Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), każdy administrator jest zobowiązany do odpowiedniej ochrony danych osobowych. Wysłanie danych do niewłaściwego odbiorcy, w tym: numeru klienta, numeru telefonu, warunków przyznanego upustu/rabatu oraz innych informacji wynikających z otrzymanej korespondencji, stanowi naruszenie ochrony danych osobowych w kontekście nieuprawnionego udostępnienia danych (naruszenie poufności).
Chociaż wskazany zakres informacji nie pozwala na bezpośrednie zidentyfikowanie osoby fizycznej, to dostępność takich danych jak numer klienta, numer telefonu, nazwa firmy, z której oferta została wysłana, oraz kontekst usługi lub oferty, może umożliwić pośrednią identyfikację tej osoby.
W przypadku, gdy administrator uzyska informację o naruszeniu ochrony danych, powinien podjąć odpowiednie działania, w tym poinformować osoby, których dane dotyczą, oraz organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych), jeśli na podstawie dokonanej oceny stwierdzi ryzyko naruszenia praw i wolności osoby fizycznej. Niezależnie od oceny, każdy przypadek naruszenia musi zostać zarejestrowany w wewnętrznym rejestrze naruszeń. Należy również zarchiwizować zebraną dokumentację z prowadzonego postępowania wyjaśniającego w celu rozliczenia się z podjętych działań przed Prezesem Urzędu Ochrony Danych Osobowych.