Uporabniki mobilne denarnice Toshl so prejeli sporočilo, da je NLB nehote razkrila podatke o računih svojih strank. O napaki jih je 7. avgusta obvestil uporabnik, potem ko so se mu poleg lastnih finančnih računov pri NLB uvozili tudi podatki finančnih računov druge osebe. "Podatke je prek povezave posredovala Nova Ljubljanska banka, na naši strani nismo odkrili nepravilnosti," trdijo pri Toshlu.
Nekaj deset ali več sto računov? In ali bi res lahko prepoznali le štiri?
O napaki so nemudoma obvestili tehnično pomoč pri NLB, ki jo je naslednji dan odpravila. Sporno pa se jim zdi, so dodali, da banka o spodrsljaju ni obvestila uporabnikov, čeprav, kot so zapisali v sporočilu, bi bilo iz podatkov mogoče ugotoviti, za koga konkretno gre.
Kar pa v NLB zanikajo in zagotavljajo, da bi na podlagi prikazanih transakcij lahko identificirali le štiri uporabnike. Trdijo tudi, da napaka ni zadevala več sto strank, kot piše v sporočilu, ki so ga dobili uporabniki Toshla, ampak nekaj deset. "Zaradi napake posredovani podatki (skupaj nekaj deset strank NLB in računov) niso omogočali identifikacije posameznika, razen v štirih primerih. Te štiri stranke je NLB o napaki nemudoma obvestila skladno z veljavno zakonodajo in GDPR," so zagotovili in zavrnili navedbe Toshla, da poskušajo zadevo pomesti pod preprogo.
Od kod torej Toshlu informacije o več sto razkritih računih? "Nekaj dni po tem, ko smo NLB obvestili o napaki, so nam poslali zahtevo za ukrepanje s seznamom privolitev uporabnikov (consent ID) in računov (resource ID), pri katerih so nas prosili za izbris. Na seznamu je bilo 234 računov," so nam pojasnili.
Prepričajo jih ne niti trditve, da so bili prizadeti zgolj njihovi uporabniki, saj naj bi šlo za napako na povezavi, ki jo zagotavlja banka. "Naši partnerji so podatkovni agregator, omogočajo torej povezovanje z večjim številom bank na enoten način," so poskusili pojasniti. "Toshl je tako le ena izmed aplikacij, ki za svoje delovanje uporablja povezave, ki jih omogoča banka in naši partnerji. Poleg njim so banke dolžne samodejno nuditi tovrstno povezovanje kateremukoli podjetju, ki je primerno licencirano."
Ker so med slovenskimi uporabniki razširjene tudi druge aplikacije za vodenje osebnih financ, prek katerih uvažajo svoje bančne podatke, sklepajo, da je bilo tovrstnih primerov še več.
Prav tako po njihovo vode ne pijejo trditve, da so samo v štirih primerih podatki omogočili identifikacijo strank. Kot so pojasnili, povezave omogočajo uvoz stanj finančnih računov in transakcij do enega leta nazaj. "To vključuje tudi vse opise transakcij. Iz teh opisov je običajno mogoče razbrati ime delodajalca, ime ljudi, s katerimi imate neposredne transakcije (npr. Flik transakcije), lokacije nakupov in življenjske navade. Tudi če ime lastnika računa ni neposredno omenjeno, je verjetno jasno, da je mogoče s takšno količino podatkov sklepati marsikaj in posameznega lastnika računa v mnogih primerih tudi identificirati. Glede na povedano ne verjamemo, da je bila identifikacija mogoča le v štirih primerih, seveda pa težko sklepamo z gotovostjo. Zaradi varovanja zasebnosti uporabnikov do teh podatkov nismo dostopali," pravijo pri Toshlu.
"Kar se tiče obveščanja, pa glede na to, da končni uporabnik Toshl aplikacije brez nesorazmernega napora ni sposoben enoznačno identificirati imetnika računa, ocenjujemo, da ni verjetno, da bi nastala kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zato teh posameznikov nismo obveščali v skladu s 34. členom Splošne uredbe, saj ocenjujemo, da to ni potrebno. Na podlagi prejetih podatkov bi bilo namreč imetnika računa mogoče identificirati le tako, da bi imel uporabnik dostop do podatkovnih baz banke, ki pa ga nima," pa svojo odločitev v komunikaciji s Toshlom utemeljuje pri NLB.
Kaj pravi zakonodaja?
"Upravljavec nadzornemu organu, še manj pa prizadetim posameznikom, ni dolžan javiti prav vsake zaznane kršitve varnosti podatkov. Nadzornemu organu je incident dolžan javiti šele v primeru ugotovljenega verjetnega tveganja, da so zaradi kršitve ogrožene pravice in svoboščine posameznika, posameznika pa je dolžan obvestiti le v primeru ugotovljenega velikega tveganja za pravice in svoboščine posameznikov. Ugotavljanje obstoja tveganja naredi upravljavec sam in v vsakem primeru posebej, glede na konkretne okoliščine incident," pojasnjuje informacijska pooblaščenka.
Iz urada informacijske pooblaščenke so še potrdili, da so bili o dogodku obveščeni in da preverjanje kršitve še poteka. "Lahko pa povemo, da je bila napaka, ki je botrovala napačnemu posredovanju podatkov, že odpravljena," so dodali.
KOMENTARJI (103)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.