Brudd på personopplysningssikkerheten foreligger dersom det oppstår “utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført lagret eller på annen måte behandlet”. Virksomheten har “uten ugrunnet opphold” plikt til å melde avvik til Datatilsynet og den registrerte. Manglende melding og selve avviket kan medføre overtredelsesgebyr. Datatilsynet utstedte i 2018 gebyr i 13 avvikssaker og gebyret varierte fra kr. 75000 til 800 000. I en avgjørelse om overtredelsesgebyr fra mars 2019 ble Bergen kommune pålagt å betale Kr. 1,6 millioner som følge av at filer med 35 000 brukernavn og passord hadde ligget åpent tilgjengelig for elever. Nylig har Datatilsynet i England varslet et gebyr på GBP 183 millioner med bakgrunn i et dataangrep som British Airways meldte i september 2018.
Datatilsynet har i sin årsrapport for 2018 varslet at gebyrene “vil bli flere og høyere enn før” og skriver at dette kan medføre “enda større rettsliggjøring av personopplysningsvernet”. Det er videre grunn til å forvente at Datatilsynet i tiden fremover vil øke gjennomføringen av antallet stedlige og brevlige tilsyn og at risikoen for oppdagelse av avvik dermed vil øke. Datatilsynet gjennomførte 196 tilsyn i 2018.
