Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Защита данных в арбитраже
Евгений Блинов, партнер, руководитель практики международного арбитража, Eterna Law Виктор Пасечник, младший юрист, Eterna Law

В течение последних нескольких лет вопрос защиты данных в международном арбитраже приобрел особую актуальность. Это прежде всего связано со вступлением в силу Общего регламента по защите данных от 25 мая 2018 года (GDPR) и все более широким использованием новых технологий в арбитражном процессе. С началом пандемии COVID-19 количество офлайн-слушаний значительно сократилось. При этом приобрела распространение практика проведения слушаний онлайн, даже по довольно крупным и сложным спорам. Это привело к увеличению риска как утечки данных (например, вследствие кибератаки), так и наложения санкций со стороны соответствующих регуляторов за нарушение законодательства по защите данных.

Влияние GDPR на международный арбитраж

Вступление в силу GDPR было долгожданным событием, поскольку регламент, во-первых, подробно урегулировал вопрос обработки персональных данных, и во-вторых, установил экстратерриториальное применение своих положений и требований. В частности, требования GDPR могут применяться и к компаниям, не имеющим физического представительства в ЕС, но обрабатывающим персональные данные граждан ЕС или, например, таргетирующих граждан ЕС через веб-сайт либо приложение, ориентированное на рынки ЕС.

GDPR предоставил широкое определение понятию персональных данных и их обработки, определил довольно ограниченный перечень оснований для обработки данных и установил существенную ответственность за нарушение правил их обработки. Так, ст. 83(5) GDPR предусматривает возможность наложения административного штрафа до 20 млн евро или в случае применения санкций к компании – до 4 % от общего глобального годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма больше. Такие санкции довольно жесткие и соразмерны со штрафами, обычно налагаемыми антимонопольными органами как в ЕС, так и в Украине.

Требования GDPR применяются как часть материального права места арбитража, если оно находится в пределах ЕС. Стоит отметить, что значительная часть арбитражных институций, администрирующих споры при участии украинских сторон, располагается в пределах ЕС, в частности Международная торговая палата (ICC) во Франции, Арбитражный институт торговой палаты Стокгольма (SCC) в Швеции, Венский международный арбитражный центр (VIAC) в Австрии. В арбитражных спорах, которые администрируются такими институциями, требования GDPR по безопасности данных применяются ко всем участникам процесса. Так, в Примечании по проведению арбитража согласно правилам ICC ICC отмечает, что в процессе рассмотрения дела трибунал должен указать участникам, что к вопросам защиты данных применяется GDPR, а также то, что они, принимая участие в процессе, предоставляют согласие на сбор, обработку и передачу своих персональных данных.

Вопрос применимости GDPR к арбитражным процессам, которые администрируются институциями за пределами ЕС, является немного сложнее. По общему правилу передача персональных данных граждан ЕС третьим странам возможна исключительно при наличии специальных предохранительных мер согласно требованиям GDPR, преследующих цель обеспечить должную защиту таких персональных данных. Например, передача может осуществляться на основании "решения об адекватности", утвержденного Европейской комиссией, которое подтверждает, что третья страна обеспечивает надлежащий уровень защиты персональных данных.

При отсутствии такого "решения об адекватности", как в случае Украины, надлежащим предохранителем, позволяющим передавать данные третьим странам, может быть, в частности, заключение "стандартных контрактных положений" (одобренных Еврокомиссией) между организацией или лицом, которое передает персональные данные, и организацией или лицом за пределами ЕС, которые получают такие персональные данные (например, между арбитром – гражданином ЕС и арбитром – гражданином Украины или арбитражной институцией, расположенной на территории Украины).

В конце концов, при невозможности применения какой-либо из предохранительных мер GDPR предусматривает определенные отступления от общих правил, которые могут использоваться в арбитраже. Так, ст. 49(1)(e) GDPR предусматривает возможность передачи данных третьим странам для обеспечения подготовки и подачи претензий и исков, а также защиты от них.

Исходя из разъяснения 111 к GDPR, такая передача возможна в рамках внесудебных споров, к которым относятся и арбитражи, но только при определенных условиях. Так, GDPR разрешает только неповторяющуюся передачу данных в законных целях контролера при условии, что будет сохранен уровень защиты персональных данных физических лиц, гарантируемый GDPR. Также рекомендуется свести количество данных, которые передаются, только к абсолютно необходимым для производства. Такие данные рекомендуется при возможности псевдонимизировать, а также заключить соглашения о конфиденциальности при их передаче.

Рекомендации по защите данных и информационной безопасности

Другой причиной роста внимания к вопросу защиты данных в арбитраже является широкое использование новых технологий. В связи с пандемией COVID-19 для рассмотрения споров и проведения слушаний онлайн использовалось программное обеспечение для проведения видеоконференций, электронная почта и облачные хранилища для обмена документами в электронной форме. Несмотря на то что такой формат имеет свои безусловные преимущества, такие как удобство в организации слушаний (участникам не нужно собираться в одном месте) и экономия средств для сторон (расходы на программное обеспечение значительно ниже, чем на перелеты, проживание и питание для сторон, их представителей и арбитров, а также чем на организацию слушаний в определенном месте), он имеет свои недостатки. Вопрос защиты данных и кибербезопасности считается одним из наиболее существенных, поскольку конфиденциальность является одним из ключевых преимуществ международного арбитража. Ее нарушение может привести к существенным негативным последствиям, включая финансовые потери и репутационный вред, а также подорвать репутацию международного арбитража как безопасного и эффективного способа разрешения споров.

Последствиями нарушения конфиденциальности и утечки данных для сторон могут быть:

1) падение цены акций публичной компании;

2) падение инвестиционной привлекательности частной компании;

3) уменьшение возможностей для привлечения долгового финансирования и ухудшение его условий;

4) потеря существующих и потенциальных клиентов;

5) увольнение топ-менеджмента;

6) ухудшение репутации государства на международной арене и ее привлекательности для инвесторов (в случае инвестиционного спора);

7) инициирование расследований, в частности уголовных, наложение штрафов и других санкций;

8) инициирование споров контрагентами.

Нарушение конфиденциальности и утечка данных в арбитражном споре могут произойти как вследствие небрежности лиц, имеющих доступ к персональным данным / другой конфиденциальной информации, так и вследствие злонамеренной деятельности лиц, желающих получить доступ к такой информации. Подобная деятельность, как правило, осуществляется путем кибератак. Ее мишенями может стать любой участник арбитражного процесса, в частности стороны, их юридические советники, арбитражные институции, арбитры, прочие участники процесса (свидетели, эксперты, переводчики и т. п.), а также компании, обеспечивающие проведение видеоконференций, облачное хранение электронных документов, обмен электронными сообщениями.

Арбитражные институции уделяют значительное внимание вопросам защиты данных. Так, Лондонским судом международного арбитража (LCIA) была внесена в его правила 2020 года новая, отдельная статья, посвященная защите данных. Так, ст. 30А обновленных правил LCIA предусматривает, что по согласованию со сторонами арбитражный трибунал может рассматривать вопрос относительно целесообразности:

– применения мер по информационной безопасности с целью защиты физической и электронной информации, распространяемой в арбитраже;

– применения мер по обеспечению соответствия процесса обработки данных, созданных или полученных на протяжении арбитража, требованиям законодательства по защите данных.

При этом LCIA и соответствующий арбитражный трибунал уполномочены предоставлять обязывающие для сторон и арбитров указания по информационной безопасности и защите данных с учетом положений применяемого права.

Международные неправительственные организации в сфере международного арбитража также уделяют значительное внимание защите данных. Они разрабатывают и публикуют различные гайдлайны, рекомендации и протоколы. Такие нормы "мягкого права" играют большую роль в международном арбитраже в силу относительно небольшого количества обязывающих правовых норм и их общего характера, а также позволяют сделать процесс более прогнозируемым.

Примером такой нормы "мягкого права", регулирующей вопрос защиты данных в арбитраже, является Дорожная карта по защите данных в международном арбитраже, разработанная Международным советом по коммерческому арбитражу (ICCA) совместно с Международной ассоциацией юристов (IBA) и опубликованная в феврале 2020 года. В данной Дорожной карте закреплены принципы обработки персональных данных в международном арбитраже, одним из которых является принцип защиты персональных данных, предусматривающий применение необходимых технических и организационных мероприятий по защите персональных данных от рисков, связанных с их обработкой (утечка, утрата / уничтожение).

Перечень указанных технических и организационных мероприятий приведен, в частности, в Гайдлайне IBA по вопросам кибербезопасности, опубликованном в октябре 2018 года. В нем IBA рекомендует применять ряд мероприятий, в частности:

1. В сфере технологий – регулярно обновлять программное обеспечение, использовать защищенное подключение к Интернету и безопасную электронную почту, удалять или архивировать данные, которые больше не нужны, делать регулярные бэкапы важных данных (желательно также делать отдельные бэкапы на физическом носителе). Рекомендуется использовать шифрование данных и программное обеспечение, позволяющее удалять данные удаленно, на случай утраты или кражи их носителя. Также IBA рекомендует создавать для сотрудников аккаунты с разным уровнем доступа, предоставляя им доступ только к данным, необходимым в работе.

2. В сфере организационного процесса – использовать сложные пароли, которые не повторяются, а также многофакторную аутентификацию. IBA также рекомендует назначить сотрудника, ответственного за безопасность данных (data privacy officer). Юридическим фирмам и институциям рекомендуется разработать политики в сфере защиты данных и кибербезопасности, протокол реагирования на утечку данных / кибератаку, а также проводить периодические оценки рисков и тестирование на проникновение (penetration testing), проводить регулярное обучение персонала по вопросам защиты данных и кибербезопасности.

Другим важным документом является опубликованный в 2020 году Протокол о кибербезопасности в международном арбитраже, разработанный совместно ICCA, Ассоциацией адвокатов г. Нью-Йорк (NYC Bar) и Международным институтом по предупреждению и разрешению конфликтов (CPR). Данный Протокол предлагает несколько принципов, в частности:

1) ответственность каждого участника арбитражного процесса за применение мер по информационной безопасности;

2) принятие арбитражным трибуналом решения относительно применения мер по информационной безопасности с учетом потенциальных рисков, существующих технологий и организационных практик, обременительности и стоимости таких мероприятий и их соразмерности ресурсам сторон и администрирующей институции, а также эффективности арбитражного процесса;

3) рекомендуется решать вопрос информационной безопасности как можно раньше, обычно не позднее совещания относительно порядка рассмотрения дела (case management conference);

4) полномочия арбитражного трибунала на применение мер по своей инициативе;

5) полномочия арбитражного трибунала налагать санкции на стороны в случае нарушения правил информационной безопасности.

Таким образом, вопрос защиты данных в международном арбитраже имеет существенное значение ввиду значительных рисков при утечке данных как с точки зрения прямых потерь, так и с точки зрения потенциальных регуляторных санкций. Несмотря на то что много вопросов по защите данных в арбитраже до сих пор остаются контраверсионными, за последние несколько лет была опубликована серия соответствующих рекомендаций. Их рациональное применение должно сделать процесс более безопасным и прогнозируемым для всех участников. А при возникновении вопросов по защите данных в арбитраже мы рекомендуем во избежание возможных негативных последствий обращаться к высококвалифицированным юристам.

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2021

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua