Fréttablaðið - 18.03.2020, Blaðsíða 28

Fréttablaðið - 18.03.2020, Blaðsíða 28
Afpöntun á þegar bókaðri vöru og þjónustu getur almennt ekki farið fram bótalaust. Fyrstu málin, þar sem Persónuvernd á Íslandi hefur beitt sektar- heimildum, benda til þess að Persónuvernd muni beita sektarvaldi sínu með svip- uðum hætti og persónu- verndaryfirvöld í öðrum ríkjum EES.   Nýju persónuverndar-lögin og GDPR tóku gildi á Íslandi um mitt sumar 2018 með lög u m nr. 90/2018. Í þeim er að finna ýmsar nýjar og hertar reglur og hafa skyldur og ábyrgð fyrirtækja á þessu sviði aukist til muna. Bæði í ljósi orðsporsáhættu og nýrra sektarheimilda persónuverndaryfir- valda, er rétt að huga í auknum mæli að reglufylgni á þessu sviði. Starfsemi í samræmi við ný persónuverndarlög Mörg fyrirtæki gerðu sérstaka úttekt á persónuverndarmálum og breyttu fyrri framkvæmd í því skyni að laga starfsemi sína að nýjum skyldum. Í þessari vinnu fólst m.a. að hafa alla helstu þætti til staðar, einkum: n Gerð persónuverndarstefna (aðskildar stefnur fyrir starfs- menn og viðskiptavini) n Yfirferð á ráðningarsamningum, t.d. varðandi heimild til að deila upplýsingum um starfsmenn ef kemur til áreiðanleikakönnunar n Yfirferð á viðskiptaskilmálum, svo að fyrirtæki geti unnið per- sónuupplýsingar viðskiptavina með lögmætum hætti n Mat á því hvort að lögmætur grundvöllur fyrir vinnslu er fyrir hendi í öllum tilvikum (t.d. sam- þykki eða samningur) n Mat á áhættusamri vinnslu, t.d. varðandi vinnslu viðkvæmra persónuupplýsinga n Mat á ábyrgð og áhættu, sem tengist rafrænni vöktun með starfsmönnum eða viðskipta- vinum Reynslan sýnir að sum fyrir- tæki luku við innleiðingu á ofan- greindum þáttum um það leyti sem nýju lögin tóku gildi, en í mörgum tilvikum hefur dregist að ná nauð- synlegri reglufylgni. Sérstakir áhættuþættir Brot á persónuverndarlögum geta átt sér stað með ýmsum hætti, en þau má f lokka með eftirfarandi hætti: „Innbyggð“ brot, einkum ef regluleg framkvæmd við vinnslu persónuupplýsinga á sér ekki lagastoð, t.d. ef skýrt samþykki einstaklings vantar þar sem slíkt samþykki er nauðsynlegt eða ef persónuupplýsingar eru sendar til landa utan EES án heimildar n Tæknileg mistök, t.d. ef aðgang- ur að læstum gögnum opnast n Mannleg mistök, t.d. ef tölvu- póstur með persónuupp- lýsingum er sendur á rangt netfang. Innbrot í gagnagrunna og tölvukerfi n Almennur skortur á tæknilegum og skipulagslegum ráðstöf- unum til að tryggja öryggi persónuupplýsinga Þrátt fyrir vítt svið, eru helstu áhættuþættir eftirfarandi, sem ættu að vera settir í forgang í ljósi nauð- synlegrar áhættustýringar: Öll vinnsla á viðkvæmum per- sónuupplýsingum, m.a. upp- lýsingar um stéttarfélagsaðild, heilsufarsupplýsingar, sakavott- orð, sem og stafræn lífkenni (t.d. augn-, fingrafara- og og andlits- skann) n Þar sem um mikið magn per- sónuupplýsinga er að ræða n Miðlun persónuupplýsinga til landa utan EES n Uppsöfnun persónuupplýsinga yfir langt árabil. Almenn út- vistun á vinnslu persónuupp- lýsinga, t.d. til hýsingaraðila n Vinnsla persónuupplýsinga fyrir þriðja aðila n Notkun samfélagsmiðla og söfnun persónuupplýsinga í gegnum slíka miðla n Bein markaðssetning með tölvupósti eða textaskila- boðum Dæmi um afleiðingar brota Nýjum persónuverndarlögum er ætlað að tryggja persónuvernd í heimi þar sem vinnsla persónuupp- lýsinga hefur stóraukist undanfarin ár í ljósi hraðra tæknibreytinga og margbreytilegrar notkunar og við- skipta með persónuupplýsingar. Helsta „tækið“ í höndum persónu- verndaryfirvalda í þessu skyni eru nýjar og miklar sektarheimildir, þar sem sektir geta numið frá 100 þús- und krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis Þann 10. mars sl. birti Persónu- vernd fyrstu úrskurði sína, þar sem sektarheimildum var beitt hér á landi. Í báðum tilvikum var um alvarlegan öryggisbrest að ræða við meðferð viðkvæmra persónuupp- lýsinga, hjá frjálsum félagasam- tökum annars vegar og framhalds- skóla hins vegar. Við ákvörðun sekta komu nokkur atriði til lækk- unar þeirra, m.a. að brotið stafaði af mannlegum mistökum (fremur en af vísvitandi ólögmætri vinnslu) í öðru málinu og að í báðum mál- unum væri um að ræða aðila, sem ekki eru reknir í hagnaðarskyni. Engu að síður nam sektin þremur milljónum króna í fyrra málinu og 1,3 milljónum króna í því síðara. Ýmis mál um ákvörðun sekta má einnig finna í nýlegri evrópskri framkvæmd og sýna þau vel hversu f jölbreytt og afdrifarík brot á persónuvernd geta verið: Danmörk: Húsgagnakeðja sektuð um 200.850 evrur fyrir að vista persónuupplýsingar um við- skiptavini sína lengur en þörf krafði og fyrir að hafa ekki ferla og verklagsreglur til staðar um eyðingu persónuupplýsinga. Svíþjóð: Netfyrirtæki sektað um 35.000 evrur fyrir að hafa vistað og birt úreltar persónu- upplýsingar. Bretland: Öryggisbrot hjá flug- félagi, sem mátti rekja til skorts á tæknilegum og skipulagslegum ráðstöfunum. Sektin kann að nema allt að 204.600.000 evrum. Þýskaland: Fjarskiptafyrirtæki sektað um 9.550.000 evrur fyrir að hafa gert óviðkomandi aðilum mögulegt að fá upplýsingar um viðskiptamenn með því einu að gefa upp nafn og fæðingardag viðskiptamanna. Holland: Tryggingafélag sektað um 900.000 evrur fyrir að hafa vanrækt að hafa marglaga að- gangsstýringu að vefsíðu með persónuupplýsingum. Frakkland: Orkufyrirtæki sektað um 500.000 evrur fyrir síma- markaðssetningu, sem fól í sér upphringingar og vinnslu per- sónuupplýsinga um væntanlega viðskiptavini án heimildar. Fyrstu málin, þar sem Persónu- vernd á Íslandi hefur beitt sektar- heimildum, benda til þess að Per- sónuvernd muni beita sektarvaldi sínu með svipuðum hætti og per- sónuverndary f ir völd í öðrum ríkjum EES. Þess vegna er brýnt að fyrirtæki fylgi persónuverndar- lögum og dragi úr áhættu á þessu sviði eins og unnt er. GDPR og aukin áhætta fyrirtækja  Nú þegar skæð veira gengur yfir heims-byg gðina rey nir á ý msa r reg lu r laga og réttar sem sjaldan koma til skoðunar. Ber þar hæst reglur sem lúta að því hvað gerist þegar ekki er hægt, eða a.m.k. mjög örðugt, að efna þegar gerða samninga vegna ráðstafana sem gripið hefur verið til af völdum veirunnar, svo sem að fresta eða af lýsa viðburðum ýmiss konar, afpanta vörur og þjónustu sem þegar var búið að bóka og fleira. Ljóst er að slík atvik geta valdið miklu tjóni enda þarf þá hugsanlega að farga því sem þegar hefur verið útbúið, segja upp starfsfólki eða verktökum. Er þá nærtækt að sú spurning vakni hver beri tjónið sem af slíku verður. Í þessu greinarkorni verður sjónum beint að afmörkuðum þætti þessa, þ.e. hvaða reglur gilda í stuttu máli þegar vara eða þjónusta er afpönt- uð. Sérreglur geta gilt á ákveðnum sviðum, t.d. í neytendakaupum og þegar pakkaferðir eru afpantaðar, en ekki verður nánar farið út í þá sálma hér. Meginregla kröfu- og samninga- réttar er sú að samninga skal halda, þ.e. gerðir samningar skulu standa. Það þýðir að menn geta almennt ekki af leiðingalaust ákveðið ein- hliða að hætta við að efna samn- ing. Þegar menn hafa skuldbundið sig til að kaupa vöru eða þjónustu með samningi, munnlegum eða skriflegum, geta þeir ekki afpantað vöruna eða þjónustuna, nema að greiða endurgjaldið eða a.m.k. skaðabætur vegna þess tjóns sem viðsemjandinn verður fyrir vegna þessa. Við mat á þessu geta þó ýmis sjónarmið haft þýðingu, t.d. hvort afpöntun hafi átt sér stað með nægi- legum fyrirvara, hvort seljandinn getur forðað tjóni með því að selja öðrum viðkomandi vöru. Tökum í dæmaskyni veislu sem bókuð hefur verið, t.d. árshátíð fyr- irtækis. Búið er að leigja sal, panta veitingar og þjónustu starfsfólks og skemmtikrafta. Skömmu fyrir veisl- una vill sá sem hana ætlaði að halda afpanta þjónustuna og allt sem henni tilheyrir og ber við COVID- 19 faraldrinum og bönnum stjórn- valda. Þrátt fyrir þessa afpöntun þarf sá sem pantaði almennt að greiða fyrir hið pantaða að því marki sem sá sem pantað var af verður fyrir tjóni. Ef veitingamaður- inn væri þegar búinn að útbúa veit- ingarnar væri líklegast um altjón að ræða sem kaupandi yrði að bæta nema að veitingamaðurinn gæti selt þær öðrum (sem verður að teljast ólíklegt). Hvað varðar hin leigðu salarkynni reynir á hvort leigu- salinn geti leigt öðrum í staðinn. Sé það ekki hægt á hann rétt til bóta frá þeim sem pantaði sem nemur töpuðum hagnaði, að líkindum hinu umsamda leigugjaldi, að frá- dregnum kostnaði leigusalans. Hið sama gildir um þjóna og skemmti- krafta, nema að þeir geti fundið aðra veislu í stað hinnar á sama eða svipuðum tíma. Af framangreindu leiðir að afpöntun á þegar bókaðri vöru og þjónustu getur almennt ekki farið fram bótalaust. Sá sem afpantar verður a.m.k. að greiða þeim sem hann bókaði hjá bætur vegna af pöntunar innar sem nemur útgjöldum söluaðilans eða hinum tapaða hagnaði hans af vörunni eða þjónustunni. Frá öllu slíku má vitaskuld víkja með samningi aðila sem gerður er samhliða pöntun en alla jafna er því þó ekki fyrir að fara að kaupendur eða seljendur vöru og þjónustu hafi sér til fulltingis samningsákvæði sem koma þeim að haldi. Þá getur það gerst að aðilar semji um skilmála afpöntunarinnar eftir að atvik sem henni valda koma upp, svo sem að halda veisluna síðar, og tempra þannig tjónið. Þær meginreglur sem hér hafa verið nefndar eru matskenndar og hvílir á seljanda að sýna fram á að hann hafi orðið fyrir tjóni og að afpöntun hafi leitt til óhagræðis fyrir hann. Af þeim sökum getur verið skynsamlegt fyrir þá sem selja vöru eða veita þjónustu að setja sér skilmála um afpöntun. Slíkt horfir til einföldunar og hægðarauka fyrir seljanda. Sem dæmi um slíka skil- mála má nefna að kaupandi verði að afpanta með tilteknum fyrir- vara (t.d. innan tiltekins daga- eða viknafjölda), annars þurfi hann að greiða fyrir þjónustuna í heild eða að hluta. Þá gæti seljandi krafið kaupanda um fyrirframgreiðslu að hluta sem ekki fáist endurgreidd þrátt fyrir afpöntun. Skilmálar sem þessir eru algengir á ýmsum sviðum viðskiptalífsins, en semja verður sérstaklega um atriði af þessum toga – annars gilda hinar matskenndu meginreglur. COVID og réttarreglur um afpöntun vöru og þjónustu Hafliði K. Lárusson lögmaður og eigandi hjá BBA Fjeldco Sara Rut Sigurjónsdóttir lögmaður og verkefnastjóri hjá BBA Fjeldco Arnar Þór Stefánsson hæstaréttarlög- maður á LEX Víðir Smári Petersen hæstaréttarlög- maður á LEX 1 8 . M A R S 2 0 2 0 M I Ð V I K U D A G U R14 MARKAÐURINN

x

Fréttablaðið

Beinir tenglar

Ef þú vilt tengja á þennan titil, vinsamlegast notaðu þessa tengla:

Tengja á þennan titil: Fréttablaðið
https://timarit.is/publication/108

Tengja á þetta tölublað:

Tengja á þessa síðu:

Tengja á þessa grein:

Vinsamlegast ekki tengja beint á myndir eða PDF skjöl á Tímarit.is þar sem slíkar slóðir geta breyst án fyrirvara. Notið slóðirnar hér fyrir ofan til að tengja á vefinn.

Aðgerðir: