Cyberbezpieczeństwo w arbitrażu międzynarodowym

Nowy Protokół w sprawie cyberbezpieczeństwa w arbitrażu międzynarodowym. Trzy organizacje międzynarodowe: ICCA, New York City Bar Association oraz CPR wprowadzają dobre praktyki w zakresie ochrony przed zagrożeniami w cyberprzestrzeni.

Cyberbezpieczeństwo jest szczególnie istotnym elementem branży prawniczej, w tym arbitrażu międzynarodowego. Cyfrowa wymiana informacji w postępowaniach arbitrażowych dotyczy m.in. wrażliwych danych uczestników postępowania, w tym stron, arbitrów oraz instytucji arbitrażowych.

Brak ochrony wymiany informacji w cyberprzestrzeni może skutkować wyciekiem informacji wrażliwych oraz niepożądanym wykorzystaniem poufnych danych przez podmioty zewnętrzne. Konsekwencją mogą być straty ekonomiczne, narażenie reputacji uczestników postępowania, jak również zachwianie zasady rzetelności postępowania i niezależności arbitrów.

Nowy Protokół w sprawie cyberbezpieczeństwa w arbitrażu międzynarodowym

W odpowiedzi na powyższe ryzyka środowisko arbitrażowe w ostatnim czasie udostępniło Projekt protokołu w sprawie cyberbezpieczeństwa w arbitrażu międzynarodowym (Draft cybersecurity protocol for international arbitration). Został on opracowany przez grupę roboczą powołaną przez ICCA (International Council for Commercial Arbitration), New York City Bar Association oraz CPR (International Institute for Conflict Prevention & Resolution).

W grudniu 2018 r. zakończyły się konsultacje, w trakcie których projekt był analizowany podczas warsztatów arbitrażowych na całym świecie. Dokument zawiera rekomendacje w zakresie bezpieczeństwa cybernetycznego, a jego ostateczna wersja ma zostać opublikowana w tym roku. Protokół ma podnieść świadomość istnienia zagrożeń bezpieczeństwa cybernetycznego w międzynarodowym arbitrażu oraz wprowadzić środki mogące przeciwdziałać tym zagrożeniom.

Protokół zawiera rozwiązania, które mają wspierać proces ochrony wymiany informacji w arbitrażu, w tym wskazuje na:

  • czynniki, które należy uwzględnić przy wyborze określonych środków bezpieczeństwa cybernetycznego, np. charakter i wartość przedmiot sporu, tożsamość stron i rodzaj branży, w której działają,
  • środki zwiększające bezpieczeństwo wymiany informacji, np. ograniczenie wymiany informacji, szyfrowanie lub anonimizacja informacji, ograniczenie dostępu do informacji czy stosowanie bezpiecznych metod przesyłania danych,
  • środki, które można przedsięwziąć w celu ograniczenia skutków wystąpienia naruszeń, np. identyfikacja źródła i rodzaju naruszenia, informowanie wszystkich zainteresowanych stron oraz odpowiednich instytucji i organów o naruszeniu, wzmocnienie systemu zabezpieczeń.

Protokół uwzględnia autonomię stron oraz fakt, że środki bezpieczeństwa cybernetycznego będą różnić się w zależności od konkretnej sprawy.

„Cyberbezpieczne” klauzule arbitrażowe

Protokół rekomenduje umieszczanie w klauzulach arbitrażowych tzw. klauzul bezpieczeństwa. Na mocy klauzuli bezpieczeństwa strony zobowiązują się, że postępowanie arbitrażowe prowadzone będzie z uwzględnieniem środków bezpieczeństwa cybernetycznego, ustalonych przez trybunał arbitrażowy właściwy do rozpoznania sporu pomiędzy stronami. Zgodnie z protokołem „cyberbezpieczna” klauzula arbitrażowa mogłaby brzmieć następująco:

„Strony postanawiają, że arbitraż będzie prowadzony w sposób bezpieczny, zgodnie z ustaleniami trybunału arbitrażowego, biorąc pod uwagę stanowiska stron i Protokół w sprawie cyberbezpieczeństwa w arbitrażu międzynarodowym”. (ang. „The parties agree that the arbitration shall be conducted in a secure manner as determined by the arbitral tribunal, taking into consideration the views of the parties and the Cybersecurity Protocol for International Arbitration.”)

Procedura stosowania środków bezpieczeństwa cybernetycznego

Protokół wskazuje, że przed przyjęciem odpowiednich środków bezpieczeństwa cybernetycznego strony powinny najpierw uzgodnić, jakie środki chciałyby zastosować, konsultując te ustalenia z trybunałem arbitrażowym lub instytucją arbitrażową. W niektórych przypadkach potrzeba zastosowania odpowiednich środków bezpieczeństwa nie ujawni się od razu, dlatego strony mogą zgłaszać konieczność ich zastosowania także na późniejszym etapie postępowania.

Trybunał arbitrażowy powinien niezwłocznie, nie później niż na pierwszym posiedzeniu odnieść się do kwestii cyberbezpieczeństwa oraz uzgodnień stron w tym zakresie. W uzasadnionych okolicznościach trybunał może odrzucić uzgodnienia stron, np. ze względu na konieczność ochrony interesów stron trzecich albo sprzeczność z bezwzględnie obowiązującymi przepisami prawa.

Wszyscy uczestnicy arbitrażu oraz świadkowie powinni być poinformowani o stosowanych środkach bezpieczeństwa i w miarę możliwości potwierdzić na piśmie, że będą się do nich stosować.

Naruszenia cyberbezpieczeństwa w postępowaniach arbitrażowych

W protokole wymienione zostały również kroki, które powinni podjąć uczestnicy postępowania arbitrażowego, gdy dojdzie do naruszenia cyberbezpieczeństwa, a mianowicie:

  • działania mające na celu zidentyfikowanie konkretnego źródła naruszenia oraz wyeliminowanie wszelkich słabych punktów systemu bezpieczeństwa i zapobieżenie naruszeniom w przyszłości,
  • poinformowanie zainteresowanych stron o naruszeniu, w odpowiednim czasie, przy jednoczesnym zachowaniu poufności,
  • w razie potrzeby przełączenie systemu pracy w tryb offline, aby zapobiec dalszej utracie informacji,
  • w razie potrzeby podjęcie działań mających na celu odzyskanie utraconych informacji,
  • w razie potrzeby zaangażowanie odpowiednich organów ścigania.

Wnioski

Wprowadzenie jednolitych rozwiązań zwiększających bezpieczeństwo postępowania arbitrażowego powinno ograniczyć zbędne konflikty i usprawnić postępowanie. Może też zwiększyć efektywność, bezpieczeństwo i przewidywalność arbitrażu, a w konsekwencji zaufanie do arbitrażu międzynarodowego.

Pozwoli to wykorzystać pełen potencjał arbitrażu jako nowoczesnej, efektywnej i dopasowanej do potrzeb stron metody rozwiązywania sporów.

Karolina Kozłowska, dr Marta Kozłowska

Poprzedni wpis
Czy dostęp do rachunku użytkownika można zapewnić poprzez screen scraping?
Następny wpis
Milion złotych kary za niewypełnienie obowiązku informacyjnego z RODO