Iz NKBM so razposlali svojim strankam, ki prek njene borzne hiše trgujejo z vrednostnimi papirji, elektronsko pošto, v kateri so prejemniki presenečeno spoznali, da so v njej zapisani podatki neke druge stranke NKBM. V poslanem dopisu je navedeno ime, naslov, davčna številka in celoten promet z vrednostnimi papirji v lanskem letu. Pod dopis sta podpisana Boštjan Muhič, koordinator, in Janko Grosek, vodja oddelka spremljave zakladništva in investicijskega bančništva v NKBM.
Razkrili tajne podatke 193 strank NKBM
V Dnevniku smo navezali stik s stranko banke, katere izpis je pristal na napačnem naslovu. »Na to, da bi nekdo drug prejel moj izpis, nisem niti pomislila,« je bila presenečena komitentka NKBM, »seveda pričakujem, da banka z največjo skrbnostjo ravna z zaupanimi najbolj varovanimi podatki. Glede na to, da očitno nisem edina prizadeta stranka, bo ta zgodba še morala doživeti neki epilog.«
V banki so še isti dan skušali sanirati blamažo. Vodja oddelka Grosek in njegovi sodelavci so do poznega večera klicali prizadete stranke, se jim opravičevali in hkrati zatrjevali, da so napačne dopise poslali le manjšemu številu komitentov. Tistim, ki jih niso dobili po telefonu, so opravičilo poslali po elektronski pošti.
»Gre za tehnično napako, ki je že odpravljena,« je na Dnevnikovo vprašanje danes odgovoril tiskovni predstavnik banke Jure Bračko. »Razkriti so bili podatki 193 oseb. Pri banki ima trgovalni račun več kot 18.000 komitentov. Danes smo priklicali vse komitente in jim napako pojasnili. Interne postopke in ukrepe nadaljujemo. Napaka je odpravljena. Sredstva komitentov so varna.«
Banka si je obglavila oddelek informacijske varnosti
Banka je zaradi te napake kršila lani sprejeto uredbo EU o varstvu osebnih podatkov, ki predpisuje zelo visoke denarne kazni, te lahko znašajo celo do štiri odstotke letnega prihodka podjetja ali 20 milijonov evrov, odvisno od tega, kateri znesek je višji. Odvetnik Jurij Preložnik, strokovnjak s področja varstva osebnih podatkov, je prepričan, da banki ne bo treba plačati zagrožene denarne kazni. »Izrekanje glob v skladu z določili uredbe EU ni možno, ker še ni sprejet nov zakon o varstvu osebnih podatkov,« je opozoril. »Seveda se sme postopek sprožiti tudi kdaj pozneje, zastaralni rok je dve leti, vendar se bo tedaj postavilo vprašanje milejšega zakona, ki je veljal v času storitve prekrška.«
Banka je že danes podala samoprijavo pristojnemu organu, to je uradu informacijske pooblaščenke. »Pri zaznavi kršitve varnosti osebnih podatkov je za upravljalca najpomembneje to, da takoj sprejme ukrepe za odpravo kršitev ter ublažitev morebitnih škodljivih učinkov,« nam je pojasnila Mojca Prelesnik. Prijavo bodo zdaj obravnavali državni nadzorniki urada, ki lahko v okviru inšpekcijskega postopka naložijo popravljalne ukrepe za odpravo ugotovljenih nepravilnosti in pomanjkljivosti. Banka bo morala razkritje bančne tajnosti prijaviti še Banki Slovenije, od koder so nam sporočili, da so z dogodkom seznanjeni, vendar nam ne morejo posredovati nobenih informacij, saj so vsi postopki v zvezi z bankami, ki jih vodi Banka Slovenije, zaupne narave.
Prizadeti komitenti imajo ne nazadnje pravico terjati odškodnino, tudi z vložitvijo skupinske tožbe.
Podrobnosti o tem, zakaj in kako se je banki pripetila tako huda tehnična napaka na področju informacijske varnosti, niso znane. V Dnevniku smo v preteklosti veliko poročali o skrb zbujajočih razmerah na področju informacijske varnosti v NKBM. Banko so morali po letu 2017 zapustiti nekateri izkušeni kadri, najbolj ostri kadrovski rezi so se dogajali v času, ko je položaj vodje sektorja za fizično in informacijsko varnost zasedal Mirko Šimenko, soprog poslanke SDS Suzane Lep Šimenko. Lani je moral banko zapustiti tudi on. Zdaj je Šimenko vršilec dolžnosti direktorja občinske uprave občine Videm pri Ptuju.
Izvedene globoke kadrovske reze na ključnih položajih v banki so komitenti druge največje slovenske banke začutili že aprila lani. Računalniški hrošč je tedaj povzročil večkratno bremenitev trajnikov, na transakcijski računih pa so se pojavila tudi plačila storitev, na katere komitenti sploh niso naročeni. V tistem času je uprava odstopila od projekta uvedbe novega bančnega informacijskega sistema. Za izvedbo več kot 25 milijonov evrov vrednega posla, ki ga je banka oddala grosupeljskemu podjetju Asseco SEE, je bil zadolžen zdaj že bivši član uprave Josef Groeblacher.
