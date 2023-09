Uporabniki aplikacije za osebne finance Toshl so prejeli sporočilo, da je NLB pomotoma razkrila podatke o računih svojih uporabnikov. O napaki jih je 7. avgusta obvestil uporabnik, potem ko so se mu poleg lastnih finančnih računov pri NLB uvozili tudi podatki finančnih računov druge osebe.

Toshl je o napaki nemudoma obvestil tehnično pomoč pri NLB, kjer so napako naslednji dan odpravili, a kot so zapisali pri Toshl, na žalost težava ni bila izolirana le na posameznega uporabnika.

NLB zavrnil, da želi stvari pomesti pod preprogo

"Pri banki so v tem času na napačne povezave neupravičeno posredovali podatke o finančnih računih, stanjih premoženja na njih in nedavnih transakcijah v zadnjih mesecih že vsaj nekaj sto naključnih strank banke. Točne številke nimamo, saj je banka ni posredovala in je potencialnih odjemalcev (aplikacij) na tovrstnih bančnih povezavah več. Banka tovrstne povezave nudi in vzdržuje v okviru zahtev PSD2 (oz. ZPlaSSIED) zakonodaje. Povezava ni na voljo zgolj v Toshl aplikacijah temveč v mnogo različnih odjemalcih. Kolikor lahko razberemo iz narave napake, verjetno ni šlo le za uporabnike teh povezav, temveč je možno, da so bili posredovani podatki katerekoli stranke NLB," so zapisali pri Toshl finance.

Za 24ur so pri NLB zanikali, da bi bilo mogoče iz podatkov ugotoviti, za katerega posameznika gre in trdijo, da bi lahko na podlagi prikazanih transakcij identificirali le štiri uporabnike. Prav tako trdijo, da je napaka zadevala nekaj deset strank in ne več sto, kot je pisalo v sporočilu, ki so ga prejeli uporabniki Toshla. Prav tako so zavrnili navedbe Toshla, da želijo stvari pomesti pod preprogo. Toshl je za 24ur potrdil, da je bilo na seznamu 234 računov.

Pri Toshlu so še dodali, da so njihovi partnerji za bančno povezovanje kasneje na njihovo in zahtevo banke neupravičeno posredovane podatke tudi odstranili.

Preko podatkov bi lahko posameznega lastnika tudi identificirali

"NLB že od začetka pozivamo, naj o napaki in neželenem razkritju obvesti prizadete uporabnike. Banka trdi, da tega ni dolžna storiti, saj na posredovanih računih ni bilo prikazano ime imetnika računa. Tega podatka v Toshl aplikacijiah ne prikazujemo, vendar so bili skupaj z računi posredovani opisi transakcij iz katerih je velikokrat mogoče razbrati ime delodajalca, imena oseb s katerimi so potekale transakcije in na tak ali soroden način podatke tudi pripisati specifičnim osebam," so zapisali pri Toshlu.

"Navkljub mnogim pozivom, NLB še vedno ni obvestila prizadetih uporabnikov. Od incidenta mineva že več kot 50 dni," so še dodali.

NLB ocenil, da obveščanje uporabnikov ni potrebno

Po mnenju NLB končni uporabnik Toshl aplikacije brez nesorazmernega napora ni sposoben enoznačno identificirati imetnika računa, zato ocenjujejo, da ni verjetno, da bi nastala kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatk, "Zato teh posameznikov nismo obveščali v skladu s 34. členom Splošne uredbe, saj so ocenili, da to ni potrebno," so za 24ur pojasnili na NLB.

"Na podlagi prejetih podatkov bi bilo namreč imetnika računa mogoče identificirati le tako, da bi imel uporabnik dostop do podatkovnih baz banke, ki pa ga nima," so še svojo odločitev v komunikaciji s Toshlom za 24ur pojasnili pri NLB.