud to je smatrao "stranke su se složile podvrgnuti arbitražnom određenom sporovima koji proizlaze između njih i samo između njih”, što je dovelo do impliciranog izraza povjerljivosti.[4] U Otprema ali, Apelacijski sud potvrdio je da se to odnosi na dokumente koje proizvode stranke, podnesci, pismeni podnesci, i izjave svjedoka, između ostalog.[5]
Cyber -sigurnost: Lekcije iz PCA haka
Međutim, u rijetkim prilikama, Podaci se izvlače iz arbitražnog postupka bez pristanka stranaka.
U 2015, Stalni arbitražni sud („PCA”) bio je domaćin visokih saslušanja između Filipina i Kine tijekom pomorskog spora u Južnom kineskom moru. Posebno, Filipini su pokrenuli arbitražu u skladu s dijelom XV priloga VII Konvenciji Ujedinjenih naroda o morskom zakonu („Uncles”), Navodeći da su kineske teritorijalne tvrdnje u regiji nadišle svoja prava prema konvenciji i da je pogoršala spor stranaka izgradnjom niza umjetnih otoka (ponekad nazvan "Veliki zid pijeska”) da ojača svoje zadržavanje nad regijom.[6]
Iako je Kina odbila sudjelovati, Arbitraža je nastavila u njegovoj odsutnosti. Međutim, na dan 3 saslušanje, Neovisna tvrtka za kibernetičku sigurnost otkrila je eksploataciju na web stranici PCA-a koju je navodno koristila grupa kineskih hakera povezanih s državom.[7] Posebno, Grupa je navodno zlostavljala eksploataciju u sada diskontiranom Adobe Flash Playeru kako bi dobila pristup i izmijenila dijelove web stranice suda za učitavanje zlonamjernog koda na računalima posjetitelja.
srećom, Od velikog kršenja podataka nije bilo velikog broja podataka 2015, a rizik od kršenja kibernetičke sigurnosti vjerojatno je veći od stranaka od arbitražnih institucija. Arbitražne institucije mogu imati i zakonske zahtjeve kako bi se pobrinule za sprečavanje takvih kršenja podataka. Na primjer, Članak 32 od Opća uredba o zaštiti podataka Ujedinjenog Kraljevstva Pruža kontrolere podataka i procesore “implementira odgovarajuće tehničke i organizacijske mjere kako bi se osigurala razina sigurnosti prikladna za rizik”.[8]
Jasno je s gore navedenog, stoga, da postoje čvrsta ograničenja u korištenju za druge svrhe podataka koji su prikupljeni tijekom međunarodne arbitraže. Međutim, Proliferacija strogih režima zaštite podataka znači da sudionici arbitraže moraju osigurati da se podaci pravilno rješavaju i unutar arbitražnog procesa.
Zakonodavstvo o zaštiti podataka
Sve više i više zakona o zaštiti podataka postojalo je u posljednjem desetljeću, uključujući Poznata regulacija opće zaštite podataka Europske unije („GDPR”). GDPR nameće velike novčane kazne za nepoštivanje do 20 milijuna eura ili 4% prometa tvrtke u prethodnoj godini, ovisno o tome što je veće.[9] to je, stoga, Presudno da stranke s vezama s Europskom unicom u skladu s njegovim odredbama.
Na papiru, Čini se da su međunarodne arbitraže izravno podložne GDPR -u ako su bilo koje stranke sa sjedištem ili djeluju u Europskoj uniji:
Članak 3
Teritorijalni opseg
- Ovaj se propis odnosi na obradu osobnih podataka u kontekstu aktivnosti uspostavljanja kontrolera ili procesora u Uniji, bez obzira na to se odvija li se obrada u Uniji ili ne.
- Ova se uredba odnosi na obradu osobnih podataka subjekata podataka koji su u Uniji od strane kontrolora ili procesora koji nisu utvrđeni u Uniji, gdje su aktivnosti obrade povezane s:
(a) Ponuda robe ili usluga, bez obzira na to je li potrebno plaćanje subjekta podataka, takvim subjektima podataka u sindikatu; ili
(b) Nadgledanje njihovog ponašanja što se tiče njihovog ponašanja odvija se unutar Unije.
- Ovaj se propis odnosi na obradu osobnih podataka od strane kontrolera koji nije utvrđen u Uniji, Ali na mjestu gdje se država zakon članica primjenjuje zahvaljujući javnom međunarodnom pravu.
Članak 3 Čini se da nameće GDPR na arbitraže gdje se u Europskoj uniji odvija bilo koji oblik obrade ili kontrole podataka, bilo da su arbitražne institucije, arbitri, savjet, svjedoci, sudski novinari, ili drugi. Prema recitalima GDPR -a, Uredba se primjenjuje "između ostalog, aktivnostima sudova i drugih pravosudnih tijela”.[10] Prema Bornu, Tako se pojavljuje vjerodostojan argument da arbitri i arbitražne institucije spadaju u opseg GDPR -a.[11] Ovo postavlja zanimljiva pitanja, Kao što je bilo prekomjerno Zahtjevi za proizvodnju dokumenata u arbitraži može prekršiti GDPR.
Međutim, Arbitražni sud osnovan sporazumom o slobodnoj trgovini u Sjevernoj Americi („ULJE”) u slučaju Tennant V. Kanada utvrdio da se GDPR nije primjenjivao unatoč tome što je jedan od njegovih arbitra bio u Ujedinjenom Kraljevstvu (Zatim član Europske unije) i usprkos vlastitoj obavijesti o privatnosti podataka na njegovoj web stranici, što ukazuje da ga je pokrivao.[12] Tribunal je to obrazložio "Ugovor kojim ni Europska unija ni države članice nisu stranka, ne, pretpostavljanje, Uđite u materijalni opseg GDPR -a.”[13]
To čini primjenjivost GDPR -a na međunarodne arbitraže prilično nejasno. Kao što Huang i Xie tvrde, Kasniji sud pravde Europske unije ukazuje da je to možda bila pogrešna odluka na temelju netočnog tumačenja članka 2.[14]
Štoviše, Samo će vrijeme reći kako će arbitražni sudovi liječiti zakone o zaštiti podataka poput GDPR -a za koje se čini da imaju ekstrateritorijalni učinak.
Proceduralni nalozi i zaštitne mjere
Zasad, Zabrinutost zbog zaštite podataka općenito bi se trebala izraziti rano u postupku, U idealnom slučaju u vrijeme prve konferencije za upravljanje slučajevima. Ovuda, stranke mogu navesti svoj slučaj i osigurati da se osiguraju odgovarajuće mjere zaštite podataka.
Londonski sud međunarodne arbitražne pravila 2020, na primjer, pružiti sljedeće:
30.5 U skladu sa svojim dužnostima u skladu s člankom 14.1, U ranoj fazi arbitraže arbitražni sud, u savjetovanju sa strankama i ako je prikladno LCIA, razmislite je li prikladno usvojiti:
(ja) bilo koje posebne mjere informacijske sigurnosti za zaštitu fizičkih i elektroničkih informacija podijeljenih u arbitraži; i
(ii) Bilo koje sredstvo za rješavanje obrade osobnih podataka proizvedenih ili razmjene u arbitraži u svjetlu primjenjive zaštite podataka ekvivalentnog zakonodavstva.
30.6 LCIA i arbitražni sud može izdati upute u rješavanju sigurnosti informacijske sigurnosti ili zaštite podataka, koji će biti obvezujući za stranke, i u slučaju onih koje je izdao LCIA, Također na članovima arbitražnog suda, U skladu s obveznim odredbama bilo kojeg primjenjivog zakona ili pravila zakona.
Međunarodna gospodarska komora objavljuje zadanu klauzulu o zaštiti podataka koja, između ostalog, predviđa da "[ja]f Podaci o osjetljivoj/posebnoj kategoriji podnose se tijekom arbitraže, obrađuje se u mjeri koja je potrebna za utvrđivanje, vježbanje, ili obraniti pravne zahtjeve u arbitraži.”[15]
Druga je mogućnost zatražiti nalog za povjerljivost kako bi se sudionici zakonski obvezli na određene obveze neotkrivanja.
Zaključak
Očito je da, Kako se međunarodna arbitraža razvija u sve digitalnijem i svijetu usmjerenom na podatke, Zaštita podataka više se ne može tretirati kao razmišljanja. U isto vrijeme, Po tom pitanju su malo dragocjene smjernice od jurisprudencije i zakonodavaca. Da bi se osigurala zaštita podataka u međunarodnim arbitražnim strankama moraju osigurati da koriste sigurne platforme koje su sigurne od prijetnji kibernetičke sigurnosti. Oni se također moraju pobrinuti da razmotre zakone o zaštiti podataka koji bi mogli utjecati na bilo koju stranku arbitraže. Konačno, Moraju imati na umu njihovu sposobnost da zatraže određene odredbe u proceduralnim nalozima kako bi se osigurala viša razina zaštite podataka.
[1] E. Gonçalves i P. Industrija, Pitanja zaštite podataka u međunarodnoj arbitraži u G. Umoran i al. (ur.) Rukovodstvo, Legitimitet, Nasljeđe: Počast Alexisu Mourre (2022), str. 199.
[2] Arbitražna pravila Međunarodnog arbitražnog centra Singapura 2025, Pravilo 59.1.
[3] 2024 HKIAC pravila o arbitražnoj administraciji, Članak 45.1.
[4] Oxford Shipping v Nippon Yusen Kaisha [1984] 2 Lloyd's rep 373, 379, Kao što je citirano u Ali Shipping Corporation protiv brodogradilišta Trogir [1997] EWCA Civ 3054, str. 3.
[5] Ali Shipping Corporation protiv brodogradilišta Trogic [1997] EWCA Civ 3054, str. 18-21 („Jasno je (I doista stranke ne osporavaju) da princip pokriva i molbe, pismeni podnesci, i dokazi svjedoka, kao i transkripte i bilješke o dokazima navedenim u arbitraži ").
[6] Republika Filipini V. Narodna Republika Kina, Slučaj PCA br. 2013-19, Dodijeliti, 12 srpanj 2016, najbolji. 7-10.
[7] Prijetnja, Snimak: Zatvaranje otvora na kineskoj jedinici 78020 (2019), str. 15.
[8] regulacija (SAD) 2016/679 europskog parlamenta i vijeća, Članak 32(1).
[9] regulacija (SAD) 2016/679 Europskog parlamenta i Vijeća 27 travanj 2016 o zaštiti prirodnih osoba s obzirom na obradu osobnih podataka i o slobodnom kretanju takvih podataka i ukidanju direktive 95/46/EC [2016] OJ l 119/1, Umjetnost. 83.5.
[10] regulacija (SAD) 2016/679 Europskog parlamenta i Vijeća 27 travanj 2016 o zaštiti prirodnih osoba s obzirom na obradu osobnih podataka i o slobodnom kretanju takvih podataka i ukidanju direktive 95/46/EC [2016] OJ l 119/1, Recitali, za. 20.
[11] G. Rođen, Poglavlje 13: Prava i dužnosti međunarodnih arbitra (Ažurirano veljače 2024) u Međunarodna trgovačka arbitraža (Treće izdanje) (2024).
[12] Tennant Energy LLC V. Vlada Kanade, Slučaj PCA br. 2018-54, Pitanja i odgovor investitora na Tribunal GDPR pitanja i pitanja o privatnosti podataka, 4 lipanj 2019.
[13] Tennant Energy LLC V. Vlada Kanade, Slučaj PCA br. 2018-54, Komunikacija Tribunala sa strankama, 24 lipanj 2019.
[14] J. Huand i D. Xie, Zakon o zaštiti podataka u arbitraži ulaganja: Primjenjivo ili ne?, u W. Park (izd.), Arbitraž International (2021).
[15] Međunarodna gospodarska komora, Klauzula o zaštiti podataka modela za proceduralni nalog jedan, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (zadnji pristup 23 svibanj 2025).