En litauisk operatör för biluthyrningsföretaget CityBee anmälde en personuppgiftsincident till dataskyddsmyndigheten i Litauen, som inledde en undersökning i ärendet. Personuppgiftsincidenten upptäcktes efter att ett annat företag inom cybersäkerhet informerade operatören att personuppgifterna från över 100 000 av CityBees kunder fanns publicerade på en annan hemsida.
Myndighetens undersökning kom fram till att informationen hämtades från en oskyddad säkerhetskopierad fil som innehöll flera personuppgifter såsom exempelvis namn, mailadress, registreringsnummer, betalningssätt och de fyra sista siffrorna på kortet.
Myndigheten bedömer att det var flera tekniska och organisatoriska säkerhetsåtgärder som saknades. Det fanns ingen kompetent person ansvarig för säkerhet, det skrevs inga loggar kring vem som hade tillgång och ändrade i filen, informationen var okrypterad och lösenordet var svagt. Företaget genomförde inte heller någon undersökning kring att hantera riskerna som var associerade med förlusten av filen, eftersom företaget inte ens själva kände till att filen existerade.
Dataskyddsmyndigheten menar att personuppgiftsincidenten är en konsekvens av flera överträdelser av GDPR. Företaget har överträtt reglerna kring säkerhet i personuppgiftbehandlingen vilket har lett till över hundratusen personuppgifter som blivit läckta. På grund av det stora antalet läckta personuppgifter samt avsaknaden av grundläggande säkerhet utfärdar den litauiska dataskyddsmyndigheten en straffsanktion på €110,000 till operatören.
