Urząd stwierdził, że naruszenie miało "znaczną wagę i poważny charakter" oraz dotyczyło dużej liczby osób. W wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce. Jako jeden z takich skutków UODO wymienił tzw. kradzież tożsamości.
W decyzji nakładającej karę Prezes UODO stwierdził, że spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych. Wzięto jednak także pod uwagę okoliczności łagodzące, m.in. podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, współpracę z administratorem oraz fakt, że wcześniej nie dopuściła się ona naruszenia przepisów o ochronie danych osobowych.
