Biuro Komisarza ds. Informacji (ICO) zakończyło spór między NatWest a byłym pracownikiem oddziału o poufne akta klientów przechowywane w domu byłego pracownika.
Informacje o klientach w formie papierowej były częścią umowy o pracę z domu zawartej z byłym kierownikiem oddziału pracownika, która obowiązywała w latach 2006-2009.
Jednak około 1600 papierowych teczek zawierających poufne dane klientów pozostaje w domu byłego pracownika, który od ponad 10 lat próbuje je zwrócić. Należą do nich dokumenty z nazwami klientów, adresami i danymi kontaktowymi, a także podsumowanie/informacje o historii konta.
W 2012 roku, po dochodzeniu, ICO uderzyło bank w nadgarstki nad układem i od tego czasu doradza byłemu pracownikowi w sprawie bezpiecznego zwrotu akt klientów.
Według byłej pracowniczki, która chciała pozostać anonimowa, ICO poinformowało ją w lipcu 2021 r. – prawie dziesięć lat po tym, jak się w to zaangażowało – że nic nie może na to poradzić, ponieważ tylko informacje elektroniczne są objęte ochroną Ustawa o ochronie danych 1998 a nie informacje w formie papierowej, format, w jakim je miała.
Computer Weekly zapytał ICO, dlaczego nie powiedział byłemu pracownikowi, że nie może nic zrobić wcześniej, ale tak odmówił komentarza.
ICO potwierdziło Computer Weekly, że zakończyło swoje zaangażowanie w spór. „ICO doradzało w kwestiach ochrony danych stronom zaangażowanym w spór pracowniczy datowany na 2009 rok.
„Jesteśmy usatysfakcjonowani, że potencjalne ryzyko dla osób fizycznych nie uzasadnia dalszych działań, mimo zmiany prawa” [General Data Protection Regulation] od tamtej pory.”
RODO, które zostało wprowadzone w 2018 roku, oznacza, że banki muszą informować klientów o potencjalnych naruszeniach ich danych.
Była pracownica pracowała w oddziale NatWest od 1998 r., sprzedając kredyty hipoteczne i pożyczki, a od 2006 r. zaoferowano jej możliwość pracy w domu z powodów osobistych. Na polecenie banku wykorzystała informacje bankowe klientów, aby pomóc jej uzyskać kredyt hipoteczny i działalność pożyczkowa.
W ramach przygotowań do pracy, które trwały do 2009 roku, otrzymała od swojego przełożonego dokumenty papierowe z informacjami o klientach. Były one odbierane w oddziale co tydzień lub wysyłane przez jej skrzynkę pocztową w różnym czasie.
Kiedy była pracownica zorientowała się, że dział HR nie wie o jej organizacji pracy, skontaktowała się z infolinią banku i wyjaśniła swoje obawy dotyczące informacji przechowywanych w jej domu. Została poproszona o przekazanie wszystkiego na piśmie swojemu przełożonemu, co zrobiła, nieumyślnie narażając gwizdek na luźne praktyki bezpieczeństwa danych.
Po przejściu przez bank procedury zażaleń została zwolniona w maju 2009 roku za niezwrócenie dokumentacji. Oficjalnym powodem jej zwolnienia było rażące wykroczenie i „rażące nieposłuszeństwo w następstwie rozsądnego polecenia starszego pracownika”.
Sąd pracy podtrzymał później decyzję.
Była pracownica powiedziała, że FSA doradził jej, aby przed przekazaniem informacji otrzymała pokwitowanie z banku, aby chronić swoje stanowisko przed ewentualnymi sporami sądowymi w przyszłości.
W 2009 r. ICO powiedział RBS: „Nie jest nierozsądne, aby obie strony podpisały zobowiązanie/pokwitowanie, które potwierdzałoby to [the former employee] przekazała wszystkie posiadane przez nią dane klienta, a bank uznając to, co przekazała, jest tym, co posiadała, zwłaszcza że bank nie ma ewidencji, jakie informacje zostały przekazane [her]”.
Jedenaście lat później NatWest ostatecznie zgodził się wystawić pokwitowanie dokumentów, ale były pracownik zwrócił się do banku o odszkodowanie od przyszłych roszczeń związanych z przechowywaniem informacji w jej domu i wykonywaną przez nią pracą, której odmówił. do zrobienia.
W dochodzeniu z 2012 r. ICO stwierdziło, że bank nie przestrzegał zasad ochrony danych, zezwalając pracownikowi oddziału na pracę w domu, ale nie podjęto dalszych działań.
ICO powiedział wówczas: „Chociaż ten incydent był „lokalnym” problemem na poziomie oddziału, RBS nie zachował zgodności z siódma zasada ochrony danych w danym okresie. Obie strony zostały poinformowane o tej decyzji. Biuro nie podjęło dalszych działań, a sprawa została zamknięta i pozostaje zamknięta.”
W ramach tego śledztwa były pracownik przekazał ICO tysiące akt, które następnie zostały zwrócone NatWest. Zatrzymała jednak pudełko zawierające 1600 akt klientów, aby przedstawić jej dowody w ramach wszelkich postępowań prawnych, o których ICO jest świadoma.
Były pracownik chętnie odda akta, ale chce otrzymać odszkodowanie z tytułu przyszłych roszczeń byłych i obecnych klientów NatWest. Negocjacje znalazły się w impasie, a ICO wycofało swoje wsparcie doradcze.
Rzecznik NatWest Group powiedział: „Ten były pracownik został zwolniony w 2009 roku za rażące wykroczenia w wyniku jej powtarzającej się odmowy zwrotu informacji o klientach.
„Bank zrozumiał, że cała dokumentacja została zwrócona za pośrednictwem ICO w 2012 roku. Później okazało się, że to nieprawda. W 2019 r. była pracownica twierdziła, że w rzeczywistości zachowała dodatkową dokumentację.
„Bank kontynuuje próby odzyskania tych informacji. Podobnie jak w przypadku dokumentacji otrzymanej w 2012 roku, nie doszło do szkody dla klienta i nie ma obaw, że została udostępniona innym stronom”.
Prawnik IT Dai Davis zapytał, dlaczego bank nie otrzymał nakazu sądowego o zwrocie dokumentów. „Bank prawdopodobnie podjął decyzję, że w sumie nie jest tego wart. Dane są przestarzałe i tak naprawdę nie stanowi to ryzyka” – powiedział.