Decyzja opublikowana na stronie Urzędu Ochrony Danych Osobowych pod adresem https://uodo.gov.pl/decyzje/ZSPR.421.2.2019 wywołała duże poruszenie w środowisku oraz wśród osób zawodowo zajmujących się ochroną danych osobowych i bezpieczeństwem informacji.

Sprawa sięga jesieni 2018 r., kiedy to klienci Spółki zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego do zamówienia. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku. Nie wiadomo, ile osób padło jego ofiarą. Prezes UODO uznał jednak, że haker zdobył dane wszystkich klientów, czyli wspomnianych 2,2 mln osób.