Przepisy RODO zaczęto wykorzystywać do szantażowania firm. Próbuje się sprzedawać certyfikaty, które nic nie znaczą
Do niektórych przedsiębiorców trafiły przed świętami e-maile, w których – powołując się na przepisy o dostępie do informacji publicznej – ktoś żąda odpowiedzi na sześć pytań związanych z wdrożeniem unijnego rozporządzenia 2016/679 o ochronie danych osobowych. „Czekamy na odpowiedź do 15 maja, w innym przypadku kierujemy sprawę do GIODO, sądu i prokuratury. Pragniemy zaoferować pomoc w przygotowaniu wzorów (dokumentacji – red.). Koszt – 4900 zł” – można przeczytać w e-mailu. Dodatkowo podany jest w nim numer telefonu 0700, a więc o podwyższonej płatności. Później następuje wyliczanka nowych obowiązków związanych z RODO i straszenie karami administracyjnymi.
W podpisie pojawiają się nazwy dwóch firm. Pierwsza to znana od lat na rynku spółka doradzająca w zakresie ochrony danych osobowych – ODO 24.
– Nie mamy z tą korespondencją nic wspólnego. W tej chwili analizujemy ją pod kątem możliwości podjęcia kroków prawnych przeciwko jej autorom. Bez wątpienia ktoś próbuje się pod nas podszyć i wykorzystać autorytet, który udało nam się wypracować przez lata – mówi Tomasz Ochocki z ODO 24.
– Co zaś do treści korespondencji, to nie mam wątpliwości, że jest to próba naciągnięcia przedsiębiorców na wątpliwej jakości usługi. Pomijając wszystko inne, nie da się osiągnąć zgodności z RODO poprzez jednorazowy zakup niedookreślonych szablonów dokumentów – dodaje ekspert.
Jako druga wskazana jest spółka iBHP, która jednak nie ma siedziby pod wskazanym adresem. Zadzwoniliśmy również do niej.
– Nie mamy nic wspólnego z tymi e-mailami i całkowicie się od nich odcinamy. Zresztą nasza firma nie prowadzi żadnej kampanii mailingowej – stwierdza krótko Artur Koperek z tej spółki.
Tak więc ktoś podszywa się pod firmy zajmujące się ochroną danych, licząc, że adresaci e-maili nie sprawdzą u źródła. Co chce zyskać? Być może sprzedaż wspomnianych już wzorcowych dokumentów, a być może to, aby adresat e-maila wykręcił numer z podwyższoną płatnością. Przesłaliśmy pytania na podany adres e-mail, ale nie uzyskaliśmy na nie odpowiedzi.
Dziwne certyfikaty
Co powinni zrobić przedsiębiorcy, którzy otrzymają taką lub podobną korespondencję?
– W razie wątpliwości co do zgodności działania określonych firm z prawem, w pierwszej kolejności należy zgłaszać takie przypadki organom ścigania – podpowiada Agnieszka Świątek-Druś, rzecznik prasowy GIODO. – Praktyki polegające z jednej strony na żądaniu przedstawienia określonych informacji pod groźbą „oddania sprawy do GIODO, sądu i prokuratury”, a z drugiej na oferowaniu usług i produktów są naganne. Tym bardziej że można je odczytywać jako próbę wymuszenia skorzystania z oferty – dodaje.
Z dużym prawdopodobieństwem można przypuszczać, że podobne próby szantażowania przedsiębiorców będą się powtarzać. RODO stało się nadzwyczaj nośnym tematem, a przewidziane w nim kary (nawet do 20 mln euro) wywołują strach. Strach, który próbują i będą próbować wykorzystać oszuści.
Poza ewidentnym szantażem stosowane są bardziej wyrafinowane próby monetyzacji RODO. Stosowany jest agresywny marketing, przedsiębiorcy słyszą od telemarketerów, że jeśli nie wykupią certyfikatu, to nie będą zgodni z RODO, a to może oznaczać kontrolę ze strony GIODO.
– Pod zainteresowanie tematyką RODO próbują się podczepiać firmy oferujące podejrzane usługi. Nie ma dnia, by klienci nie informowali mnie np. o ofertach sprzedaży certyfikatów. Nie każdy wie, że prawdziwe certyfikaty będą wystawiane dopiero po 25 maja przez akredytowane podmioty lub też prezesa Urzędu Ochrony Danych Osobowych. Niektórzy mogą dać się nabrać i kupić drukowane na domowych drukarkach świstki, które nic nie znaczą – mówi Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka.
W tym przypadku trudno mówić o złamaniu prawa, gdyż coś jest sprzedawane. Na przykład internetowy kurs, po zakończeniu którego otrzymuje się jakiś certyfikat. – GIODO radzi, by firmy i instytucje otrzymujące różne oferty pomocy w przygotowaniu się do osiągnięcia zgodności z nowymi przepisami dokonywały ich wyboru w odpowiedzialny i rozważny sposób. W pierwszej kolejności powinny same dokonać przeglądu swoich działań w tym zakresie i zdefiniować swoje potrzeby – podpowiada Świątek-Druś.
Za zgodą poszkodowanego
Podczas prac nad projektem ustawy o ochronie danych osobowych zgłaszano Ministerstwu Cyfryzacji jeszcze jedną obawę – o wysyp organizacji, które powstaną tylko po to, by wyłapywać niedociągnięcia we wdrożeniu RODO i szantażować przedsiębiorców złożeniem na nich skargi. Tak przed laty działały quasi-stowarzyszenia zajmujące się wyszukiwaniem niedozwolonych klauzul w regulaminach sklepów internetowych.
– Możliwość pojawiania się tzw. fake organizacji na wzór łowców klauzul była przez ministerstwo traktowana bardzo poważnie na etapie tworzenia przepisów. Niestety, bardzo trudno jest zaprojektować formułę, która uchroni nas przed takim działaniem, ale też nie zamknie drogi organizacjom, których intencje są szczytne – mówi dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w MC. – Ostatecznie zdecydowaliśmy się w projekcie uzależnić możliwość występowania w postępowaniu organizacji społecznej od zgody osoby, której dane dotyczą – wyjaśnia.
Obaw przedsiębiorców nie podziela Katarzyna Szymielewicz z Fundacji Panoptykon.
– Organizacje społeczne działają z otwartą przyłbicą, dlatego nie widzę zagrożenia, że nagle zaczną być tworzone tylko po to, by szantażować przedsiębiorców. Zwłaszcza że same nie będą mogły być stroną w postępowaniu, jeśli osoba, której ochronę danych naruszono, nie wyrazi na to zgody. Dodatkowym zabezpieczeniem jest też ocena ze strony prezesa UODO czy wreszcie samego sądu – ocenia prezeska Panoptykonu.
– Dużo większe zagrożenie widzę ze strony takich jak opisywane firmy krzaki, które mogą próbować żerować na nie do końca zorientowanych przedsiębiorcach. Niestety dużą część odpowiedzialności za to ponoszą organy publiczne, które nie przygotowały kampanii informacyjnej z prawdziwego zdarzenia. W efekcie ludzie rzeczywiście nie wiedzą, jak powinni przygotować się do RODO – dodaje.
Etap legislacyjny
Projekt ustawy o ochronie danych osobowych oczekuje na pierwsze czytanie w Sejmie