ICO met fin à son implication dans le différend entre la NatWest Bank et le dénonciateur de violations de données
5 min read
Le Bureau du commissaire à l’information (ICO) a mis fin à son implication dans un différend entre NatWest et un ancien employé de succursale au sujet de fichiers clients confidentiels stockés au domicile de l’ancien employé.
Les informations client, au format papier, faisaient partie d’un accord de télétravail avec l’ancien directeur d’agence de l’ouvrier, qui s’est déroulé de 2006 à 2009.
Mais environ 1 600 dossiers papier contenant des coordonnées confidentielles de clients restent au domicile de l’ex-employé, qui tente de les restituer depuis plus de 10 ans. Il s’agit notamment de documents contenant les noms, adresses et coordonnées des clients, ainsi que des informations récapitulatives/historiques du compte.
En 2012, après une enquête, l’ICO a giflé les poignets de la banque sur l’arrangement et conseille depuis l’ancien employé sur le retour en toute sécurité des fichiers clients.
Selon l’ancienne travailleuse, qui a souhaité garder l’anonymat, l’ICO l’a informée en juillet 2021 – près d’une décennie après son implication – qu’elle ne pouvait rien y faire car seules les informations électroniques étaient couvertes par le Loi de 1998 sur la protection des données et non des informations sur papier, le format qu’elle avait.
Computer Weekly a demandé à l’ICO pourquoi il n’avait pas dit à l’ancien travailleur qu’il ne pouvait rien faire plus tôt, mais il refusé de commenter.
L’ICO a confirmé à Computer Weekly qu’il avait mis fin à son implication dans le différend. « L’ICO a fourni des conseils sur les questions de protection des données aux parties impliquées dans un conflit du travail remontant à 2009.
“Nous sommes convaincus que le risque potentiel posé aux individus ne justifie pas d’autres mesures, malgré un changement dans la loi [General Data Protection Regulation] Depuis cette époque.”
Le RGPD, qui a été introduit en 2018, signifie que les banques doivent informer les clients des violations potentielles de leurs données.
L’ancienne employée travaillait dans une succursale de NatWest depuis 1998, vendant des prêts hypothécaires et des prêts, et on lui a offert la possibilité de travailler à domicile pour des raisons personnelles à partir de 2006. Sur les instructions de la banque, elle a utilisé les informations bancaires du client pour l’aider à générer entreprise de prêts.
Dans le cadre de l’organisation du travail, qui s’est poursuivie jusqu’en 2009, elle a reçu de son responsable des documents papier contenant des informations client. Ceux-ci étaient soit collectés à la succursale chaque semaine, soit affichés dans sa boîte aux lettres à divers moments.
Lorsque l’ancienne travailleuse s’est rendu compte que le service des ressources humaines n’était pas au courant de ses modalités de travail, elle a contacté une ligne de conseil au sein de la banque et a expliqué ses inquiétudes concernant les informations stockées chez elle. On lui a demandé de tout mettre par écrit à son responsable, ce qu’elle a fait, dénonçant par inadvertance les pratiques laxistes en matière de sécurité des données.
Après avoir suivi la procédure de règlement des griefs de la banque, elle a été licenciée en mai 2009 pour ne pas avoir rendu les documents. Le motif officiel de son licenciement était une faute grave et « une désobéissance flagrante à la suite d’une instruction raisonnable d’un employé plus ancien ».
Un tribunal du travail a par la suite confirmé la décision.
L’ancienne employée a déclaré que la FSA lui avait conseillé d’obtenir un reçu de la banque avant de rendre les informations afin de protéger sa propre position contre d’éventuels litiges futurs.
En 2009, l’ICO a déclaré à RBS : « Il n’est pas déraisonnable pour les deux parties de signer un engagement/un reçu qui reconnaîtrait que [the former employee] a remis toutes les données client en sa possession, et la banque reconnaissant ce qu’elle a remis est ce qu’elle avait en sa possession, d’autant plus que la banque n’a aucune trace des informations qui ont été données à [her]. “
Onze ans plus tard, NatWest a finalement accepté de donner un récépissé pour les documents, mais l’ancienne travailleuse a demandé à la banque de l’indemniser contre de futures réclamations liées au stockage des informations dans sa maison et au travail qu’on lui a demandé de faire, ce qu’elle a refusé. faire.
Dans son enquête de 2012, l’ICO a constaté que la banque n’avait pas respecté les règles de protection des données en autorisant le travail à domicile à l’employé de la succursale, mais aucune autre mesure n’a été prise.
L’ICO a déclaré à l’époque: «Bien que cet incident soit un problème« local »au niveau de la succursale, RBS n’a pas maintenu la conformité avec le septième principe de protection des données durant la période considérée. Les deux parties ont été informées de cette décision. Aucune autre mesure n’a été prise par ce bureau et l’affaire a été classée et reste fermée. »
Dans le cadre de cette enquête, l’ancien travailleur a remis des milliers de dossiers à l’ICO, qui ont ensuite été renvoyés à NatWest. Cependant, elle a conservé une boîte contenant 1 600 fichiers clients pour témoigner de toute procédure judiciaire, dont l’ICO a connaissance.
L’ancien employé est impatient de rendre les fichiers mais veut être indemnisé contre les réclamations futures des clients anciens et actuels de NatWest. Les négociations sont dans une impasse et l’OIC a retiré son soutien consultatif.
Un porte-parole de NatWest Group a déclaré : « Cette ancienne employée a été licenciée en 2009 pour faute grave en raison de son refus répété de renvoyer les informations client.
« La banque a compris que toute la documentation avait été restituée, via l’ICO, en 2012. Il s’est avéré par la suite que c’était faux. En 2019, l’ancienne employée a allégué qu’elle avait, en fait, conservé des documents supplémentaires.
« La banque poursuit ses tentatives pour récupérer ces informations. Comme pour la documentation reçue en 2012, il n’y a eu aucun préjudice pour le client et il n’y a aucune inquiétude qu’il ait été partagé avec d’autres parties.
L’avocat informatique Dai Davis a demandé pourquoi la banque n’obtient pas d’ordonnance du tribunal pour que les documents soient rendus. «La banque a probablement pris une décision selon laquelle, dans l’ensemble, cela n’en vaut pas la peine. Les données sont périmées et ce n’est pas vraiment un risque », a-t-il déclaré.
