A NAIH 2016 júniusától napjainkig vizsgálta a cég adatkezelési gyakorlatát, de ezt az időszakot kettébontva értékelték, hiszen időközben életbe lépett az európai unió általános adatvédelmi rendelete (GDPR). A határozat szerint így a szervezők 2016. június 1. és 2018. május 24. között az Infotörvényt sértették meg azzal, hogy
- nem megfelelő jogalap alapján kezelték az adatokat,
- az adatkezelés nem felelt meg a célhoz kötöttség elvének,
- az érintettek nem kaptak megfelelő előzetes tájékoztatást az adataik kezeléséről.
Május 25-től pedig abban vétkeztek, hogy
- nem megfelelő jogalap alapján folyt az adatkezelés, illetve
- sérült a célhoz kötöttség és az adattakarékosság elve.
A NAIH ezért egyrészt elrendeli, hogy a beléptetéskor gyakorolt adatkezelést a cég hozza összhangba a GDPR-ral, másrészt a már a GDPR ideje alatt tanúsított jogsértésekért 30 millió forintos bírságot szabott ki.
A NAIH-hoz a 2016-os VOLT fesztivállal kapcsolatban érkeztek bejelentések, amelyben a fesztiválozók azt kifogásolták, hogy a szervezők beszkennelik a személyi igazolványukat, illetve hogy ezzel kapcsolatban nem kapnak megfelelő tájékoztatást, hogy erre mi szükség van és az így begyűjtött személyes adatokat mennyi ideig szándékoznak kezelni.
Ahogy a Media1 is kiemeli, a Sziget Zrt. elsősorban a terrorizmus és a jegyüzérkedés elleni fellépésre hivatkozott, de a NAIH szerint ehhez kevesebb adat begyűjtése is elegendő lett volna.
