Petek, 29. 9. 2023, 18.11
7 mesecev, 1 teden
NLB nehote razkrila podatke o računih strank. So to hoteli pomesti pod preprogo?
Termometer prikazuje, kako vroč je članek. Skupni seštevek je kombinacija števila klikov in komentarjev.
Termometer prikaže, kako vroč je članek. Skupni seštevek je kombinacija števila klikov in komentarjev.
0,94
Pri NLB so zanikali, da bi bilo mogoče iz podatkov ugotoviti, za katerega posameznika točno gre. Zavračajo tudi navedbe, da želijo stvari pomesto pod preprogo.
Banka NLB je po pomoti razkrila podatke o računih večjega števila svojih uporabnikov, kasneje pa je, kot trdijo pri spletnem portalu Toshl finance, želela zadevo pomesti pod preprogo, kjer so zapisali še, da jim je Nova Ljubljanska banka omenjene podatke posredovala prek povezave.
Uporabniki aplikacije za osebne finance Toshl so prejeli sporočilo, da je NLB pomotoma razkrila podatke o računih svojih uporabnikov. O napaki jih je 7. avgusta obvestil uporabnik, potem ko so se mu poleg lastnih finančnih računov pri NLB uvozili tudi podatki finančnih računov druge osebe.
Toshl je o napaki nemudoma obvestil tehnično pomoč pri NLB, kjer so napako naslednji dan odpravili, a kot so zapisali pri Toshl, na žalost težava ni bila izolirana le na posameznega uporabnika.
NLB zavrnil, da želi stvari pomesti pod preprogo
"Pri banki so v tem času na napačne povezave neupravičeno posredovali podatke o finančnih računih, stanjih premoženja na njih in nedavnih transakcijah v zadnjih mesecih že vsaj nekaj sto naključnih strank banke. Točne številke nimamo, saj je banka ni posredovala in je potencialnih odjemalcev (aplikacij) na tovrstnih bančnih povezavah več. Banka tovrstne povezave nudi in vzdržuje v okviru zahtev PSD2 (oz. ZPlaSSIED) zakonodaje. Povezava ni na voljo zgolj v Toshl aplikacijah, temveč v mnogo različnih odjemalcih. Kolikor lahko razberemo iz narave napake, verjetno ni šlo le za uporabnike teh povezav, temveč je možno, da so bili posredovani podatki katerekoli stranke NLB," so zapisali pri Toshl finance.
Za 24ur so pri NLB zanikali, da bi bilo mogoče iz podatkov ugotoviti, za katerega posameznika gre, in trdijo, da bi lahko na podlagi prikazanih transakcij identificirali le štiri uporabnike. Prav tako trdijo, da je napaka zadevala nekaj deset strank in ne več sto, kot je pisalo v sporočilu, ki so ga prejeli uporabniki Toshla. Prav tako so zavrnili navedbe Toshla, da želijo stvari pomesti pod preprogo. Toshl je za 24ur potrdil, da je bilo na seznamu 234 računov.
Pri Toshlu so še dodali, da so njihovi partnerji za bančno povezovanje kasneje na njihovo zahtevo in zahtevo banke neupravičeno posredovane podatke tudi odstranili.
Preko podatkov bi lahko posameznega lastnika tudi identificirali
"NLB že od začetka pozivamo, naj o napaki in neželenem razkritju obvesti prizadete uporabnike. Banka trdi, da tega ni dolžna storiti, saj na posredovanih računih ni bilo prikazano ime imetnika računa. Tega podatka v Toshl aplikacijah ne prikazujemo, vendar so bili skupaj z računi posredovani opisi transakcij, iz katerih je velikokrat mogoče razbrati ime delodajalca, imena oseb, s katerimi so potekale transakcije in na tak ali soroden način podatke tudi pripisati specifičnim osebam," so zapisali pri Toshlu.
"Navkljub mnogim pozivom NLB še vedno ni obvestila prizadetih uporabnikov. Od incidenta mineva že več kot 50 dni," so še dodali.
NLB ocenil, da obveščanje uporabnikov ni nujno
Po mnenju NLB končni uporabnik Toshl aplikacije brez nesorazmernega napora ni sposoben enoznačno identificirati imetnika računa, zato ocenjujejo, da ni verjetno, da bi nastala kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. "Zato teh posameznikov nismo obveščali v skladu s 34. členom Splošne uredbe, saj smo ocenili, da to ni nujno," so za 24ur pojasnili na NLB.
"Na podlagi prejetih podatkov bi bilo namreč imetnika računa mogoče identificirati le tako, da bi imel uporabnik dostop do podatkovnih baz banke, ki pa ga nima," so še svojo odločitev v komunikaciji s Toshlom za 24ur pojasnili pri NLB.
