Bankadaki gevşek veri koruma uygulamalarını ifşa eden eski bir Royal Bank of Scotland (RBS) çalışanı, ikinci bir düzenleyicinin kendisine yardımcı olamayacağını söylediği için hassas bilgileri süresiz olarak yatağının altında saklamakla karşı karşıya.
Artık NatWest Group’un bir parçası olan banka, muhbirin veriler karşılığında “ödeme istediğini” iddia ediyor ve bunu şiddetle reddediyor.
Yaklaşık 1.600 RBS müşterisinin ayrıntıları, Mali Yürütme Otoritesi’nin (FCA) bilgi uçuranın yardım çağrısını geri çevirmek için Bilgi Komiserliği Ofisi’ne (ICO) katılmasıyla on yıllık bir anlaşmazlığın daha yakın bir çözüme kavuşmamasına rağmen evinde kaldı.
İsmini vermek istemeyen eski işçi, 2006 ile 2009 yılları arasında uzaktan çalışırken evinde bulundurduğu kağıt tabanlı müşteri dosyalarının bankaya iade edilmesini kabul etmesi için mücadele ediyor. Yazılı bir garanti istiyor. Verilerden herhangi birinin kötüye kullanılması durumunda, bankanın sözlü olarak verdiği ancak yazılı olarak vermediği, kendisine herhangi bir yansıması olmayacağı.
2006 yılında, veriler, veri koruma kurallarını ihlal ederek, evden çalışma düzenlemesinin bir parçası olarak işçinin evine gönderildi. Çalışana evden çalışma fırsatı verildi ve bankanın talimatı üzerine, ipotek ve kredi işi oluşturmasına yardımcı olmak için müşteri bankacılığı bilgilerini kullandı. Üç yıl boyunca binlerce kağıt belge aldı.
2012’deki bir soruşturmanın ardından ICO, anlaşmayı bankanın bileklerine vurdu ve eski çalışana müşteri dosyalarının anlaşmazlığa karışmasını sona erdirdiği 2021 yılına kadar güvenli bir şekilde iade edilmesini tavsiye etti. İhbarcıya göre, ICO Temmuz 2021’de – olaya dahil olmasından yaklaşık on yıl sonra – ona bu konuda hiçbir şey yapamayacağını bildirdi çünkü 1998 tarihli Veri Koruma Yasası kapsamında kağıt tabanlı bilgiler değil, yalnızca elektronik bilgiler vardı.
İşinde kullandığı dosyaların çoğu bankaya iade edildi, ancak ICO’nun haberdar olduğu herhangi bir yasal işlem için kanıt olarak 1.600 dosya tuttu.
Banka, belgeler için imzalı ve tarihli bir makbuz sağlayacağını belirterek, “NatWest Group, NatWest Group tarafından sağlanan malzeme planındaki tüm belgelerin [the former worker] teslim tarihinde teslim alınmıştır.”
Ancak eski çalışan Computer Weekly’ye şunları söyledi: “Bankaya bu makbuzun tek başına yeterli olmadığını ve bankanın beni veya ailemi bu müşterilerle ilgili gelecekteki herhangi bir soruşturmaya dahil etmeyeceği konusunda bana gönül rahatlığı sağlamayacağını birçok kez bildirdim. ”
Anlaşmazlığın neden olduğu stresin sağlığı üzerinde zararlı bir etkisi olduğunu ve yardım için başvurabileceği hiçbir yeri olmadığını söyledi.
Geçen yılın sonlarında eski işçi, Rekabet ve Piyasalar Kurumu’nun tavsiyesi üzerine FCA’dan yardım istedi.
FCA’ya gönderdiği bir e-postada ihbarcı şu şikayette bulundu: “NatWest Bank’ı düzenleyen FCA denetçisiyle görüşme hakkım reddediliyor. Toplantıyı, bankanın evimde bırakmaya karar verdiği, müşterileriyle ilgili hassas mali belgelerle ilgili olarak elimde bulunan kanıtları gösterebilmek için talep ettim. Bu belgelerin iadesine yardımcı olmak için bankayı herhangi bir mantıklı görüşmeye sokmak imkansızdı.”
Computer Weekly’ye şikayetleri dikkate almadığını veya ICO’nun görev alanı olduğunu söylediği veri güvenliği endişeleriyle ilgili rehberlik sağlamadığını söyleyen FCA tarafından geri çevrildi.
Ayrıca bireysel firmalar hakkında yorum yapamayacağını da belirtti.
Computer Weekly, ICO’ya eski banka çalışanının müşteri dosyalarıyla ne yapması gerektiğini sordu. Buna cevaben bir ICO sözcüsü, “Önemli olmayan bilgilerin geri gönderilmesinin gecikmesi, bir süredir kişi ile banka arasındaki müzakerelerin konusu olmuştur ve bu sorunu çözmek tarafların görevidir” dedi.
NatWest şunları söyledi: “Eski çalışanın 2012’de yaptığını iddia ettiği gibi, belgelerin iadesi yoluyla durum son on yılda herhangi bir noktada çözülebilirdi. Bunun yerine belgelerin kopyalarını saklamayı seçti ve ödeme talep etti. ve karşılığında bankadan tavizler.”
İhbarcı, dosyaların iadesi için asla para talep etmediğini söyledi.
NatWest, Computer Weekly tarafından belgelerin iadesi için “ödeme talep ettiği” iddiasıyla baskı yaptığında, “[She] bize tazminat almaya hakkı olduğuna inandığını söyledi.”
Tazminat almaya hak kazandığına inandığını ima etmenin belgeler karşılığında para istemekle aynı olup olmadığı sorusuna banka, “Bizim açımızdan yeni bir gelişme yok ve ekleyecek başka bir şeyimiz de yok” yanıtını verdi.
Eski işçi şunları söyledi: “Banka ile imzalamayı kabul ettiğim yazılı sözleşmede herhangi bir mali ödemeden bahsedilmiyor. Hikayem hakkında daha fazla bilgi edinmek isteyen başkaları geldiğinde bankanın benim hakkımda ne söyleyeceğini kontrol edemiyorum. Belgeler karşılığında bankadan herhangi bir ücret talep etmedim.”
Bir yıl önce muhbirle iletişimi kesen NatWest şunları söyledi: “Bu eski çalışan, müşteri bilgilerini vermeyi defalarca reddetmesi nedeniyle 2009 yılında ağır suistimal nedeniyle işten çıkarıldı. Herhangi bir müşteri zararı olmadı ve banka, bu tarihi belgelerin müşteriler için herhangi bir risk teşkil ettiğine inanmıyor.”
NatWest sürekli olarak verilerin eski olduğunu ve müşteri kaybı olmadığını iddia etti. Ancak aradan geçen zamana rağmen tutulan dosyaların bir kısmı bankanın mevcut müşterileri ile ilgili.
NatWest’in müşteri verilerinin geçmişe ait olduğu iddiasını test etmek için, artık kayıtlı bir veri denetleyicisi olan eski çalışan, verilerin bir kısmının mevcut müşterilere ait olduğunu tespit ettiğini iddia etti.
“Bankanın, bu verilerin tarihsel olduğu ve müşteriler için hiçbir risk oluşturmadığı iddiasını test ettim ve bazı verilerin mevcut müşterilere ait olduğunu tespit ettim. Eski RBS çalışanı Haziran 2022’de Computer Weekly’ye verdiği demeçte, bunu hemen bankaya ve ICO’ya bildirdim.
Şubat 2022’de, evinde bir hırsızlık girişimi, gizli belgelerin güvencesiz güvenliğini vurguladı.
İhbarcı, Computer Weekly’e, FCA’nın araştıracağı ve yardımcı olacağı inancıyla birkaç kez başvurduğunu ve daha önce ICO’nun gerektiğinde rehberlik sunacağını bildiği için “kendini güvende hissettiğini” söyledi, ancak bu da durdu.
“Ya bankanın ya da bir düzenleyicinin asla benim yapmadığım bir durum için biraz sorumluluk almasını istiyorum. Kimse ilgilenmiyordu ve çoğu zaman olduğu gibi çok fazla para harcanıyordu” diye ekledi. “Uzun süredir yanımda olan ve bankaya iade etmek istediğim yüzlerce belgeyle ne yapacağımı anlamama yardımcı olacak bir kuruluş bulmaya çalışıyordum. On yılı aşkın bir denemeden sonra, imkansız bir görev haline gelmiş gibi görünüyor.
“Endişelerim her zaman kişisel gizli bankacılık bilgilerine ne olduğu hakkında hiçbir bilgisi olmayan banka müşterileri ile ilgiliydi. Yapmamalıydım ve bu bilgiyi evimde istemiyorum. Yıllardır bilgilerin güvenli bir şekilde iade edilmesi için pazarlık yapmaya çalışıyorum, öyleyse neden banka beni koruyan şartlarla bilgileri iade etmeme izin vermiyor?
Anlaşmazlığın bedelini ödediğini ve kendisini sağlığını etkileyen “muazzam bir baskı” altına soktuğunu söyledi. “Banka bu konuya olağanüstü agresif bir yaklaşım sergilemek için agresif taktikler kullanmayı bıraksaydı ve biraz sağduyu kullansaydı, bu çok çok uzun zaman önce çözülebilirdi.”
İhbarcıya ücretsiz olarak yardım eden bir avukat Computer Weekly’ye şunları söyledi: “Sınırsız zamana ve kaynağa sahip büyük kuruluşlar, rakip olarak gördüklerini yere sermek istiyor gibi görünüyor. Bu sözde muhaliflerin yapmaya çalıştığı tek şey meseleleri adil bir şekilde çözmek ve sonra hayatlarına devam etmek.”