Emlékeztetett arra, hogy az adatvédelmi bírság jogintézményét az infotörvény vezette be azzal a céllal, hogy növelje a hatóság eszköztárát a jogérvényesítés területén. A kiszabott bírság mértéke a hatóság mérlegelésétől függ. Az eddigi tapasztalatok alapján a jogsértés megállapítása esetén a hatóság szinte minden esetben bírságot vetett ki – hívta fel a figyelmet Gera. Jelezte, hogy az adatbázisok kiépítésével és kezelésével hivatásszerűen foglalkozó, kiemelt jelentőségű adatkezelők, például bankok, pénzügyi vállalkozások, illetve a pusztán méretüknél fogva nagy számú adatot kezelő szervezetek már akár kisebb súlyú jogsértés esetén is viszonylag súlyos bírságra számíthatnak.
Példaként egy olyan, korábban nagyobb publicitást nyert esetet hozott fel az ügyvédi iroda szakértője, amelyben a hatóság nem is csupán az adatkezelőnek, hanem az általa igénybe vett adatfeldolgozónak felróható gondatlanságból eredő jogsértés miatt szabott ki bírságot. A szóban forgó esetben egy hacker-támadás miatt több mint ötvenezer ügyfél adata vált hozzáférhetővé. Jóllehet a behatolásért sem az adatkezelő, sem az adatfeldolgozó nem volt közvetlenül felelőssé tehető, a hatóság mégis megállapította, hogy gondatlanság terheli őket az általuk alkalmazott biztonsági intézkedések, illetve a felelősség megoszlása szerződéses rendezésének a hiányosságai miatt.