Póst- og fjarskiptastofnun segir að Fjarskipti (Vodafone) hafi, þegar brotist var inn á vefsvæði fyrirtækisins í nóvember 2013, brotið gegn meginákvæðum fjarskiptalaga, um vernd persónuupplýsinga og friðhelgi einkalífs. Þetta kemur fram í niðurstöðu ákvörðunar Póst- og fjarskiptastofnunar vegna öryggisatviks sem átti sér stað á vefsvæði Fjarskipta hf. í nóvember 2013. Í umræddu öryggisatviki var brotist inn á vefsvæði félagsins, vodafone.is, og þar stolið gögnum sem vistuð voru á gagnagrunnum félagsins og þau síðar birt opinberlega á netinu.
Rannsóknin náði einungis til vefkerfis Fjarskipta hf., sem tilheyrir almennu fjarskiptaneti þess, þ.e. vodafone.is, en ekki alls fjarskiptakerfis félagsins.
Niðurstaða stofnunarinnar er sú að Fjarskipti hafi ekki viðhaft virkt öryggisskipulag fyrir vefsvæði félagsins, vodafone.is:
„Hafi ekki viðhaft viðeigandi ráðstafanir til að tryggja vernd vefsvæðisins og þeirra upplýsinga sem þar voru vistaðar.
Hafi ekki viðhaft a.m.k. árlegt innra eftirlit fyrir vefsvæði félagsins. Né heldur uppfyllt kröfur um upplýst samþykki áskrifenda fyrir vistun gagna á vefsvæði félagsins.
Jafnframt að hafa ekki eytt eða gert nafnlaus gögn um fjarskiptaumferð áskrifenda, sem nýttu sér almenna fjarskiptaþjónustu félagsins á vefsvæði þess, eftir sex mánuði.
Það er einnig niðurstaða stofnunarinnar að viðbrögð Fjarskipta hf., eftir að upp komst um innbrot og birtingu gagna, hafi verið góð og að leitað hafi verið allra leiða til að takmarka það tjón sem hlaust af gagnastuldinum.
Þá hefur félagið, í kjölfar öryggisatviksins, eflt varnir sínar og hefur nú vottað stjórnkerfi upplýsingaöryggis samkvæmt alþjóðlega staðlinum ISO 27001:2005, sbr. nýjustu útgáfu hans.“