Decyzję podjęto, gdy pojawiła się informacja o przekazaniu danych osobowych nieuprawnionemu odbiorcy poprzez e-mail. Link4 niezwłocznie nie poinformowało Prezesa UODO o incydencie, co skutkowało wszczęciem postępowania administracyjnego. Ubezpieczyciel tłumaczył, że doszło do „błędu ludzkiego”, a wykonana przez firmę analiza wskazywała na „niskie ryzyko dla praw i wolności osoby, której dane dotyczą”.
Organ nadzorczy uznał jednak długi czas trwania naruszenia, umyślność oraz niski poziom współpracy z firmą za czynniki obciążające. UODO przypomniał, że zgłoszenie naruszenia nie może być uzależnione od faktycznego naruszenia praw osób fizycznych, a ocena ryzyka powinna uwzględniać prawdopodobieństwo i wagę potencjalnych negatywnych skutków.