Den litauiska tillsynsmyndigheten för dataskydd, Valstybinė duomenų apsaugos inspekcija (VDAI), har bötfällt UAB Prime Leasing, som driver plattformen för korttidsuthyrning av bilar CityBee, med 110 000 euro för brott mot artiklarna 32.1 (b) och (d) i dataskyddsförordningen (GDPR).
Av beslutet framgår att VDAI på eget initiativ genomfört en granskning om en möjlig personuppgiftsincident enligt artikel 33 GDPR som inneburit att uppgifter om företagets kunder blivit offentliga i februari 2021. Enligt UAB Prime Leasing fick de kännedom om incidenten från en leverantör av cybersäkerhetstjänster som informerat dem om att 110 302 CityBee-användares kunduppgifter publicerats i hackarforumet RaidForums.com. Publiceringen omfattade uppgifter som namn, adresser, telefonnummer, e-postadresser, personnummer, körkortsnummer, typ av betalkort och de fyra sista siffrorna i kortnumret för de registrerade.
VDAI:s utredning visade att de offentliggjorda uppgifterna kom från en osäker säkerhetskopia av en databas. VDAI konstaterade att dataintrånget inträffat på grund av att UAB Prime Leasing inte uppfyllt sina skyldigheter att genomföra tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de registrerade enligt artikel 32 GDPR.
UAB Prime Leasing hade till exempel underlåtit att utse en person med lämplig kompetens som ansvarig för företagets säkerhets- och riskhantering. UAB Prime Leasing hade också underlåtit att se till att åtkomster till databasfiler loggades och utvärderades. Dessutom hade företaget lagrat databasen okrypterad, så att en person med teknisk kunskap kunde få full tillgång till uppgifterna efter att ha kommit över databasen. De personliga koderna i databasen förvarades dessutom oskyddade och lösenorden i databasen var endast krypterade med en krypteringsalgoritm som ansågs osäker.
Mot denna bakgrund beslutade VDAI att UAB Prime Leasing skulle åläggas en sanktionsavgift på 110 000 euro för överträdelse av artiklarna 32.1 (b) och (d) GDPR.