Et brudd på personopplysningssikkerheten, for eksempel at opplysninger stjeles og publiseres etter et kryptovirusangrep, kan ramme de fleste. Men EU-domstolen mener at det ikke trenger å bety at du ikke har overholdt kravene til sikring av personopplysninger i personvernforordningen artikkel 32.
I artikkel 32 kreves det blant annet at behandlingsansvarlig og databehandler skal iverksette tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå. Spørsmålet er hva dette betyr – vil ethvert brudd på sikkerheten til personopplysninger innebære at sikkerhetsnivået ikke har vært godt nok sett opp mot kravene i artikkel 32?
I dommen svarer EU-domstolen «nei» på dette spørsmålet. At det har skjedd et brudd på personopplysningssikkerheten er i seg selv ikke er nok til å slå fast at sikkerhetsnivået i virksomheten er i strid med det som forordningen krever. For at man skal kunne si at kravene i artikkel 32 er brutt, må man i tillegg se på hva virksomheten har gjort for å sikre opplysningene. Da er det relevant å vurdere hvor systematisk virksomheten har jobbet med personopplysningssikkerhet, for eksempel om et ledelsessystem for informasjonssikkerhet er innført og blir praktisert, og hvilke konkrete sikringstiltak den har iverksatt. Men dersom det skjer et brudd på personopplysningssikkerheten og virksomheten ikke kan vise at den har iverksette alle relevante sikringstiltak, så vil den kunne bli straffet, for eksempel med bøter, for manglende regeletterlevelse.
Det er også verdt å legge merke til at EU-domstolen sier at de som rammes av et sikkerhetsbrudd – de registrerte – kan kreve erstatning fra virksomheten for stress og ubehag de opplever som følge av bruddet (jf. personvernforordningen artikkel 82). Dette kan de registrerte kreve selv om opplysningene ikke er misbrukt og uten at bruddet fører til andre typer problemer eller ulemper for dem.
