W związku z publikacją 12 marca 2019 r. artykułu, który wskazywał na możliwość kradzieży danych osobowych użytkowników Karty Krakowskiej w dniach 1 i 2 lipca 2018 r., Urząd Miasta Krakowa jeszcze w tym tygodniu zgłosi do Urzędu Ochrony Danych Osobowych naruszenie bezpieczeństwa danych osobowych części mieszkańców Krakowa. Taką decyzję podjęto 14 marca podczas spotkania przedstawicieli Urzędu Miasta Krakowa oraz MPK SA w Krakowie.
Liczba osób narażonych na możliwość kradzieży danych jest w trakcie weryfikacji i obejmuje tylko dwa dni – 1 i 2 lipca 2018 r.
2 lipca 2018 r. hasło zostało zmienione, a samo konto zablokowane. Zostało wprowadzone ograniczone logowanie do panelu administracyjnego do wybranych adresacji IP. Po tej dacie nie odnotowano nieautoryzowanego dostępu.
Firma Ideo sp. z o.o. zapewniła, że będzie wspierać Urząd Miasta Krakowa i MPK SA zarówno w zebraniu wszystkich niezbędnych informacji w celu poinformowania UODO o tym incydencie, jak i osób fizycznych, w stosunku do których potwierdzi się wystąpienie ujawnienia danych.
Jednocześnie, zgodnie z informacją przekazaną przez firmę Ideo sp. z o.o., ustalono prawdopodobny adres IP, z którego mogło dojść do nieautoryzowanego dostępu. Ustalono również, że nie było to logowanie przypadkowe, a próba podjęta kilka razy, wskazująca na działanie umyślne. W związku z tym Urząd Miasta Krakowa, jako administrator danych osobowych mieszkańców, podjął decyzję o wniesieniu do prokuratury zgłoszenia w sprawie nieautoryzowanego dostępu do danych osobowych użytkowników Karty Krakowskiej.
Analizowana jest również kwestia podjęcia kroków prawnych wobec dostawcy systemu Karty Krakowskiej.