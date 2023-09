Uporabniki mobilne denarnice Toshl so prejeli sporočilo, da je NLB nehote razkrila podatke o računih svojih strank. O napaki jih je 7. avgusta obvestil uporabnik, potem ko so se mu poleg lastnih finančnih računov pri NLB uvozili tudi podatki finančnih računov druge osebe. " Podatke je prek povezave posredovala Nova Ljubljanska banka, na naši strani nismo odkrili nepravilnosti ," trdijo pri Toshlu.

Iz NLB so nam sporočili, da so v dneh po dogodku o njem obvestili najprej Banko Slovenije, nato pa še urad informacijske pooblaščenke. Štiri stranke, katerih osebni podatki bi lahko bili razkriti, pa so kontaktirali šele v začetku septembra. Kot so pojasnili, so to storili, potem ko so izvedli celotno analizo dogodka in preverili posamezne poslane podatke z vidika možne identifikacije strank.

O napaki so nemudoma obvestili tehnično pomoč pri NLB, ki jo je naslednji dan odpravila. Sporno pa se jim zdi, so dodali, da banka o spodrsljaju ni obvestila uporabnikov, čeprav, kot so zapisali v sporočilu, bi bilo iz podatkov mogoče ugotoviti, za koga konkretno gre.

Kar pa v NLB zanikajo in zagotavljajo, da bi na podlagi prikazanih transakcij lahko identificirali le štiri uporabnike. Trdijo tudi, da napaka ni zadevala več sto strank, kot piše v sporočilu, ki so ga dobili uporabniki Toshla, ampak nekaj deset. "Zaradi napake posredovani podatki (skupaj nekaj deset strank NLB in računov) niso omogočali identifikacije posameznika, razen v štirih primerih. Te štiri stranke je NLB o napaki nemudoma obvestila skladno z veljavno zakonodajo in GDPR," so zagotovili in zavrnili navedbe Toshla, da poskušajo zadevo pomesti pod preprogo. Nemudoma v tem primeru pomeni mesec dni po odkriti napaki.

Od kod torej Toshlu informacije o več sto razkritih računih? "Nekaj dni po tem, ko smo NLB obvestili o napaki, so nam poslali zahtevo za ukrepanje s seznamom privolitev uporabnikov (consent ID) in računov (resource ID), pri katerih so nas prosili za izbris. Na seznamu je bilo 234 računov," so nam pojasnili.