Hantera dataskydd

Det skulle vara svårt att inte ha stött på åtminstone en skiljedomshändelse under det senaste året som diskuterade integritet eller cybersäkerhet. När dessa diskussioner blir vanligare kan man fråga sig: Vilka är de praktiska konsekvenserna av integritet och cybersäkerhet på det faktiska genomförandet av internationell skiljedom?

Det är vad Singapore-avdelningen vid Institute of Chartered Arbitrators (CIArb) ville föreställa sig i en unik tävling som hölls för några månader sedan. Utrustad med ett detaljerat hypotetiskt faktiskt scenario ombads deltagarna att utveckla en procedurordning (PO) som innehåller instruktioner om dataskydd och cybersäkerhetsåtgärder som ska genomföras när domarförfarandet genomfördes.

Realistiskt problem

Problemet ställs som en unik uppsättning “fakta”. Part A var ett registrerat amerikanskt företag som finansierades av en fiktiv medlem av Europeiska unionen, stat C. Part A har ingått ett avtal med Party B, ett mjukvaruföretag som är registrerat i Singapore. Enligt kontraktet finansierar part B part A för att utveckla en bärbar app för app som samlar in hälsodata från medborgare i land C. För detta ändamål har part B upprättat en filial i land C och dess servrar för det land där projektet ligger. Personuppgifter om medborgare i andra EU-länder bör uteslutas. Avtalet reglerades av Singapores lag och föreskrevs för UNCITRAL skiljeförfarande i Singapore.

Konflikten uppstod när part A hävdade att part B: s servrar hade äventyrats av en statlig aktör. Part A begärde upptäckt av dokument mot part B, medan part B hävdade att beviljandet av upptäckten stred mot Europeiska unionens allmänna dataskyddsförordning (GDPR). Skiljenämnden var tvungen att besluta om inköpsordern, bland annat om: (1) upptäckten skulle utgöra ett brott mot GDPR och (2) cybersäkerhetsförfarandena för skiljeförfarandet bör begäras.

Gäller GDPR för skiljedom utanför Europeiska unionen?

Den första troliga frågan som ska ställas är vilka dataskyddslagar som gäller. Om både Lex Arbitri och materiell rätt, som i CIArb-konkurrensen, inte är lagstiftning i ett EU-land, är frågan om GDPR fortfarande gäller inte lätt.

En möjlig metod är att kontrollera om GDPR krävs enligt lag. Frågan om obligatoriska lagar gäller vid internationell skiljedom är emellertid i sig belägen med vissa svårigheter. I CIArb-tävlingen uppgav parterna uttryckligen i sin tvistlösningsklausul att upptäckten var föremål för en obligatorisk gällande lag.

Även om du anser att den allmänna dataskyddsförordningen (GDPR) är obligatorisk, är nästa fråga om skiljedomsaktiviteter omfattas av denna lag. GDPR gäller alla frågor inom (a) fysisk domän och (b) territoriell räckvidd. Den första handlar om verksamhetens natur. Enligt artikel 2 punkt 1 i GDPR sträcker sig dess primära omfattning att omfatta alla “personuppgifter som är helt eller delvis automatiserade”. Detta är en bred definition och det är tänkbart att parterna och skiljenämnden slutligen kommer att behandla personuppgifter. Inte minst när du skapar och granskar dokument. Detta bekräftas av en anekdot i GDPR som säger att den ska gälla för “åtgärder utanför domstol”. Men åtminstone en domstol tänkte annorlunda. I juni 2019 beslutade en domstol i Tennant Energys NAFTA Arbitration mot Kanada att skiljeförfarandet inte omfattas av den allmänna dataskyddsförordningen (GDPR).

Det territoriella omfånget avser de aktörer som är inblandade i skiljeförfarandet. I detta sammanhang gäller den allmänna dataskyddsförordningen (GDPR) för alla registeransvariga eller databehandlare som är belägna i Europeiska unionen samt för personer utanför Europeiska unionen om de tillhandahåller varor eller tjänster till datahållare i Europeiska unionen. Följande aktörer i skiljedom kan falla inom GDPR: s territoriella räckvidd:

Parter i skiljeförfarande – varje part som gör affärer i Europeiska unionen och samlar in uppgifter där, även om den är baserad utanför Europeiska unionen

Skiljemän – Som diskuterats i detta tidigare blogginlägg verkar skiljemän som är bosatta i ett EU-land falla inom det regionala tillämpningsområdet för den allmänna dataskyddsförordningen (GDPR).

Alla intressenter i skiljeförfarandet om det hanteras av en EU-baserad institution.