LexDigital

Wymuszenia na RODO – czego nie musisz zrobić?

RODO - większość z nas rozumie co oznacza ten skrót i wie, co się pod nim kryje. Są jednak też i tacy, którzy nie mają czasu na zapoznanie się z podstawowymi regulacjami, czy też w ogóle nie są nimi zainteresowani. Każdego z nas może jednak spotkać taka sytuacja, gdy na naszą skrzynkę e-mail trafią wezwania do usunięcia naruszeń czy zapłaty. Jak reagować w takich sytuacjach?

Wymuszenia na RODO – czego nie musisz zrobić?

Jak działają oszuści?

Zazwyczaj schemat postępowania oszustów jest dość prosty: wysyłają wiadomości e-mail lub smsy, w których wskazują, że dopatrzyli się u nas różnego rodzaju naruszeń, co mogą zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. Jednocześnie gwarantują, że wspaniałomyślnie tego nie uczynią, jeśli przedsiębiorca skorzysta z ich usług i zapłaci im wysoką kwotę pieniężną. Informacje na temat takich prób wyłudzeń dotarły również do Ministerstwa Cyfryzacji, które wyodrębniło kilka grup wiadomości e-mail, m.in.:

  • W wiadomości oszust oferuje usługi doradcze, np. pomoc w przygotowaniu dokumentacji czy zapewnieniu Inspektora Ochrony Danych. O ile sama taka propozycja (pod pewnymi warunkami) nie jest czymś złym, o tyle w przypadku RODO-oszustów w wiadomości zawarty jest również swoisty szantaż: jeśli nie skorzystasz z moich usług, to poskarżę się na Ciebie do Prezesa Urzędu Ochrony Danych Osobowych i będziesz musiał zapłacić milionowe kary. Takie wiadomości najlepiej zignorować. Jeśli bowiem ulegniemy szantażowi i zapłacimy za usługi przestępców, to najczęściej dostaniemy dokumenty, które i tak nie zapewnią zgodności naszych działań z RODO. Ponadto, specjaliści z zakresu ochrony danych nie muszą stosować gróźb, żeby znaleźć klientów.
  • W wiadomości nie ma mowy o żadnych szantażach czy naruszeniach. Zawiera ona tylko linki albo załączniki z dokumentami, które rzekomo mają zapewnić dostosowanie działalności przedsiębiorcy do RODO. Na takie wiadomości należy szczególnie uważać! Wyglądają one z pozoru niegroźnie, ale kliknięcie w przesłane linki lub załączniki może spowodować pobranie i zainstalowanie na urządzeniu złośliwego oprogramowania (wirusa). Dlatego w przypadku otrzymania takiej wiadomości lepiej po prostu ją zignorować.
  • W wiadomości oszust informuje, że nowe przepisy nakładają na administratorów danych obowiązek nabycia odpowiednich sprzętów np. szaf zapewniających zgodność z RODO. Oczywiście, zupełnym przypadkiem, przestępca ma w swojej ofercie właśnie takie szafy i można je u niego zakupić. Innymi, rzekomo wymaganymi przez RODO rozwiązaniami mają być: kraty w oknach, nakładki na ekrany monitorów, specjalne niszczarki, a nawet wyjątkowe kłódki. Takie wiadomości e-mail czy smsy również najlepiej zignorować. Każdy administrator powinien sam przeprowadzić w swojej firmie analizę ryzyka i rozważyć, w jakich aspektach może on poprawić bezpieczeństwo przechowywanych danych. Jeśli dojdzie do wniosku, że powinien zakupić np. szafy zamykane na klucz, może to zrobić w każdym sklepie. RODO nie narzuca żadnych konkretnych rozwiązań o określonych specyfikacjach.

Szantaż i groźba złożenia zawiadomienia do organu nadzorczego

Inną, niezwykle groźną metodą wyłudzania pieniędzy od przedsiębiorców, a nawet organów władzy publicznej, jest stosowanie bezpośredniego szantażu. Oszuści przesyłają do potencjalnej ofiary wiadomość e-mail lub smsa, w których nierzadko w bardzo ostrym tonie informują o znalezionych nieprawidłowościach w przetwarzaniu przez administratora danych osobowych. Jednocześnie straszą, że sprawa zostanie zgłoszona do GIODO/PUODO w celu nałożenia bardzo wysokiej kary, chyba że adresat wiadomości zapłaci oszustowi określoną kwotę pieniężną. Zastraszeni administratorzy nierzadko zapłacą, myśląc, że zapewni to im spokój i uchroni przed karą PUODO. Niestety, oszuści niemal na pewno wykorzystają łatwowierność ofiary i zaatakują znowu, licząc na kolejne korzyści.

Problem szantażu stał się na tyle poważny, że Ministerstwo Cyfryzacji pracuje nad nowelizacją kodeksu karnego, dzięki której groźba wszczęcia postępowania administracyjnego będzie karana w podobny sposób, jak groźba wszczęcia postępowania karnego. Konieczność wprowadzenia odpowiednich zmian w przepisach jest również pokłosiem działalności tzw. „łowców klauzul”, którzy zarabiali na wychwytywaniu w np. regulaminach sklepów internetowych niedozwolonych klauzul umownych.

Co robić w przypadku otrzymania wiadomości zawierającej treści z szantażem? Najlepiej także je zignorować. W większości przypadków na tym powinna skończyć się cała historia. Ponadto, po wejściu w życie nowych przepisów, najlepiej będzie od razu złożyć zawiadomienie o możliwości popełnienia przestępstwa w prokuraturze/na komisariacie.

Szkolenia RODO

Jeszcze inną techniką wyłudzeń jest oferowanie różnego rodzaju szkoleń i certyfikatów. O ile udział w szkoleniu może być warty uwagi dla samodoskonalenia i podniesienia swojej wiedzy w zakresie danych osobowych, to absolutnie nie jest to obowiązek, który nakładają przepisy. Brak udziału w szkoleniach nie oznacza, że naruszamy przepisy ochrony danych! Można nigdy nie uczestniczyć w żadnym szkoleniu, a jednocześnie zapewniać pełną ochronę przetwarzanych danych osobowych. Podobnie ma rzecz z certyfikatami. Aktualnie nie ma żadnych certyfikatów, których zakup zapewniłby zgodność z RODO czy innymi przepisami. Nie ma certyfikatów, które mogą zapewnić ochronę przed kontrolą czy też karą administracyjną. W związku z tym oferowane certyfikaty nie posiadają żadnej wartości na gruncie obecnych przepisów. Certyfikacja jest natomiast dopiero przewidywana w przyszłości i będzie prowadzona wyłącznie przez podmioty akredytowane.

Co zatem robić, jeśli oszust oferuje nam certyfikat, albo, co gorsze, już go zdążyliśmy zakupić? W tym przypadku możliwe jest już teraz zawiadomienie policji, bowiem sprzedaż certyfikatów mających rzekomo zapewnić całkowitą zgodność z RODO wyczerpuje bez wątpienia znamiona przestępstwa oszustwa.

Dostęp do informacji publicznej

Oszuści są często na tyle sprytni, że powołują przepisy znanych ustaw dla zmuszenia potencjalnej ofiary do określonego działania. Jednym z przykładów jest ustawa o dostępie do informacji publicznej. Warto wskazać, że ustawa ta najczęściej w ogóle nie dotyczy zwykłych przedsiębiorców i nie są oni zobowiązani do udzielania odpowiedzi na jakiekolwiek pytania złożone w jej trybie. Generalnie przepisy te obowiązują bowiem władze publiczne oraz inne podmioty wykonujące zadania publiczne. Nawet jednak one nie muszą udzielać odpowiedzi na wszystkie pytania – stąd też warto każdorazowo weryfikować zakres oczekiwanych informacji z przepisami. To samo odnosi się do udostępniania przetwarzanych danych osobowych. Trzeba bowiem pamiętać, że prawo do informacji publicznej nie jest bezwzględne, lecz podlega ograniczeniu w zakresie i na zasadach określonych w przepisach.

Przechowywanie danych osobowych zgodnie z RODO

Na podstawie powyższych przepisów widać wyraźnie, że oszuści posiadają różnego rodzaju metody na wyłudzenie pieniędzy od nieświadomych administratorów danych. Najlepszą metodą na uniknięcie zagrożeń z tym związanych jest wdrożenie RODO i pewność, że przetwarzanie danych odbywa się zgodnie z przepisami. W tym zakresie niezbędne jest dokonanie szczegółowego przeglądu swoich działań oraz określenie, co należy poprawić i jakie zabezpieczenia wprowadzić. Należy w tym wszystkim zachować jednak zdrowy rozsądek. Jeżeli dane papierowe przechowujemy w zamykanych szafach, do których dostęp mają tylko upoważnione osoby, to takie przechowywanie danych można co do zasady uznać za zgodne z RODO. W takim przypadku zakup nowych szafek, na których ktoś dodał naklejkę „zgodna z RODO” będzie już popadaniem w skrajności i niekoniecznie wpłynie na poprawienie stanu bezpieczeństwa. Za dobre rozwiązanie należy za to uznać proces cyfryzacji danych. Warunkiem jednak jest zabezpieczenie takich danych przed nieuprawnionym dostępem, jak również ich ochrona np. przed złośliwym oprogramowaniem.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.