A NAIH a hatósági eljárás során megállapította, hogy a Sziget Zrt. jogellenes adatkezelési tevékenységet folytatott, mert a 2016. június 1. és 2018. május 24. közötti időszakban megszegte a célhoz kötöttség elvét, az előzetes tájékoztatási kötelezettségét és jogalap nélküli adatkezelést végzett, a 2018. május 25. napját követően szervezett rendezvényeken végzett adatkezelése
nem felelt meg a célhoz kötöttség és az adattakarékosság elvének, továbbá megfelelő jogalap nélkül kezelte a látogatók személyes adatait.
A NAIH nem tiltotta meg a beléptetési rendszer során megvalósított adatkezelést, de elrendelte, hogy a Sziget Zrt. a beléptetési rendszer során alkalmazott adatkezelési gyakorlatát hozza összhangba az általános adatvédelmi rendelet szabályaival, illetve
a Sziget Zrt.-t 30 millió forint adatvédelmi bírság megfizetésére kötelezte
a 2018. május 25. napját követően végzett adatkezelése miatt.