Potrivit sursei citate, sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.
