Lorsqu’elle a infligé cette amende, l’autorité de contrôle a conclu que la violation commise en l’espèce était d’une importance considérable, de caractère grave et concernait un grand nombre de personnes. Dans sa décision, l’autorité de contrôle a également souligné que les risques encourus pour les personnes concernées étaient graves telles que le vol d’identité.
Les données concernées comprenaient notamment : nom et prénom, numéro de téléphone, email, adresse de livraison.
Dans la décision infligeant l’amende, le président d’UODO a conclu que la société, en ne se conformant pas aux moyens techniques de protection des données requis, avait enfreint, notamment, le principe de confidentialité énoncé à l’article 5, paragraphe 1, points f).) du GDPR. Par conséquent, il y a eu un accès non autorisé aux données des clients. La société a mis en œuvre des mesures de sécurité techniques supplémentaires après la violation.
L’enquête a révélé que l’infraction était due également à une surveillance inefficace des risques potentiels. L’absence de mesures techniques et organisationnelles ont conduit à l’imposition d’une amende en tenant compte de circonstances atténuantes, telles que les mesures prises par la société pour mettre fin à la violation.