EU-tuomioistuin: Pelko henkilötietojen mahdollisesta väärinkäytöstä tietoturvaloukkauksen jälkeen voi oikeuttaa vahingonkorvauksiin
22.12.2023 | OikeusuutisetUnionin tuomioistuin on ottanut kantaa syihin, joiden vuoksi tietoturvaloukkauksen kohteeksi joutunut henkilö voi hakea organisaatiolta vahingonkorvauksia. Pelko tietoturvaloukkauksessa vuotaneiden tietojen mahdollisesta tulevasta väärinkäytöstä voi olla aineeton vahinko, josta organisaatio voi joutua maksamaan vahingonkorvauksia.
Bulgarian veroviranomaisen tietojärjestelmään tehtiin kyberhyökkäys vuonna 2019. Hyökkäyksen jälkeen miljoonien ihmisten henkilötiedot julkaistiin verkossa. Useat loukkauksen kohteeksi joutuneet henkilöt nostivat kanteen veroviranomaista vastaan ja vaativat korvauksia henkisestä kärsimyksestä, jota heidän tietojensa vaarantuminen aiheutti.
Bulgarian korkein hallinto-oikeus pyysi Euroopan unionin tuomioistuimelta ennakkoratkaisua rekisterinpitäjän vahingonkorvausvastuuseen liittyvästä tulkinnasta. Unionin tuomioistuin linjaa, että organisaatio voi joutua maksamaan vahingonkorvauksia tietoturvaloukkauksen uhreille, jotka pelkäävät vuotaneiden tai varastettujen henkilötietojensa mahdollista tulevaa väärinkäyttöä.
Unionin tuomioistuimen mukaan tietoturvaloukkauksen kohteeksi joutuneen ihmisen pelko siitä, että ulkopuoliset käyttävät tulevaisuudessa väärin hänen henkilötietojaan, voi itsessään olla aineeton vahinko. Pelon täytyy olla perusteltu, jotta se oikeuttaisi vahingonkorvauksiin.
Organisaatio voi joutua vahingonkorvausvastuuseen, jos henkilötiedot joutuvat vääriin käsiin tietoturvaloukkauksen seurauksena. On organisaation vastuulla osoittaa, ettei se ole millään tavalla vastuussa vahingon aiheuttaneesta tapahtumasta ja että sen turvallisuustoimet ovat olleet asianmukaiset.
Pelkästään se, että ulkopuolinen taho on päässyt luvattomasti käsiksi henkilötietoihin, ei vielä kerro suojatoimien riittämättömyydestä. Vahingonkorvausvastuun arvioiminen on tuomioistuinten tehtävä. Kun tuomioistuimet arvioivat organisaation korvausvastuuta, niiden on tarkasteltava konkreettisesti organisaatiolla käytössä olleiden suojatoimien riittävyyttä.
Vahinkoa kärsinyt henkilö voi esittää korvausvaatimukset suoraan tietosuoja-asetusta rikkoneelle organisaatiolle. Jos organisaatio ei suostu vaatimuksiin, kanteen voi nostaa käräjäoikeudessa. Vahingonkorvausta ei voi vaatia tietosuojavaltuutetun toimiston kautta.
Lisätietoja: Euroopan unionin tuomioistuimen ratkaisu C-340/21 tuomioistuimen verkkosivuilla