Hát, ha kapcsolgathatta az egyes előfizetők szerződését, hozzáfért a belső rendszerhez, akkor nyilván látott személyes információkat is. Ha mást nem, azon dologzók nevét, akiknek a jelszavát ellopta. De lehet előfizetők nevéhez, általuk igénybe vett szolgáltatások listájához is hozzáférhetett. Ha ez heteken át ment, akkor szerintem a GDPR 32. cikkét megsértik.
32. cikk
Az adatkezelés biztonsága
(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
...
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
...
Ha 3napig ülnek rajta, azt értem, de 3 héten át vizsgálni, úgy, hogy közben folyamatos hozzáférése van, szerintem az már túlzás.