Persónuvernd otrzymał skargę dotyczącą prośby o rejestrację numeru identyfikacyjnego klienta lub informacji o dacie urodzenia podczas zakupu biletów na imprezę rozrywkową. Organ nadzorczy uznał, że żądane przez administratora informacje wykraczały poza to, co było konieczne do zapewnienia bezpiecznej identyfikacji w związku z zakupem wejściówki. Ponadto administrator nie poinformował skarżącego, że rejestracja informacji o numerze identyfikacyjnym jest opcjonalna. Komunikat administratora sprawiał wrażenie, że podanie danych identyfikacyjnych jest obowiązkowe, co oznacza, że dane nie były przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty.
Persónuvernd ustalił, że bezpieczną identyfikację można było zapewnić przy dostarczaniu biletów sprzedawanych w inny sposób niż z wykorzystaniem ID lub informacji o dacie urodzenia, np. przy wykorzystaniu adresu e-mail lub numeru telefonu. Gromadzenie szczegółowych danych identyfikacyjnych nie było konieczne do realizacji procesu.
Organ nadzrczy zdecydował się nałożyć grzywnę w wysokości 1 mln ISK (ok. 6 990 EUR) i nakazał Harpa Concert Hall and Conference Centre zaprzestanie gromadzenia informacji o numerach identyfikacyjnych i datach urodzenia w związku z nabywaniem biletów przez osoby fizyczne. Administrator musi również usunąć nadmiarowo zgromadzone dane i poinformować organ nadzorczy o wdrożonych środkach organizacyjnych i technicznych do 8 kwietnia 2022 r.