2 czerwca 2023 roku osoby posiadające włączone Alerty BIK otrzymały informację o zarejestrowaniu nowych informacji na swój temat w Biurze Informacji Kredytowej (BIK). Okazało się, że do bazy kredytobiorców trafiły dane klientów Twisto (FinTech oferujący na polskim rynku m.in. płatności odroczone) posiadających przyznany limit ale z niego nie korzystający. Jak się okazało, firma przekazała informację o większej grupie klientów niż powinna. W związku z obowiązującymi przepisami ustawy o ochronie danych osobowych, można stwierdzić, że nastąpił wyciek danych Twisto.
7 czerwca 2023 Twisto rozesłało do klientów maila z informacją, że we wskazanym powyżej dniu wystąpiło naruszenie ochrony danych osobowych w spółce przez nieumyślnie przesłanie informacji o umowie Twisto do Biura Informacji Kredytowej.
W przesłanym mailu, zgodnie z wymogami ustawy, oprócz poinformowania osób, których sprawa dotyczy, dodatkowo spółka informuje o charakterze zdarzenia oraz konsekwencjach i możliwych zagrożeniach. Z tego artykułu dowiesz się, czy wyjaśnienia Twisto są wystarczające.
Na czym polegał wyciek danych Twisto?
Firma Twisto, w związku z wejściem w życie, od 18 maja 2023 roku, kolejnych przepisów ustawy antylichwiarskiej, była zobowiązana do podpisania umowy z BIK i systematycznego przekazywania danych o aktywnych zobowiązaniach kredytowych swoich klientów oraz weryfikowania wniosków klientów o przyznanie lub zwiększenie limitu kredytowego.
Niestety, jak wynika z informacji przekazanych przez Twisto, oprócz wymienionych danych osób spłacających zobowiązania zostały przekazane dane klientów widniejących w bazie firmy, posiadających umowę z Twisto ale niekorzystających z przyznanego limitu, co nie powinno mieć miejsca. W związku z tym, że Twisto nie informuje o liczbie osób, których dane przekazano, może się okazać, że tak naprawdę zostały wysłane do BIK dane wszystkich klientów.
Jakie są konsekwencje wycieku danych dla klientów Twisto?
Na szczęście dane wyciekły do instytucji zaufania publicznego jaką jest Biuro Informacji Kredytowej. W przypadku wycieku danych Twisto nie mamy do czynienia z udostępnieniem danych osobowych klientów w internecie (lub wykradzeniem danych), które mogłyby zostać wykorzystane do popełnienia przestępstw w postaci kradzieży pieniędzy z kont bankowych, czy też zaciągania kredytów na te dane.
Długofalowo wyciek danych Twisto nie powinien mieć żadnych konsekwencji dla klientów. Pojawienie się danych o zobowiązaniu Twisto w BIK było problemem dla osób, które starały się w tym momencie o kredyt, szczególnie hipoteczny. Dodatkowe zobowiązanie w raporcie BIK mogło wpłynąć na ocenę zdolności kredytobiorcy w banku rozpatrującym wniosek.
Należy podkreślić, że przez kilka dni dane te były dostępne dla innych podmiotów takich jaki banki i instytucje finansowe, ale nie były ogólnodostępne, tylko wyłącznie dla tych, które dokonywały weryfikacji klienta w bazie BIK, zarówno na wniosek danego klienta, jak także w ramach zapytań monitorujących. Jeśli miałeś zaległości w spłacie zobowiązań w Twisto, taka informacja mogła zostać udostępniona tej instytucji finansowej.
Jak na wyciek danych zareagowało Twisto?
Zgodnie z informacją przekazaną klientom po stwierdzeniu, że zostały przekazane niewłaściwe dane, Twisto zwróciło się do BIK z prośbą o usunięcie danych. Zgodnie z informacją BIK usunięcie miało zostać wykonane w ciągu najbliższych 2-3 dni roboczych od zgłoszenia (na dzień dzisiejszy dane zostały usunięte).
Po drugie Twisto dokonało zgłoszenia naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych (UODO).
Oczywiście Twisto analizuje, możliwe do wprowadzenia rozwiązania, które pozwolą uniknąć takiej sytuacji w przyszłości. W tym przypadku doszło do błędu ludzkiego więc oprócz wprowadzenia wewnętrznych procedur powinny być zastosowane rozwiązania techniczne uniemożliwiające wysłanie niewłaściwych danych do BIK.
Czy działanie Twisto w sprawie wycieku danych było prawidłowe? Postępowanie firmy było prawidłowe, aczkolwiek wykrycie błędu nastąpiło w wyniku zgłoszenia “współpracownika” Twisto, choć pewnie mogło też to nastąpić ze strony “niezadowolonego klienta”.
Zgodnie z ustawą o ochronie danych osobowych, każdorazowy przypadek naruszenia wymaga zgłoszenia UODO co zostało uczynione. Być może niedługo ustosunkuje się do tego UODO i przekaże Twisto informacje co do dalszego postępowania.
Jeśli masz wątpliwości możesz skontaktować się z Inspektorem Ochrony Danych Osobowych Twisto Polska: e-mail iod@twisto.pl lub pod adresem Twisto Polska Sp. z o.o., ul. Smolna 40, 00-375 Warszawa.