V objavljenih odločbah so bili tako izpostavljeni osebni podatki kršiteljev, kot so ime, priimek, rojstni datum, naslov prebivanja, državljanstvo in EMŠO. Kot je za POP TV pojasnila informacijska pooblaščenka Mojca Prelesnik, se z zadevo že ukvarja državna nadzornica za varstvo osebnih podatkov. "Absolutno nimajo tam, kjer so se nahajale, kaj početi, ker gre za obdelavo osebnih podatkov, ki nima podlage v zakonu," je poudarila Prelesnikova.
Zdravstveni inšpektorat je omenjene dokumente že umaknil. Andreja Mojškrc z zdravstvenega inšpektorata je za POP TV poudarila, da je šlo v tem primeru nesporno za kršenje zakona o varstvu osebnih podatkov in za neustrezno zavarovanje osebnih podatkov.
Kot je dejala, trenutno preiskujejo, kako je do te napake pri objavi prišlo. Ko bodo ugotovitve zbrane, bodo uvedli ukrepe, da se to v prihodnosti ne bi ponovilo. "To se ne bi smelo zgoditi. To napako res obžalujemo in bomo naredili vse, da se ne bo ponovila," je povedala.
Nekdanja informacijska pooblaščenka in strokovnjakinja za varstvo osebnih podatkov Nataša Pirc Musar pa je v odzivu za POP TV opozorila, da gre pri tem za hud varnostni incident, za katerega je odgovoren nek javni organ. Najbolj sporno se ji zdi predvsem to, da je inšpektorat odločbe objavil vključno z vsemi osebnimi podatki kršiteljev, tudi EMŠO številko, kar pa omogoča krajo identitete.
Na POP TV so pri tem izpostavili, da Slovenija, za razliko od večine držav EU, novega zakona na področju GDPR nima, zato primera ne more sankcionirati enako kot druge države članice. "Če bo pooblaščenka ugotovila, kdo je ta varnostni incident v Sloveniji zagrešil, bo lahko odgovorno osebo kaznovala z 830 evri," je pojasnila Pirc Musarjeva. Za takšen incident bi organizacija ali podjetje v večini držav EU morale odšteti bistveno več, tudi do 20 milijonov evrov.