Kara ta to przede wszystkim wynik braku nadzoru nad firmą, która na zlecenie administratora danych wdrażała nowe narzędzie informatyczne. Fortum miało zawartą z nią umowę powierzenia przetwarzania danych osobowych, zgodnie z którą powinna zostać przeprowadzana pseudonimizacja danych. Niestety podmiot przetwarzający pracował na niezabezpieczonych danych, kopiując bazę klientów na niezabezpieczony serwer. Do tej kopii mieli dostęp dwaj niezależni internauci, którzy powiadomili o tym fakcie Fortum. Bezpośrednią winę za incydent ponosi więc podwykonawca, który działał niezgodnie z powszechnie znanymi normami ISO. On również został ukarany i ma zapłacić 250 tys. zł.
Dużo wyższa sankcja nałożona na Fortum wynika z faktu, że to ta spółka jako administrator danych powinna wdrożyć procedury gwarantujące bezpieczeństwo danych.