Insight

Welcome to our platform for insight into all the latest in law and business. We hope to inspire and share big ideas that make the difference driving your business forward.

alert
Supreme Court of Russia Denies Enforcement of ICC Award
19 Nov 2018 The Supreme Court of Russia has recently in a judgment of 26 September 2018 surprised many international arbitration practitioners by holding that the standard ICC arbitration clause in a contract between Luxembourgish and Russian parties was not sufficiently clear evidence of the parties' agreement that the ICC Court of International Arbitration was to administer their arbitration. Similarly to the model arbitration clauses of many of the leading arbitral institutions, the standard ICC arbitration clause does not specifically state that the arbitration will be administered by the ICC Court of International Arbitration. Rather, a reference to arbitration under the ICC Rules has virtually without exception been understood to inevitably mean arbitration that is administered by the ICC Court and its Secretariat under the ICC Rules. The model ICC Arbitration clause stipulates: "[a]ll disputes arising out of or in connection with the present contract shall be finally settled under the Rules of Arbitration of the International Chamber of Commerce by one or more arbitrators appointed in accordance with the said Rules." In the Russian case, the Luxembourgish claimant had obtained a favourable decision in an arbitration seated in Geneva, Switzerland. In the final arbitral award, the Russian company had been ordered to pay EUR 3.6 million in damages plus interest. The Supreme Court of Russia denied the enforcement of the ICC award on the basis that the award was against the public policy of Russia and that the ICC Tribunal lacked jurisdiction because the arbitration clause failed to specify the arbitral institution that was to administer the arbitration. A similar reasoning can be found in a judgement delivered by the Chinese Supreme People's Court previously. The Russian Supreme Court's judgment marks a distinct departure from its previous judgments, on which it has upheld ICC and other standard arbitration clauses. We understand that the judgment will not be considered as a binding precedent in Russia but will nevertheless have at least a persuasive effect on future judgments. We further understand that Mr Alexis Mourre, the President of the International Court of Arbitration of the ICC, has sent a letter to the Supreme Court of Russia requesting a clarification on the ruling of the Supreme Court of Russia deeming a standard ICC Arbitration Clause defective and unenforceable under Russian law. Effect on Finnish businesses Taking into consideration the unpredictability of the repercussions of the judgement in Russia, we would advise Finnish parties that are considering entering into an arbitration agreement with a Russian or Chinese counterparty to amend the standard arbitration clauses of any institutions, including the FAI, to state clearly that any disputes are to be referred to arbitration, administered by the named arbitration institution in accordance with the relevant institutions' rules. Whilst the recent judgment of the Russian Supreme Court concerned a standard ICC clause, the Russian courts may adopt a similar position towards any institutional standard arbitration clauses, as they also merely refer to arbitration under the given institution's rules. The FAI and SCC standard/model arbitration clauses use language that is similar to the ICC model clause and also omit the express reference to the institution itself: FAI model arbitration clause SCC model arbitration clause We advise clients to contact D&I's Dispute Powerhouse team and to seek further advice regarding tailor made arbitration clauses when dealing with Russian parties. D&I's Dispute Powerhouse is following up on the developments of the matter and will keep you updated.
insight
Lausunto välimiesmenettelylain toimivuudesta ja uudistustarpeista
1 Oct 2018 Dittmar & Indrenius kiittää mahdollisuudesta saada lausua välimiesmenettelyn toimivuudesta ja uudistustarpeista. Dittmar & Indreniuksella ja sen lakimiehillä on merkittävä kokemus toimimisesta asiamiehenä ja välimiehenä niin kotimaisissa kuin kansainvälisissäkin välimiesmenettelyissä. Lausuntonaan välimiesmenettelylain toimivuudesta ja uudistustarpeista Dittmar & Indrenius lausuu kunnioittavasti seuraavan. Nykytila: Merkittävä osa suomalaisten yhtiöiden välimiesmenettelyistä käydään Suomen rajojen ulkopuolella Nykytilalle on kuvaavaa se, että merkittävä osa suomalaisten yhtiöiden välimiesmenettelyistä käydään Suomen rajojen ulkopuolella. Kokemuksemme mukaan suomalaisen ja ulkomaisen yrityksen välisissä intressiltään huomattavissa sopimuksissa osapuolet ovat tyypillisesti sopineet riitojen ratkaisemisesta kansainvälisen kauppakamarin ICC:n ("ICC"), Tukholman kauppakamarin ("SCC") tai jonkun muun ulkomaisen, kansainvälisesti tunnetun välimiesinstituutin sääntöjen mukaisessa välimiesmenettelyssä. Nämä välimiesmenettelyt käydään yleensä Tukholmassa, Pariisissa tai jossakin muussa tunnetussa välimiesmenettelyn paikaksi vakiintuneessa ulkomaisessa kaupungissa, jonka osapuolet ovat yhdessä sopineet välimiesmenettelyn paikaksi. Välimiesmenettelyn paikka määrittää sen, mitä prosessuaalista normistoa välimiesmenettelyyn sovelletaan. Välimiesmenettelyyn sovelletaan välimiesmenettelyn paikan välimiesmenettelylakia. Helsinki valitaan välimiesmenettelyn paikaksi merkittävissä suomalaisen ja ulkomaisen yrityksen välisissä riidoissa valitettavan harvoin; tämä usein siitäkin huolimatta, että osapuolet ovat valinneet Suomen lain sopimuksen substanssiin sovellettavaksi laiksi. Ainoastaan tapauksissa, joissa suomalaisella osapuolella on ollut erityisen vahva neuvotteluasema ulkomaiseen neuvottelukumppaniin nähden ja/tai sopimus on ollut muuten intressiltään ja luonteeltaan vähemmän merkittävä, suomalainen yritys on saattanut onnistua neuvottelemaan riitojen ratkaisemisesta keskuskauppakamarin välimieslautakunnan ("FAI") sääntöjen mukaisessa välimiesmenettelyssä Helsingissä. Käsityksemme mukaan emme ole kokemuksemme kanssa yksin. Välimiesmenettelytoimeksiantoja säännöllisesti hoitavat suomalaiset asianajotoimistot sekä suuret suomalaiset yhtiöt pääosin jakavat kokemuksemme siitä, että merkittävä osa isojen suomalaisten yhtiöiden riidoista ulkomaisten yhtiöiden kanssa ratkaistaan tänä päivänä Suomen rajojen ulkopuolella, joko Ruotsissa tai jossakin toisessa välimiesmenettelyyn myönteisesti suhtautuvassa, kansainvälistä välimieskäytäntöä noudattavassa ja välimiesmenettelyn paikaksi vakiintuneessa maassa ja kaupungissa. Tämä ilmenee myös saatavilla olevista kansainvälisten välimiesinstituuttien tilastoista. SCC:n tilastojen mukaan vuoden 2017 kuudessa SCC:n sääntöjen mukaisessa välimiesmenettelyssä toisena osapuolena oli suomalainen yritys, mutta Suomi ei kyseisenä vuonna ollut välimiesmenettelyn paikkana yhdessäkään SCC:n sääntöjen mukaisessa välimiesmenettelyssä. Vastaavasti ICC:n tilastojen mukaan seitsemässä ICC:n sääntöjen mukaisessa välimiesmenettelyssä vuonna 2017 osapuolena oli suomalainen yritys, kun taas Suomi ei ollut välimiesmenettelyn paikkana yhdessäkään niistä. Suomi ei itse asiassa ollut välimiesmenettelyn paikkana yhdessäkään niistä 810 välimiesmenettelystä, jotka vuonna 2017 käytiin ICC:n sääntöjen alla. Tämä on merkittävää erityisesti, kun huomioidaan, että sopimuksen substanssiin sovellettavaksi laiksi ICC-välimiesmenettelyissä vuonna 2017 osapuolet olivat valinneet yhteensä 104 eri maan lakia. Suomen prosessuaalista normistoa ei ollut valittu yhdenkään välimiesmenettelyn prosessuaaliseksi normistoksi, eikä Suomea siten yhdenkään välimiesmenettelyn paikaksi. Näin ollen, yksistään näiden kahden välitysinstituutin, SCC:n ja ICC:n tilastojen mukaan vuonna 2017 suomalainen yritys oli osapuolena 13 välimiesmenettelyssä, joita ei käyty Suomessa. Luku on merkittävä ottaen huomioon, että kotimaisen FAI:n vuoden 2017 tilastojen mukaan sellaisia välimiesmenettelyjä, joissa toisena osapuolena oli ulkomainen yritys, oli reilut 20. Pelkästään ICC:n ja SCC:n tilastojen perusteella voidaan siten jo todeta, että merkittävä osa suomalaisten ja ulkomaisten yritysten välisistä riidoista ratkaistaan Suomen rajojen ulkopuolella. Eräs tunnetuimmista Suomen rajojen ulkopuolella käytävistä välimiesmenettelyistä viime vuosina on ollut Olkiluodon ydinvoimalaitoksen rakennusprojektia koskeva Arevan ja Siemensin muodostaman konsortion aloittama ICC:n sääntöjen mukainen välimiesmenettely Teollisuuden Voima Oyj:tä vastaan, jota vuosia käytiin Tukholmassa Ruotsin välimiesmenettelylain määrittäessä prosessuaalisen normiston. Nykyisessä  välimiesmenettelylaissa on useita ongelmakohtia Sille, että Suomea ei valita kansainvälisten välimiesmenettelyjen paikaksi, on olemassa useita välimiesmenettelylaista johtuvia syitä. Kansainvälisissä yhteyksissä törmäämme jatkuvasti siihen haasteeseen, ettei Suomen välimiesmenettelylaki vastaa UNCITRALin mallilakia. Ulkomaiset sopimuskumppanit eivät suostu valitsemaan Helsinkiä välimiesmenettelyn paikaksi yksinkertaisesti siitä syystä, että nykyisen välimiesmenettelylakimme sisältöä ei tunneta eikä voidakaan tuntea, koska se ei vastaa UNCITRALin mallilakia ja Suomi ei siten ole UNCITRALin tunnustama mallilakimaa. Tästä johtuen ulkomaiset yhtiöt ja heitä edustavat lakimiehet eivät tiedä eivätkä voi tietää, mikä on Suomen välimiesmenettelylain sisältö. On turvallisempaa valita sellainen prosessinormisto potentiaaliseen välimiesmenettelyyn sovellettavaksi normistoksi, jonka sisällöstä ulkomaisen yhtiön edustajilla on perusteltu käsitys, niin kuin UNCITRALin mallilain kohdalla on tilanne. Kuten keskuskauppakamarin työ- ja oikeusministerille osoitetussa 9.12.2016 päivätyssä selvityksessä ja Mika Savolan artikkelissa ”Miksi ja miten välimiesmenettelylakia tulisi muuttaa? ” (Defensor Legis 4/2017, s. 501–513) on tarkemmin esitetty, vuoden 1992 välimiesmenettelylaissa on useita ongelmakohtia. Käytännön kokemuksemme mukaan näistä merkittävimpiä ovat: kansainvälisestä käytännöstä poikkeavat välitystuomion pysyvyyttä horjuttavat välimiesmenettelylain 40 §:n mitättömyysperusteet, joiden esittämiselle ei ole ajallista rajoitusta; osittain UNCITRALin mallilaista ja New Yorkin yleissopimuksesta poikkeavat välitystuomion täytäntöönpanoa koskevat säännökset; turvaamistoimien määräämistä koskevan toimivallan puuttuminen välimiesoikeudelta; kumoamiskanne- ja täytäntöönpanomenettelyn hitaus ja kankeus kolmiportaisessa tuomioistuinjärjestelmässä; välityssopimuksen muotovaatimukset; sekä ristiriitaisuudet UNCITRALin mallilain kanssa. Käytännössä välimiesmenettelylain 40 §:n mukaiset mitättömyysperusteet sekä kumoamiskanne- ja täytäntöönpanomenettelyjen hitaus ja kankeus kolmiportaisessa tuomioistuinjärjestelmässä ovat osoittautuneet erittäin ongelmallisiksi. Esimerkiksi tällä hetkellä toimimme vastaajan asiamiehenä välitystuomion kumoamista koskevassa asiassa, jossa itse välitystuomio annettiin jo syyskuussa 2015 ja ulkomainen, välimiesmenettelyn hävinnyt osapuoli, laittoi kumoamiskanteen vireille joulukuussa 2015. Käräjäoikeus antoi kumoamiskanteen hylkäävän tuomion kevättalvella 2017 ja tällä hetkellä lokakuussa 2018 odotamme edelleen hovioikeuden ratkaisua. Siitä huolimatta, että Suomessa sovellettavan oikeuden mukaan välitystuomio on täytäntöön pantavissa kumoamiskanteesta huolimatta, vireillä oleva kolmiportainen kumoamisprosessi aiheuttaa valtavia haasteita ja hidasteita ulkomaisessa täytäntöönpanoprosessissa. Vuosia vireillä oleva kumoamiskanne täällä kaukaisessa maassa tarjoilee täytäntöönpanoa vastustavalle osapuolelle runsaasti perusteita vastustaa täytäntöönpanoa siitä syystä, ettei tuomio olisi vielä lopullinen. Täytäntöönpanomaan tuomioistuin saattaa helposti asettua tällaisessa tilanteessa samasta maasta olevan osapuolen näkemyksen kannalle päättäessään siitä, onko tuomio lopullinen ja onko se täytäntöön pantavissa. Vireillä oleva ja pitkään kestävä kumoamiskanneprosessi tosiasiallisesti vaikuttaa välitystuomion täytäntöön pantavuuteen ulkomaisissa oikeusjärjestelmissä, sillä tällainen prosessi horjuttaa kuvaa välitystuomion pysyvyydestä ja sitovuudesta. Tämä aiheuttaa merkittäviä ongelmia suomalaiselle elinkeinoelämälle suomalaisen yhtiön yrittäessä panna täytäntöön kumoamiskanteen alaista välitystuomiota ulkomailla. Tällaisissa tilanteissa Suomessa voimassa oleva kolmiportainen kumoamiskannejärjestelmä tekee täytäntöönpanosta paikoitellen kestämättömän hidasta. On selvää, että hidas ja monipolvinen kumoamiskanneprosessi ei palvele suomalaista elinkeinoelämää välimiesmenettelyn käyttäjinä, eikä se luo kuvaa tehokkaasta riidanratkaisumenetelmästä. Vuosia kestävä kumoamiskanneprosessi päinvastoin antaa välimiesmenettelyn hävinneelle osapuolelle puhtaasti taktisen pelivälineen täytäntöönpanomenettelyn vaikeuttamiseksi omassa kotimaassaan. Tällainen menettely ei ole yhdenkään suomalaisen intressissä. Lisäksi meillä on konkreettista kokemusta siitä, kuinka välimiesmenettelylain 40 §:n mukaiset ajallisesti rajoittamattomat mitättömyysperusteet voivat ikuisesti antaa välitystuomion osapuolelle mahdollisuuden taktisista syistä vastustaa välitystuomion täytäntöönpanoa pitkässä ja kalliissa ja usein aivan turhassa oikeudenkäynnissä. Olemme olleet osapuolen asiamiehenä prosessissa, jossa vastapuolen kilpailuoikeudelliset väitteet oli hylätty välitystuomiossa kokonaisuudessaan perusteettomina. Kilpailu- ja kuluttajavirasto ei myöskään ollut todistetusti nähnyt riidan kohteena olleessa yrityskaupassa kaupan solmimishetkellä tai sen jälkeen huomautettavaa. Määräaika välitystuomion kumoamiskanteen nostamiselle oli mennyt umpeen. Tästä huolimatta välimiesmenettelylain 40 §:n mukaiset mitättömyyssäädökset antoivat vastapuolelle mahdollisuuden vastustaa välitystuomion täytäntöönpanoa. Vastapuoli väitti, että Helsingissä annettu välitystuomio olisi pakottavan kilpailulainsäädännön vastainen ja näin välimiesmenettelylain 40 §:n mukaisesti mitätön, koska se oli ristiriidassa Suomen oikeusjärjestyksen perusteiden kanssa. Asiassa onnistuttiin lopulta pääsemään sovintoon. Ennen sovintosopimuksen syntymistä asia oli kuitenkin vireillä käräjäoikeudessa vajaan vuoden, eikä asia tässä ajassa käräjäoikeudessa juurikaan edennyt. Edessä oli näin ollen odotettavissa useiden vuosien mittainen kallis täytäntöönpanoa koskeva riitaprosessi asiassa, jossa vastapuoli oli välimiesmenettelyssä selvästi hävinnyt jokaisen väitteensä ja vaatimuksensa, mutta sai täytäntöönpanomenettelyn yhteydessä mitättömyyskanteen yhteydessä uuden, selvästi taktisen mahdollisuuden toistamiseen esittää samat perusteettomat kilpailuoikeudelliset väitteensä. Kaikki mitättömyyskanteet eivät luonnollisestikaan pääty sovintoon. Välimiesmenettelylain 40 §:n mitättömyyssäännökset ovat kansainvälisesti eritäin poikkeuksellisia. UNCITRALin mallilaista tai, Ruotsia lukuun ottamatta, muiden maiden välimiesmenettelylainsäädännöistä ei löydy vastaavia välitystuomion mitättömyyttä koskevia määräyksiä. Ruotsissakin vastaava määräys on tarkoitus poistaa vireillä olevan välimiesmenettelylainsäädäntöuudistuksen yhteydessä. New Yorkin yleissopimuksen mukaisesti ulkomaista välitystuomiota koskevassa täytäntöönpanomenettelyssä ei luonnollisesti sovelleta 40 §:n mukaisia mitättömyyssäädöksiä. Ajallisesti rajoittamaton mahdollisuus vastustaa Suomessa annetun välitystuomion täytäntöönpanoa 40 §:n mitättömyyssäännösten perusteella ja nostaa välitystuomion mitättömyyttä koskeva vahvistuskanne horjuttavat selvästi Suomessa käytävän välimiesmenettelyn luotettavuutta ja välitystuomion pysyvyyttä. Suomessa annettua välitystuomiota on vaikea nähdä New Yorkin yleissopimuksen mukaisesti lopullisena ja sitovana, jos sen mitättömyyttä koskeva kanne on mahdollista esittää ikuisesti. Välimiesmenettelylain 40 §:n mitättömyyssäädökset näin ollen merkittävästi heikentävät Suomen asemaa luotettavana välimiesmenettelyn paikkana. Edellä esitettyjen ongelmakohtien lisäksi ongelmallista nykyisessä välimiesmenettelylaissa on se, ettei laissa ole säännöksiä välimiesoikeuden mahdollisuudesta määrätä turvaamistoimia. Näin ollen tällä hetkellä välimiehillä ei ole toimivaltaa antaa turvaamistoimimääräyksiä, jotka olisivat täytäntöönpanokelpoisia, vaan tällaista määräystä tulee välimiesmenettelyn yhteydessä hakea yleisiltä tuomioistuimilta. Osapuolilla tulisi olla tosiasiallinen mahdollisuus välttää yleiset tuomioistuimet silloin, kun he ovat nimenomaisesti sopineet erimielisyyksien ratkaisemisesta välimiesmenettelyssä. Edellä esitetyn lisäksi olemme käytännön kansainvälisessä välimiestyössä kohdanneet merkittäviä ongelmia ja haasteita muun muassa nykyisten välityssopimuksen muotovaatimusten johdosta. Kansallisella välimiesmenettelylailla on huomattava merkitys valittaessa välimiesmenettelyn paikkaa Suomalainen, keskuskauppakamarin yhteydessä toimiva välimiesinstituutti, FAI on ansiokkaasti kehittänyt kotimaista välimiesmenettelykenttää uudistamalla välimiesmenettelysääntönsä vuonna 2013 ja tehnyt runsaasti työtä suomalaisen välimiesmenettelyn tunnettuuden lisäämiseksi. FAI:n onnistunut markkinointityö ja vuoden 2013 sääntömuutos eivät kuitenkaan ole yksin onnistuneet merkittävästi kohentamaan Suomen asemaa kansainvälisten välimiesmenettelyiden luotettavana ja välimiesmenettelyille suotuisana paikkana. Edelleen keskeinen kysymys keskusteluissa ulkomaisten kollegojen kanssa on se, onko Suomen välimiesmenettelylaki UNCITRALin mallilain mukainen. Kuten Carita Wallgren-Lindholm Säätytalolla pidetyssä keskustelutilaisuudessa aivan oikein totesi, vastauksen ollessa kielteinen keskustelu päättyy siihen. Queen Mary University of London ja asianajotoimisto White & Case julkaisivat yhteistyössä toukokuussa 2018 kansainvälisiä välimiesmenettelyitä koskevan maailmanlaajuisen tutkimuksen ("2018 QMUL Survey"), johon osallistui yli 922 vastaajaa. Vastaajien joukossa oli kansallisten tuomioistuinten tuomareita, asianajajia, yritysjuristeja, akateemikkoja, välimiesmenettelyissä toimivia asiantuntijatodistajia, liike-elämän toimijoita, virkamiehiä ja opiskelijoita. Tutkimuksen tulokset osoittavat, että 97 % vastaajista suosii välimies-menettelyä riidanratkaisumenettelynä maan rajat ylittävissä riidoissa. Parhaimpina pidettyjä välimiesmenettelyn paikkoja vastaajien mielestä olivat Lontoo (64 %), Pariisi (54 %), Singapore (39 %), Hong Kong (28 %), Geneve (26 %), New York (22 %) ja Tukholma (12 %). Tutkimuksessa ei mainita Suomea välimiesmenettelyn paikkana, vaikka vastaajien joukossa tiedetään olleen myös suomalaisia tahoja. Tutkimuksen mukaan välimiesmenettelyn paikan valintaan vaikuttivat eniten seuraavat neljä perustetta: “General reputation and recognition of the seat” (14%); “Neutrality and impartiality of the local legal system” (13%); “National arbitration law” (12%); and “Track record in enforcing agreements to arbitrate and arbitral awards” (11%). 2018 QMUL Survey -tutkimuksen tulokset osoittavat, että kansallisella välimiesmenettelylailla on huomattava merkitys välimiesmenettelyn paikkaa valittaessa. Yleinen maine ja tunnettuisuus välimiesmenettelyn paikkana ovat valinnan merkittävin kriteeri. Yleistä mainetta ja tunnettuisuutta välimiesmenettelyn paikkana puolestaan ei voi saavuttaa, elleivät paikan välimiesmenettelyä koskeva lainsäädäntö, oikeuskäytäntö ja yleisten tuomioistuinten välimiesmenettelymyönteisyys ole yleisesti tunnettuja, sillä välimiesmenettelyn paikka määrää välimiesmenettelyyn sovellettavan prosessuaalisen normiston. Kolmeen ensimmäiseen perusteeseen liittyy läheisesti neljännellä sijalla olevat täytäntöön pantavuutta koskevat asiat. Välimiesmenettelylain 40 §:n mukaiset ajallisesti rajoittamattomat mitättömyyssäädökset sekä kolmiportainen välitystuomioiden kumoamista tai tunnustamista ja täytäntöönpanoa koskeva prosessi vaikuttaa merkittävästi Suomessa annettavan välitystuomion maineeseen tosiasiallisen täytäntöön pantavuuden näkökulmasta. Tämä erityispiirre suomalaisessa välimiesmenettelyssä sellaisenaan toimii tosiasiallisena esteenä kansainvälisten välimiesmenettelyjen saamiseksi Suomeen. Nämä tutkimuksessa ilmenneet neljä määräävää perustetta alleviivaavat, että välimiesmenettelyn paikan valinnassa on keskeinen merkitys kansallisen välimiesmenettelylain tunnettavuudella sekä maan lainsäädännön ja tuomioistuinten yleisellä välimiesmenettelymyönteisyydellä. Suomi on näillä mittareilla selvä altavastaaja kansainvälisessä tarkastelussa, eikä tilanne tule tältä osin muuttumaan ennen seuraavaa väli-miesmenettelylain kokonaisuudistusta. Singaporen nopea nouseminen johtavaksi välimiesmenettelyn paikaksi voi toimia esimerkkinä Suomelle Kahden UNCITRALin mallilakimaan Singaporen ja Hong Kongin saavuttama asema 2018 QMUL Survey -tutkimuksessa suosituimpina välimiesmenettelyn paikkoina on merkillepantavaa. Vuonna 2015 vastaavan tutkimuksen tulokset näyttivät, että Singapore ja Hong Kong olivat eniten nostaneet suosiotaan välimiesmenettelyjen paikkana edeltäneiden viiden vuoden aikana. Erityisesti Singaporen nousua yhdeksi maailman johtavista välimiesmenettelyn paikoista todentavat myös Singapore International Arbitration Centren ("SIAC") tilastot. Kun vuonna 2006 SIACin sääntöjen mukaisia välimiesmenettelyitä aloitettiin 90, vuonna 2017 SIACin sääntöjen mukaisia välimiesmenettelyitä aloitettiin jo 343. Vertailun vuoksi todettakoon, että vuonna 2017 FAI:n sääntöjen mukaisia väli-miesmenettelyitä aloitettiin 79. Singapore ja Hong Kong implementoivat UNCITRALin mallilain vuonna 1995. UNCITRALin mallilain implementointia on pidetty yhtenä merkittävänä tekijänä arvioitaessa Hong Kongin ja Singaporen nousua suosituiksi välimiesmenettelyn paikoiksi: Singaporen korkeimman oikeuden tuomarin, Steven Chongin mukaan Singaporen aseman vahvistumiseen kansainvälisen välimiesmenettelyn keskuksena on keskeisesti vaikuttanut UNCITRALin mallilain ja New Yorkin yleissopimuksen yhteisvaikutus, jonka myötä Singaporeen saatiin kansainvälisesti hyväksytyt lainsäädännölliset raamit ja tällöin myös singaporelaisten välitystuomioiden täytäntöön pantavuus parani laaja-alaisesti ulkomailla. Vuonna 2014, melkein 20 vuotta UNCITRALin mallilain implementoimisen jälkeen, Steven Chong kuvaili mallilain merkitystä seuraavasti: "… The Court of Appeal has therefore aptly described the IAA’s adoption of the Model Law as heralding a “paradigm shift” for Singapore because it gave us an invaluable, internationally-accepted legislative frame-work for international commercial arbitration. The IAA was also significant for another reason: it gave effect to the 1958 New York Convention on the Recognition and Enforcement of Foreign Arbitral Awards. This has allowed for the widespread and easy enforceability of ar-bitral awards from Singapore. By erecting the twin pil-lars of the Model Law and the New York Convention as part of our arbitration landscape, there is no question that the IAA has been the legislative cornerstone upon which our modern arbitration hub is built. And with its twentieth anniversary just months away, it is indeed timely to pay tribute to the wisdom of our lawmakers in enacting such a critical piece of legislation." Tämän lausunnon valossa on ilmeistä, että prosessuaalisella normatiivisella perustalla on keskeinen vaikutus välimiesmenettelyn paikan valintaan. Nykytila ei palvele suomalaista elinkeinoelämää Suomalaisen elinkeinoelämän etua ei voi millään tavalla palvella se, että suomalaisten yhtiöiden erimielisyydet ratkotaan ulkomailla. Suomalaiset ovat ongelmanratkaisijakansaa. Ulkoministeri Alexander Stubbin vuonna 2008 asettama Suomen maabrändivaltuuskunta tuli 355-sivuisessa raportissaan vuonna 2010 siihen tulokseen, että vuonna 2030 Suomi on ongelmanratkaisija. Siitä huolimatta me edelleen viemme kaupalliset riitamme muiden ratkaistaviksi, koska meillä ei ole tämänkaltaista ongelmanratkaisua tukevaa lainsäädäntöä. Suomalaisten yhtiöiden ulkomailla ratkaistavissa erimielisyyksissä on kyse merkittävistä taloudellisista intresseistä. Tyypillisesti saatetaan puhua kymmenien, joskus satojen miljoonien, ehkä jopa joissakin tapauksissa miljardien eurojen kokoisista intresseistä. Kysymys kuuluukin: Onko meillä varaa ylläpitää sellaista lainsäädännöllistä kehystä, jolla varmistetaan, että nämä erimielisyydet ratkotaan ulkomailla? Kansainväliset välimiesmenettelyjen suulliset käsittelyt kestävät usein viikkoja. Tänä aikana molempien (kaikkien) osapuolten edustajat tyypillisesti lennättävät paikan päälle useista lakimiehistä ja heidän avustajistaan koostuvia ryhmiä sekä ulkomaisia todistajia ja asiantuntijoita useita kertoja käsittelyn aikana, ajavat takseilla ja julkisella liikenteellä, majoittuvat hotelleissa, ostavat kokous- ja muita palveluita, ruokailevat ja tekevät ostoksia. Ruotsissa vuonna 2018 julkaistun tutkimusraportin "Tvister säljer Sverige" mukaan Tukholmassa istutut kansainväliset välimiesmenettelyt tuovat Ruotsiin 9 miljardia kruunua vuosittain. Suomalaisen elinkeinoelämän ja maabrändin kannalta ei ole mielekästä eikä kannattavaa jatkaa nykytilannetta, jossa suurten suomalaisten yhtiöiden riidat ratkaistaan Suomen rajojen ulkopuolella. Suomen valtio ja suomalainen elinkeinoelämä jää paitsi niistä merkittävistä tuloista, joita välimiesmenettelyt tuottavat niissä maissa, jotka ovat jo vuosia sitten ymmärtäneet, että kansainvälinen välimiesmenettely voi olla merkittävä vientituote koko valtiolle. Välimiesmenettelylain puutteet ja epäkohdat edellyttävät uuden lain säätämistä Suomalainen elinkeinoelämä kärsii siitä, että välimiesmenettelyn lainsäädännöllistä normiperustaa koskeva oikeustila ei ole Suomessa kansainväliset vaatimukset täyttävällä tasolla. Suomella maailman ongelmanratkaisijana tulee olla sellainen normiperusta, että voimme toimia uskottavana ongelmanratkaisijana myös kansainvälisissä välimiesmenettelyissä. Keskeiset Suomen oikeusjärjestelmän tunnustamat periaatteet kuten puolueettomuus, riippumattomuus ja oikeudenmukaisen oikeudenkäynnin periaate tulisi valjastaa kansainväliseksi vientituotteeksi. Suomalainen elinkeinoelämä vie rahojaan ulkomaille ja luovuttaa lisäksi tuomiovallan ulkomaisille tuomioistuimille. Tämä tapahtuu Suomessa joka päivä niin kauan, kunnes Suomen välimiesmenettelylaki on saatettu kansainväliset mitat täyttävälle tasolle. Tavoiteltava tila on yksinkertaisimmin saavutettavissa implementoimalla UNCITRALin mallilaki. UNCITRALin mallilaki on maailmanlaajuisesti tunnettu ja se edustaa modernia kansainvälisesti vakiintunutta käytäntöä välimiesmenettelyä koskevissa sääntelykysymyksissä. Lisäksi UNCITRALin mallilakia koskevaa vakiintunutta oikeuskäytäntöä on runsaasti saatavilla. UNCITRALin mallilain implementoinnilla edistetään merkittävästi suomalaisten yhtiöiden mahdollisuuksia saada jatkossa riitansa ratkaistuksi Suomessa. UNCITRALin mallilain implementoiminen edistää Suomen elinkeinoelämän etua sekä suomalaisten yhtiöiden erimielisyyksien ratkaisemista kotimaassa ja kotimaisessa prosessissa. Tämä on kaikilla tavoin Suomen ja suomalaisen elinkeinoelämän edun mukaista. Lausuntonaan Dittmar & Indrenius esittää, että nykyinen oikeustila on epätyydyttävä ja edellyttää uuden välimiesmenettelylain säätämistä kiireellisessä aikataulussa. Yksinkertaisimmin tämä on tehtävissä implementoimalla UNCITRALin mallilaki välimiesmenettelylaiksi Suomessa.
insight
DR Meets Tech
22 Jun 2017 Change is inevitable. Society undergoes alterations every day and one cannot look at the world as it is today but the world as it will be. We are surrounded by technology in our daily life. This also applies to lawyers - will they be replaced by robots and would that actually be a bad thing? The above mentioned is one of the questions that was dealt with in D&I's Evening Classes (in Finnish Iltakoulu) where we had the honour to hear the visions of Riikka Koulu, a research fellow specialised in legal technology, legal automation and dispute resolution at the University of Helsinki. D&I has a special partnership with the Legal Tech Lab, an exciting project of the Faculty of Law, University of Helsinki, which has a mission to bring something new to the legal field: a new way of looking at legal services, new tools to facilitate participation and a forward-looking mindset.               Lawyers and the judicial system are often appearing to value stability and even seen to be unwilling to adapt to society's changes. Even today, the law sector in general is seen as conservative and traditional. However, it is undeniable that technology will change the role of lawyers. The question is how the lawyers can prepare themselves for the changes in order to be ready to engage the opportunities that technology offers. Gaining current information on legal technology is the starting point. At the moment, we at D&I are using an intelligent software for litigators and arbitration practitioners which makes writing large submissions with numerous exhibits easy. It allows us to create an ebrief, an interactive submission to courts and/or arbitral tribunals in pdf format with hyperlinks to the relevant exhibits. You can access the exhibits by clicking the hyperlinks in the footnotes. This process will open a new pdf window where the exhibit is displayed for your review. This is a spectacular example on how legal technology can serve lawyers and dispute resolution by making the writing and reading of submissions more efficient and pleasant. In addition, it involves the client in the production process. The client will be able to follow the lawyers' argumentation and be able to give input on the submissions before they are filed. For example, there is a tendency in international arbitration to depart from what can rightfully be called the "paper tsunami" to its digital equivalent: the e-arbitration. New terms have been coined for almost all steps of the arbitration proceedings: eBriefs, eDiscovery, eHearings, eArbitrators and eBundles. We believe that there is still a long way in litigation in Finland but some countries have a complete digital platform for court cases. Filings happen electronically, checking status of judgements can be done electronically, booking hearing dates can be done electronically etc. When everything shifts towards the digital sphere the intervention of AI becomes more relevant and prominent.     "Algorithms will become the new normal. AI taking care of the previously time-consuming routines, it is up to us lawyers to figure out how we will complete the big picture with the maximum value to our clients. Personally, I have always valued human interaction, listening and empathy, as key features in dispute resolution. To be honest, I welcome the robots automating everything else", says Partner Jussi Lehtinen. Key Insights Digitalization changes dispute resolution. Lawyers must be ready for changes and be able to understand their effect in practical dispute resolution. Project management is essential. In the future, lawyers must recognise when the human labour is needed. Utilise this opportunity to allocate human labour more efficiently. The price of anonymity and noninteraction can be high in dispute resolution. Prepare for disruption. Investing on the struggles of digitalization helps you to cope with the inevitable changes. Observe the downside of efficiency in dispute resolution –ensure that you do not prioritise efficiency at the expense of legal security.
insight
The Finnish National Implementation of the GDPR On Its Way
22 Jun 2017 From Regulating Personal Data Files to Enhancing Data Protection The clock is ticking - there is less than a year until the GDPR (the "General Data Protection Regulation") comes into effect. The European data protection authorities are doing their best to give guidance on how to interpret the regulation. However, even though the purpose of the GDPR is to harmonize the European data protection legislation, some issues are left open to the member states. On 1st of June, D&I hosted an insightful morning seminar with a tasty breakfast and engaging discussions. We had the honor to have Mr Pekka Nurmi, chairperson of the Finnish Data Protection Board and of the Working Group responsible for assessing the implementation in the first phase, as a keynote speaker. At the event, the participants got a glimpse on how the Finnish data protection regime is going to look like in 2018. As Mr Nurmi pointed out, the Finnish regulators aim to ensure that the Finnish national laws give companies established in Finland a competitive edge as far as possible. In general, many of D&I's clients see the data protection regime not only as a challenge but also as an opportunity. Certainly, we at D&I think that the regulatory regime is an opportunity for companies to embrace the new age of digitalization, and we strive to give our clients the best tools to get the most of the data protection laws. At D&I we see data protection, as well as all the other legal issues, as an intertwined area composed of various legal questions that relate to several fields of law. Therefore, we engage the full spectrum of our expertise in every assignment. The details of the national implementation will be out before midsummer, but we can already point out three interesting and relevant aspects that should be noted from the proposal. 1Filling the Gaps First and foremost, it is highly likely that by 2018 there's going to be a new Finnish general data protection law ("tietosuojalaki"). The Finnish general data protection law will be based on the GDPR text and will only cover specific sector that are not regulated by the GDPR. The GDPR leaves some areas open to be decided upon by the Member States. For example, the processing of personal data relating to criminal convictions and offences by private entities is lawful only when authorized by the European Union or the Member State laws. All such provisions will, to the extent possible, be found from the general data protection law. However, some practices need to be regulated in sectoral laws. For example the processing of information related to customer misconducts by credit companies has been considered lawful when based on the prior authorization of the Finnish Data Protection Board. Such authorization procedure will in all likelihood be in place also under the GDPR, but regulated in separate sectoral laws. The Working Group is at this point assessing only the necessary laws and regulations, and all the sectoral laws will be reviewed by the competent ministries in the second phase of implementation. 2The Empowered Authority The Finnish supervisory authority will be the data protection ombudsman. As Mr Nurmi pointed out, the data protection ombudsman's office is understaffed, as the workload is going to increase rapidly and extensively. Indeed, we forecast that there is a need for an increase in the resources of the Finnish data protection ombudsman - our partner, and head of Data Protection, Marketing & Consumers team, Jukka Lång pointed out that the resources in 2017 are almost similar to what they were in early 2000's when he worked at the data protection ombudsman's office as an inspector. Time will show how prepared and well funded the new authority will be, but we find that it is in the interest of every company that the Supervisory Authority is capable of giving guidance to the companies facing increasing data protection issues in their everyday business. 3Disputes - What If? And What Then? As the sanctions under the GDPR are much higher than any possible sanctions under the data protection laws currently in force in Finland, the likelihood of data processing related disputes, and the risk related to these, is much greater. The Working Group proposes that a "Sanctions Board" is created in addition to the data protection authority. The Board will probably consist of 5 lawyer members and it will be responsible for deciding the GDPR based sanctions based on data protection ombudsman proposal. As the sanctions under the GDPR are fairly high and harmonized within the EU, we will surely see long trials all the way to the European Court of Justice. Additionally, as our Partner and Head of Dispute Resolution Jussi Lehtinen pointed out, we will probably see many long and complicated disputes that include administrative procedures on related to the sanctions as well as parallel or follow on civil procedures for the damages. (Read More on D&I Dispute Resolution and Data Protection Alert published on 1 June 2017 in Finnish).  
alert
Further Guidance on GDPR Published by the EU Data Protection Regulators
26 Apr 2017 The Article 29 Data Protection Working Party (the "WP29") published new guidance on Data Protection Impact Assessment ("DPIA") relating to the interpretation of the General Data Protection Regulation (the "GDPR"). Additionally, the WP29 published amended guidance on the three topics covered in the guidelines published on 15 December 2016. We have provided an analysis in D&I's previous Data Protection Alert here. Background The European Union General Data Protection Regulation (EU) 2016/679 ("GDPR") entered into force on 24 May 2016 and shall apply from 25 May 2018. The full effects of the GDPR are yet to be clarified by the WP 29's (the group of regulators which will later form the European Data Protection Board) guidance. The first guidance was published during the end of last year and further guidance was published earlier this month. Guidance on various other topics will follow during the course of this year. We at D&I will keep you posted on the developments as they unravel and are happy to help with any questions you may have regarding the GDPR and its effects. During its last meeting, the WP29 completed guidelines on: Data Protection Impact Assessment (full guidelines here). Additionally, the WP29 published further/amended guidance on the topics covered in the guidelines published at the end of 2016: Data Portability (full guidelines here and our analysis of the original guidelines here); Data Protection Officers (full guidelines here and our analysis of the original guidelines here); and Lead Supervisory Authority (full guidelines here and our analysis of the original guidelines here). You can find the press release published on April 2017 here. We have summarised the most important aspects introduced by the guidelines and their effects on businesses. New Guidelines on the Data Protection Impact Assessment (DPIA) How Is Your Business Affected? WP29 provides an useful tool that helps to determine the situations where there is an obligation to draft the DPIA. The criteria introduced in the guidelines are fairly broad and thus it seems that a DPIA is mandatory in many situations. The format of the DPIA is not pre-set and the WP29 provides guidance on the aims and purposes of the DPIA rather than a specific form. However, in the annexes of the guideline, the WP29 provides a list of existing EU DPIA frameworks and the criteria that a controller can use to determine whether a DPIA or a methodology to carry such DPIA is sufficiently comprehensive to comply with the GDPR. What Is the Data Protection Impact Assessment? Article 35 of the GDPR provides that the controller has, in certain situations, an obligation to carry out an assessment of the impact of the processing to data subjects (the "Data Protection Impact Assessment"). The minimum contents of the assessment as well as the triggers are set out in the GDPR. However, as the GDPR leaves many questions open it is necessary to seek further guidance. When Is a DPIA Mandatory? According to the GDPR, the DPIA is mandatory when processing is "likely to result in a high risk to the rights and freedoms of natural persons". The controller is responsible for assessing the necessity of drafting a DPIA. However, the WP29 introduces criteria that controllers should consider when evaluating whether they have the obligation to carry out the DPIA. As a rule of thumb, if the processing operations meet less than two criteria of the ones listed by the WP29 (e.g. profiling, systematic monitoring, processing on a large scale, data concerning employees), the DPIA may not be required. The criteria are a useful tool for the controller to determine whether the DPIA must be made. On the other hand, where processing is not likely to result in a high risk to the rights and freedoms of data subjects, the DPIA is not required. Furthermore, a DPIA is not mandatory for every new processing activity, as where the processing activity is previously covered with a DPIA that DPIA fulfils the requirement set forth in the GDPR. Additionally, the DPIA is not mandatory when the obligation is exempted in the member state law or where the processing activity is included in an optional list of processing operations that do not require a DPIA, established by a supervisory authority. The obligation to conduct a DPIA applies to the processing operations created, or changed significantly, after the GDPR becomes applicable on 25 May 2018. However, as the WP29 emphasises that the DPIA must be revised where necessary, and updated on a regular basis, the controller should assess the need to conduct a DPIA on the processing activities before the GDPR becomes applicable. We recommend assessing the existing and planned processing activities in the light of the criteria to determine whether there the obligation to draft a DPIA applies. Such assessment should be documented, as documentation is necessary if the DPIA is not drafted and, moreover, if the DPIA is mandatory the assessment on the necessity provides a good basis for the DPIA. How Should the DPIA Be Carried Out? The DPIA must be carried out "prior to the processing". The DPIA should be updated where necessary, and the WP29 emphasises that carrying out a DPIA is an ongoing process. Drafting a DPIA is solely at the controller's responsibility, but the processor should assist the controller. The controller must "seek the views of data subjects or their representatives, where necessary". The WP29 considers that the controller should document its justification for not seeking the views of data subjects, and leaves the question on when seeking of the views is mandatory somewhat open. In practice, contacting data subjects, whether through surveys to future customers or internal studies, might be impossible in many cases. Therefore, the documentation of the decision is particularly relevant in many cases. The Data Protection Officer, where designated, should be consulted and the WP29 finds that consulting independent experts of different professions is recommended in some situations. What Is the Methodology to Carry Out a DPIA? Even when the criteria for the DPIA are common, the form and the methodology are not predefined. The GDPR sets out minimum features, but their broadness enables scalability. The DPIA is, in many ways, close to other risk management processes. However, the WP29 pointed out that, in general, risk management assesses the possible risks to the company whereas a DPIA's purpose is to assess risks to the rights and freedoms of the data subjects. The controller has the right to determine the form and precise structure of the DPIA, but also tools, such as an ISO standard, are under way. WP29 encourages sector specific frameworks, which we will see more in the future. When Should the Supervisory Authority Be Contacted Or DPIA Be Published? The controller must consult the supervisory authority if it is not able to sufficiently address the identified risks. There is no general obligation to publish the DPIA, but the WP29 encourages publishing DPIA's in whole or in part as doing so may enhance the trust on the activities of the controller. In addition to the new guidelines on the DPIA, the WP29 published further/amended guidance on the topics already covered in a previous D&I Alert. As promised, we published an update on those guidelines. Updated Guidelines on the Right to Data Portability The guidelines are updated mainly with small linguistic changes and clarifications which include examples. The most important amendment in the guidelines is the WP29 further guidance on the practical aspects of the transmission of the personal data to another controller "without hindrance" and directly "where technically feasible". What Are the Main Changes? Firstly, even though there is no specific format to be used for the data transmitted, the "data subject has the right to transmit the data without hindrance from the controller to which the personal data have been provided". The WP29 further clarifies that the hindrance can be characterised as "any legal, technical or financial obstacles", such as fees for delivering the data or lack of interoperability or access to a data format or API. The controller has the right to refuse the transmission of data only with some legitimate obstacles e.g. related to the security of the controller's systems or rights and freedoms of others as provided in Article 20(4) of the GDPR. Furthermore, the controller must provide the possibility to transfer the data directly to another controller "where technically feasible". WP29 points out that the transfer could be implemented through a variety of means, including secured messaging, secured WebAPI or WebPortal, and that the data subjects should be enabled to the use of personal information management systems provided by trusted third parties to store and hold the personal data. At D&I we have already seen some examples of such systems being designed, and many these kinds of service providers will possibly be on the market in the future. The controller must explain to data subjects the technical impediments for direct transmission if such transmission is not possible. The notion that the primary aim of the data portability is to enhance competition between services is deleted. In the updated guidelines WP29 outlines that the GDPR is not regulating competition, but only personal data and that the GDPR does not limit portable data to what is necessary for switching services but may also allow new services, e.g. allowing "banks to provide additional services, under the user’s control, using personal data initially collected as part of an energy supply service". WP29 points out that where it is clear from the data subjects request that his/her intention is to transfer the data based on a sectoral law but not on the GDPR, the data must be transmitted in accordance with such law and the GDPR does not apply to such request. However, it is important to notice that even in such situations the sectoral law does not override the right to data portability as provided by the GDPR. Therefore, the request and the application of the GDPR must be assessed on a case by case basis. Finally, WP29 notes that the controller is acting on behalf of the data subject, and thus should set safeguards to ensure that the data is transmitted in accordance with data subjects wishes (e.g. only personal data the data subject wants to transmit is transmitted). Finally, WP29 points out that the receiving data controllers are not obliged to accept and process personal data transmitted following a data portability request. Accordingly, they should ensure that they have the legal basis for the processing of the received data. However, we find that companies should not only ensure that they can comply with the obligation to transmit the data but also ensure that they can take the best out of the data subjects' possibility to transfer their data to be processed by the company. Updated Guidelines on Data Protection Officers The update made by the WP29 took a very practical approach in regards to the position of the DPO. The updated guidelines provide further insight on the appointment, performance and qualities of a DPO. The most important amendment in the guidelines is the further specification on the availability and accessibility of the DPO. What Are the Main Changes? The WP29 mainly clarifies the range of tasks of the DPO. According to the guidelines, the DPO is "designated for all processing operations carried out by the controller or the processor". In practice, this means that the DPO will not be designated to supervise a specific data processing operation. Instead, the DPO will be in charge of all data processing operations within the organisation. The WP29 further specifies, in multiple occasions, that the DPO may have the help of a team, which means that organisations are free to create a DPO unit with multiple employees. Additionally, the WP29 focusses on the availability and accessibility of the DPO. According to the guidelines, the DPO must be available, "whether physically on the same premises as employees" or "via a hotline or other secure means of communication". Furthermore, to ensure the DPO's accessibility, the WP29 recommends that the "DPO be located within the European Union, whether or not the controller or processor is established in the European Union". However, it is possible that, in some cases, a DPO may be able to carry out his/her activities if located outside the European Union. The DPO must be able to perform his/her tasks while bound by secrecy and confidentiality. Moreover, the DPO should be given the possibility to report to the highest management level (for example, board of directors and through the DPO's annual report). As can be concluded, the emphasis put on the tasks of the DPO originated more comments by the WP29 on the DPO's conflict of interests rules. As most organisations will designate an internal DPO, the WP29 concluded that senior management positions (for example, CEO, COO, CFO, Head of Marketing, Head of HR, Head of IT) are conflicting positions. Finally, the WP29 confirms the ability of the DPO to seek further guidance and to consult the supervisory authorities while respecting the obligation of secrecy/confidentiality. Last but not least, the guidance on the DPO includes an Annex with "easy-to-read" answers to the key questions that will reply to most of the doubts regarding DPO's. We recommend reading the Annex to this guidance before making a decision on the appointment of a DPO. Updated Guidelines on Identifying a Controller's or Processor's Lead Supervisory Authority WP29 provides more clear guidance on how to identify the lead supervisory authority. In the revised annex WP29 provides a list of the questions that aim to guide the identification of the lead supervisory authority. What Are the Main Changes? First and foremost, the amended guidelines provide more practical guidance as the annex including the questions to guide the identification of the lead supervisory authority is revised to a more practical level. WP29 provides further elaboration on the application of the term main establishment. WP29 outlines that the main establishment is not just the place where decisions on the processing activities are taken but, in addition, this place has to have the power to have such decisions implemented. WP29 further adds that where a multinational company centralises all the decisions regarding the processing to one establishment in the EU, "only one lead supervisory authority will be identified to the multinational". The GDPR requires joint controllers to determine their respective responsibilities but does not give guidance on the determination of the lead supervisory authority for joint controllers. WP29 recommends that in order to benefit from the one-stop-shop principle, joint controllers should determine the main establishment. As pointed out in the original guidelines, the GDPR does not permit forum shopping. WP29 further clarifies that the authorities can rebut the controller's analysis on the lead supervisory authority. Lastly, WP29 emphasises that the lead supervisory authority is that of the controller (as opposed to that of the processor) and, thus, some "processors may have to deal with multiple supervisory authorities". This may be the case when the processor is located outside the EU but provides services for controllers located in multiple EU Member States. Looking Forward The WP29 welcomes additional comments from the stakeholders on the Data Protection Impact Assessment guidelines until 23 May 2017. In addition, the WP29 announced that more guidelines will follow, namely on Certification, Consent, Profiling and Notifications on Data Breaches. D&I will provide further insight on these when published. As the GDPR leaves some of the issues to be decided upon by the EU Member States, not all issues are clarified on the EU level. The implementation process in Finland is under way and is lead by the Finnish Ministry of Justice. The Ministry has placed a working group to aid it in the process. In 2015, the Finnish Ministry of Justice assigned D& I to prepare a report on the impact of the Regulation on companies established in Finland. We at Dittmar & Indrenius are happy to help with any questions you may have regarding the GDPR and its effects, and will keep you posted on the implementation process and the further clarifications from the European Data Protection Authorities.
alert
First Guidance on GDPR published by the EU Data Protection Regulators
20 Dec 2016 On 15 December 2016, the Article 29 Data Protection Working Party (the "WP29") published the first guidance on three topics relating to the interpretation of the General Data Protection Regulation (the "GDPR").   Background The European Union General Data Protection Regulation (EU) 2016/679 ("GDPR") entered into force on 24 May 2016 and shall apply from 25 May 2018. The full effects of the GDPR are yet to be clarified by the WP 29's (the group of regulators which will later form the European Data Protection Board) guidance. Such guidance will be issued on various topics requiring more specific instructions and interpretations. We at D&I will keep you posted on the developments as they unravel and are happy to help with any questions you may have regarding the GDPR and its effects. During its meeting held last week, the WP29 completed guidelines on: Data Portability (full guidelines here); Data Protection Officers (full guidelines here); and Lead Supervisory Authority (full guidelines here). You can find the press release published on 15 December 2016 here. We have summarised the most important aspects introduced by the guidelines and their effects on businesses. Guidelines on the right to data portability How is your business affected? According to D&I's review, in its guidance, the WP29 adopts a very broad interpretation of the right to data portability. In addition to the data provided actively by the data subject, data generated by or collected from the activities of the data subject (such as location data or heartbeat tracked by wearable devices) fall within the scope of the right to data portability. The controller is not obliged to ensure that the receiving controller has the right to process the data, but it should provide the data subjects with a direct download opportunity and allow them to transmit the data to another controller directly. What is the right to data portability? Article 20 of the GDPR provides the data subject with a new right to data portability, which allows data subjects to receive the data they have provided to the controller in a machine readable format and to transmit the data to another controller upon the data subjects' request. According to the GDPR, the right to data portability only applies if the processing is based on either consent or a contract, and is carried out by automated means. What kind of data is covered? The WP29 adopts a broad interpretation of the right to data portability. Data actively provided by data subjects (e.g. name in the user profile) and data generated from the use of services or devices (e.g. search history, location data and raw data such as heartbeat collected by wearable devices) are in the scope of the right. The right does not cover data "exclusively generated by the data controller such as a user profile created by analysis of the raw smart metering data collected". The issued interpretation does not affect the implementation of other data subject rights, such as the right of access. Although potential risks to intellectual property rights and trade secrets should be assessed by the controller, potential business risks do not constitute a right to refuse to transfer data. However, the data may be transferred in a form that does not release such trade secrets. What are the receiving controllers' obligations? The receiving controller has to ensure that it has the right to process the data in question and that the data is relevant with regard to the receiving controller's processing activities. It is recommended that the receiving controller provide the data subject with information on which personal data is relevant, so that the data subject may then provide only such relevant data to the receiving controller. The receiving controller should also note that the data may include personal data of other data subjects and that it may not use such data. How to provide the data? Controllers should provide the data subjects with a direct download opportunity and allow them to transmit the data to another controller directly (e.g. through an API). The transmission of the data does not trigger the obligation to erase the data. The data must be structured and machine-readable (i.e. not in .pdf-format) and include as much metadata as possible. Controllers are not obliged to adopt compatible systems in order to meet this requirement, but the aim is to produce interoperable systems. Guidelines on data protection officers How is your business affected? According to D&I's review, the WP29 clarifies the obligation to appoint a Data Protection Officer ("DPO"). In addition, the WP29 seeks to clarify concepts that were left open in the GDPR, such as, "public authority", "core activities", "large scale" and "regular and systematic monitoring". Finally, the WP29 further clarifies on the position and tasks of the DPO. The WP29 clearly reaffirms that the DPOs will not be personally responsible for non-compliance with the GDPR. What is a DPO? The GDPR is based on the accountability principle which places the DPO in the centre of the new legal framework. The appointment of a DPO is mandatory for certain controllers and processors but the WP29 encourages companies to designate a DPO on a voluntary basis as well. Appointing a DPO will help ensure compliance with legal requirements and is likely to become a competitive advantage for businesses. The guidelines further define the position and role of the DPO, but we will not touch upon the details in this Alert. What concepts does it clarify? In addition to public authorities, private organisations carrying out public tasks (e.g. public transport services, water and energy supply, public service broadcasting, public housing) should designate a DPO. The tasks of the designated DPO should cover all processing activities (e.g. management of employee database), not only those related to the performance of a public task. Companies' core activities are the key operations necessary to achieve the controller's or processor's goals. For example, a hospital's core activity is to provide healthcare. In order to do so they process health data, such as patients' records. Therefore, the processing of such data should be considered a hospital's core activity. This results in an obligation to appoint a DPO. Ancillary functions, such as paying employees or having standard IT support activities do not give rise to an obligation to appoint a DPO. The WP29 clarifies the concept of "large-scale processing" by providing a list of activities that includes, for example: a hospital processing patient data during the regular course of its business, processing travel data (e.g. tracking via travel cards), processing real time geo-location data of customers of an international food chain for statistical purposes, an insurance company or bank processing customer data during the regular course of its business, processing of personal data for behavioural advertising by search engines, and telephone or internet service providers processing personal data (content, traffic, location). If a company does large-scale processing it must appoint a DPO. The concept of "regular and systematic monitoring" is not limited to the online environment. The WP29 provides a list of examples of regular and systematic monitoring: operating a telecommunications network; providing telecommunications services; email retargeting; profiling and scoring for purposes of risk assessment; location tracking (e.g. by mobile apps); loyalty programs; behavioural advertising; monitoring wellness, fitness and health via wearable devices; CCTV; connected devices (e.g. smart meters, smart cars, home automation); etc. If a company carries out regular and systematic monitoring it must appoint a DPO. How many DPOs in your Group of Companies? Article 37(2) of the GDPR allows for a group of companies to appoint a single DPO provided that he or she is "easily accessible from each establishment". The WP29 further clarifies that this means that the DPO must be accessible as a contact point with respect to data subjects, the supervisory authority and internally within the organisation. In order to ensure availability, the DPO must be able to communicate with the data subjects and the supervisory authority in the same language used by the supervisory authority and the by the data subjects concerned. Furthermore, the DPO must be personally available whether physically on the same premises as employees or via a secure means of communication. Can you appoint an external DPO? Yes. The DPO may be a staff member of the controller or the processor (internal DPO) or fulfil the tasks on the basis of a service contract (external DPO). The external DPO must fulfil all relevant requirements of the GDPR. The WP29 recommends assigning a single individual as a lead contact and person "in charge" for each client when a team of individuals is working to effectively carry out the tasks of the DPO. Guidelines on identifying a controller's or processor's lead supervisory authority How is your business affected? The WP29 reassured that there can be more than one lead supervisory authority in cases where the controller has separate decision making centres in different countries for different processing activities. The WP29 further clarifies that a company whose decisions are taken exclusively outside of the territory of the EU should designate an establishment to act as its main establishment within the EU for data protection matters. Finally, the WP29 provides further criteria on determining when the data processing 'substantially affects' data subjects in other Member States and can thus constitute cross-border data processing. What is a lead supervisory authority? The GDPR introduces a one stop shop -system, which means that the lead supervisory authority will supervise all cross-border data processing activities of the controller or processor, and act as its sole interlocutor. According to the GDPR, the lead supervisory authority is the supervisory authority of the controller's or processor's main or single establishment in the EU. Identifying a lead supervisory authority is relevant where a controller or a processor is carrying out cross-border processing of personal data. When does data processing substantially affect data subjects in other Member States? Processing can be considered cross-border processing if it is 'likely to substantially affect data subjects'. In order to 'substantially affect' data subjects, the processing must have an impact on the data subjects. The WP29 points out that the interpretation will be case-specific taking into consideration the context and the purpose of the processing as well as the type of data. How to identify the lead supervisory authority? The lead supervisory authority is the supervisory authority of the controller's or processor's main or single establishment in the EU (i.e. the place of its central administration where decisions concerning the processing activities are taken). The GDPR does not offer a solution for situations where decisions are made exclusively outside of the EU. The WP29 suggests that in order to benefit from the One-Stop-Shop -system, the company should designate an establishment to act as its main establishment within EU. Looking forward The WP29 welcomes additional comments from the stakeholders on the guidelines until the end of January 2017. In addition, the WP29 announced that more guidelines will follow, namely on Data Protection Impact Assessments and Certification. D&I will provide further insight on these when published. As the GDPR leaves some of the issues to be decided upon by the member states, not all issues are clarified on the EU level. The implementation process in Finland is under way and is lead by the Finnish Ministry of Justice. The Ministry has placed a working group to aid it in the process. In 2015, the Finnish Ministry of Justice assigned D& I to prepare a report on the impact of the Regulation on companies established in Finland. We at Dittmar & Indrenius are happy to help with any questions you may have regarding the GDPR and its effects, and will keep you posted on the implementation process and the further clarifications from the European Data Protection Authorities.

Dittmar & Indrenius