V četrtek je aplikacija za vodenje osebnih financ Toshl Finance uporabnike presenetila z opozorilom, da je NLB nehote razkrila podatke o računih številnih uporabnikov, vendar incident poskuša pomesti pod preprogo. Avgusta so zaznali napako, ko so se uporabniku v njihovi aplikaciji prikazali finančni podatki druge osebe, te pa je posredovala NLB. Ni šlo za osamljen primer, številne stranke NLB so bile prizadete, so zapisali v elektronskem sporočilu uporabnikom.
Kljub opozorilom Toshla NLB še vedno ni obvestila svojih strank. Od incidenta je minilo že več kot 50 dni. Takšno ravnanje v Toshlu ostro kritizirajo, so zapisali v objavi na družbenem omrežju LinkedIn. Zanje je takšno ravnanje z vidika varovanja zasebnosti in etičnih standardov nesprejemljivo. Ker NLB ni ukrepala, je pobudo prevzel Toshl in obvestil uporabnike. Ob izpostavitvi napake NLB so pozvali pristojne regulatorje k preučitvi zadeve. Kar omenjajo kot posebno skrb vzbujajoče, je trditev, da so bili posredovani opisi transakcij, iz katerih je mogoče razbrati osebne podatke.
NLB obtožbe zavrača
V četrtek zvečer so se na objavo Toshla prek LinkedIna o razkritju nepravilnosti odzvali tudi na NLB. Navedbe Toshla preko družbenega omrežja zavračajo.
NLB: "Navedba ponudnika Toshl, da smo zadevo želeli pomesti pod preprogo, je torej v celoti neresnična, obvestilo strankam pa nekorektno in neskladno z dobro poslovno prakso.''
Kot še pišejo, je do tehnične napake prišlo na vmesniku za posredovanje informacij o računih tretjim ponudnikom storitev, ponudnikom mobilnih denarnic, med katerimi je tudi Toshl.
Zaradi napake je bilo mogoče identificirati štiri uporabnike
''Zaradi napake posredovani podatki (skupaj nekaj deset strank NLB in računov) niso omogočali identifikacije posameznika razen v štirih primerih. Te štiri stranke smo o napaki obvestili skladno z veljavno zakonodajo in GDPR,'' so zapisali v NLB. Ostale uporabnika Toshla, katerih podatki o računih so bili nehote razkriti, vendar niso omogočali idetifikacije osebe, niso obvestili, ker to tudi ni bilo potrebno, so nam pojasnili na NLB.
Pojasnjujejo, da so v začetku avgusta prejeli informacijo, da je pri nekaj strankah, ki so uporabnice mobilne denarnice Toshl, prišlo do prikazovanja podatkov o transakcijah, ki jih niso opravile. ''Tehnično napako smo nemudoma odpravili in o njej v skladu z zakonodajo obvestili pristojne regulatorje, urad informacijske pooblaščenke z vidika varstva osebnih podatkov, pa tudi Banko Slovenije.'' Poudarjajo, da dosledno zagotavljajo poslovanje skladno z veljavno zakonodajo. Na NLB še poudarjajo, da so podatki o računih strank v NLB varni in da ni prišlo do zlorabe informacij oziroma premoženja.
Sporočila za javnost o tem na spletni strani NLB nismo našli.
Kaj pravijo v Toshlu
Na odgovor NLB se je prek družbenega omrežja LinkedIn odzval tudi izvršni direktor Toshla Matic Bitenc. Zapisal je, da na komentar, da gre za grozljiv in nezaslišan odnos do zasebnosti strank in da jih nameravajo obveščati, če jih oni ne bodo, niso dobili odgovora.
Matic Bitenc: Toshl: ''Navkljub našim pozivom, naj uporabnike obvestijo in nam tudi posredujejo način obveščanja, nam banka tega ni sporočila, ko so obvestili tiste štiri uporabnike.''
Dodaja, da so jim z NLB posredovali seznam privolitev uporabnikov in računov za odstranitev 234 vnosov. Dodaja, da gre le za vnose pri Toshlu, koliko jih je pri drugih ponudnikih, ostaja neznano.
So incident pravočasno prijavili informacijskemu pooblaščencu?
Pomembno vprašanje, ki se poraja, je, ali so o incidentu obvestili informacijskega pooblaščenca. Na NLB zatrjujejo, da so ga. Obvestilo je namreč treba podati najkasneje v 72 urah. ''Splošna uredba uvaja dolžnost obveščanja informacijskega pooblaščenca o zaznanih kršitvah varnosti osebnih podatkov, če je (vsaj) verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najkasneje pa v 72 urah,'' izhaja s spletne strani informacijskega pooblaščenca.
Bloomberg Mercury
Iz urada informacijskega pooblaščenca so za Bloomberg Adria pojasnili, da jih je NLB 11. avgusta obvestil o kršitvi varnosti osebnih podatkov.
Informacijski pooblaščenec: "Preverjanje javljene kršitve varnosti podatkov s strani IP še poteka, prav tako sprejetih aktivnosti banke usmerjenih v preprečevanje tovrstnih incidentov v prihodnje, zato v tem trenutku več podrobnosti ne moremo podati, lahko pa povemo, da je bila napaka, ki je botrovala napačnemu posredovanju podatkov, že odpravljena."
Neukrepanje ob zaznavi kršitev varnosti osebnih podatkov in neobveščanje nadzornega organa, ko je to treba, je kršitev, za katero je predpisana globa do 10 milijonov evrov oziroma do dveh odstotkov letnega prometa. Upravljavca lahko doleti kazen za kršitev in kazen, če ni izpolnil zahteve po obveščanju. K temu sodijo tudi popravljalni ukrepi, ki jih lahko nadzorni organ naloži upravljavcu.
Zgodbo spremljamo in jo bomo dopolnjevali.
.webp){kind=icon}
