Unijne rozporządzenie o ochronie danych osobowych (RODO) jeszcze nie jest stosowane, a już służy do straszenia przedsiębiorców. Przed świętami zaczęli oni otrzymywać e-maile z żądaniem informacji na temat wdrożenia nowych reguł w firmie. Brak odpowiedzi ma skutkować zawiadomieniem generalnego inspektora ochrony danych osobowych, prokuratury i sądu.
Oszuści – jako alternatywę – proponują kupno bliżej nieokreślonej dokumentacji wzorcowej za 4,9 tys. zł lub audyt za 25 tys. zł. Podano też numer telefonu o podwyższonej płatności (+48 700 …).
W podpisie widnieją nazwy dwóch znanych firm doradczych. Te jednak – jak sprawdziliśmy – nie mają z akcją nic wspólnego.
– – ostrzega Agnieszka Świątek-Druś, rzecznik prasowy GIODO.
Eksperci mówią zaś wprost – nie należy ulegać szantażystom. Zwłaszcza że przypadki tego typu będą się powtarzać. Poza ordynarnym szantażem stosowane są też agresywne techniki marketingowe.
– – mówi Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka.
Podczas prac nad polskimi przepisami o ochronie danych zwracano też uwagę na ryzyko wysypu organizacji, których jedynym celem będzie szantażowanie przedsiębiorców: tropienie najdrobniejszych nieprawidłowości i grożenie skargą do sądu, na podobnych zasadach jak przed laty robili łowcy klauzul niedozwolonych (abuzywnych).
– – wyjaśnia dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji.
Do niektórych przedsiębiorców trafiły przed świętami e-maile, w których – powołując się na przepisy o dostępie do informacji publicznej – ktoś żąda odpowiedzi na sześć pytań związanych z wdrożeniem unijnego rozporządzenia 2016/679 o ochronie danych osobowych. „Czekamy na odpowiedź do 15 maja, w innym przypadku kierujemy sprawę do GIODO, sądu i prokuratury. Pragniemy zaoferować pomoc w przygotowaniu wzorów (dokumentacji – red.). Koszt – 4900 zł” – można przeczytać w e-mailu. Dodatkowo podany jest w nim numer telefonu 0700, a więc o podwyższonej płatności. Później następuje wyliczanka nowych obowiązków związanych z RODO i straszenie karami administracyjnymi.
W podpisie pojawiają się nazwy dwóch firm. Pierwsza to znana od lat na rynku spółka doradzająca w zakresie ochrony danych osobowych – ODO 24.
– – mówi Tomasz Ochocki z ODO 24.
– – dodaje ekspert.
Jako druga wskazana jest spółka iBHP, która jednak nie ma siedziby pod wskazanym adresem. Zadzwoniliśmy również do niej.
– – stwierdza krótko Artur Koperek z tej spółki.
Tak więc ktoś podszywa się pod firmy zajmujące się ochroną danych, licząc, że adresaci e-maili nie sprawdzą u źródła. Co chce zyskać? Być może sprzedaż wspomnianych już wzorcowych dokumentów, a być może to, aby adresat e-maila wykręcił numer z podwyższoną płatnością. Przesłaliśmy pytania na podany adres e-mail, ale nie uzyskaliśmy na nie odpowiedzi.
Dziwne certyfikaty
Co powinni zrobić przedsiębiorcy, którzy otrzymają taką lub podobną korespondencję?
– – podpowiada Agnieszka Świątek-Druś, rzecznik prasowy GIODO. – – dodaje.
Z dużym prawdopodobieństwem można przypuszczać, że podobne próby szantażowania przedsiębiorców będą się powtarzać. RODO stało się nadzwyczaj nośnym tematem, a przewidziane w nim kary (nawet do 20 mln euro) wywołują strach. Strach, który próbują i będą próbować wykorzystać oszuści.
Poza ewidentnym szantażem stosowane są bardziej wyrafinowane próby monetyzacji RODO. Stosowany jest agresywny marketing, przedsiębiorcy słyszą od telemarketerów, że jeśli nie wykupią certyfikatu, to nie będą zgodni z RODO, a to może oznaczać kontrolę ze strony GIODO.
– – mówi Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka.
W tym przypadku trudno mówić o złamaniu prawa, gdyż coś jest sprzedawane. Na przykład internetowy kurs, po zakończeniu którego otrzymuje się jakiś certyfikat. – – podpowiada Świątek-Druś.
Za zgodą poszkodowanego
Podczas prac nad projektem ustawy o ochronie danych osobowych zgłaszano Ministerstwu Cyfryzacji jeszcze jedną obawę – o wysyp organizacji, które powstaną tylko po to, by wyłapywać niedociągnięcia we wdrożeniu RODO i szantażować przedsiębiorców złożeniem na nich skargi. Tak przed laty działały quasi-stowarzyszenia zajmujące się wyszukiwaniem niedozwolonych klauzul w regulaminach sklepów internetowych.
– – mówi dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w MC. – – wyjaśnia.
Obaw przedsiębiorców nie podziela Katarzyna Szymielewicz z Fundacji Panoptykon.
– – ocenia prezeska Panoptykonu.
– – dodaje.
