LexDigital

Wymuszenia na RODO – czego nie musisz zrobić?

RODO - większość z nas rozumie co oznacza ten skrót i wie, co się pod nim kryje. Są jednak też i tacy, którzy nie mają czasu na zapoznanie się z podstawowymi regulacjami, czy też w ogóle nie są nimi zainteresowani. Każdego z nas może jednak spotkać taka sytuacja, gdy na naszą skrzynkę e-mail trafią wezwania do usunięcia naruszeń czy zapłaty. Jak reagować w takich sytuacjach?

Wymuszenia na RODO – czego nie musisz zrobić?

Jak działają oszuści?

Zazwyczaj schemat postępowania oszustów jest dość prosty: wysyłają wiadomości e-mail lub smsy, w których wskazują, że dopatrzyli się u nas różnego rodzaju naruszeń, co mogą zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. Jednocześnie gwarantują, że wspaniałomyślnie tego nie uczynią, jeśli przedsiębiorca skorzysta z ich usług i zapłaci im wysoką kwotę pieniężną. Informacje na temat takich prób wyłudzeń dotarły również do Ministerstwa Cyfryzacji, które wyodrębniło kilka grup wiadomości e-mail, m.in.:

  • W wiadomości oszust oferuje usługi doradcze, np. pomoc w przygotowaniu dokumentacji czy zapewnieniu Inspektora Ochrony Danych. O ile sama taka propozycja (pod pewnymi warunkami) nie jest czymś złym, o tyle w przypadku RODO-oszustów w wiadomości zawarty jest również swoisty szantaż: jeśli nie skorzystasz z moich usług, to poskarżę się na Ciebie do Prezesa Urzędu Ochrony Danych Osobowych i będziesz musiał zapłacić milionowe kary. Takie wiadomości najlepiej zignorować. Jeśli bowiem ulegniemy szantażowi i zapłacimy za usługi przestępców, to najczęściej dostaniemy dokumenty, które i tak nie zapewnią zgodności naszych działań z RODO. Ponadto, specjaliści z zakresu ochrony danych nie muszą stosować gróźb, żeby znaleźć klientów.
  • W wiadomości nie ma mowy o żadnych szantażach czy naruszeniach. Zawiera ona tylko linki albo załączniki z dokumentami, które rzekomo mają zapewnić dostosowanie działalności przedsiębiorcy do RODO. Na takie wiadomości należy szczególnie uważać! Wyglądają one z pozoru niegroźnie, ale kliknięcie w przesłane linki lub załączniki może spowodować pobranie i zainstalowanie na urządzeniu złośliwego oprogramowania (wirusa). Dlatego w przypadku otrzymania takiej wiadomości lepiej po prostu ją zignorować.
  • W wiadomości oszust informuje, że nowe przepisy nakładają na administratorów danych obowiązek nabycia odpowiednich sprzętów np. szaf zapewniających zgodność z RODO. Oczywiście, zupełnym przypadkiem, przestępca ma w swojej ofercie właśnie takie szafy i można je u niego zakupić. Innymi, rzekomo wymaganymi przez RODO rozwiązaniami mają być: kraty w oknach, nakładki na ekrany monitorów, specjalne niszczarki, a nawet wyjątkowe kłódki. Takie wiadomości e-mail czy smsy również najlepiej zignorować. Każdy administrator powinien sam przeprowadzić w swojej firmie analizę ryzyka i rozważyć, w jakich aspektach może on poprawić bezpieczeństwo przechowywanych danych. Jeśli dojdzie do wniosku, że powinien zakupić np. szafy zamykane na klucz, może to zrobić w każdym sklepie. RODO nie narzuca żadnych konkretnych rozwiązań o określonych specyfikacjach.

Szantaż i groźba złożenia zawiadomienia do organu nadzorczego

Inną, niezwykle groźną metodą wyłudzania pieniędzy od przedsiębiorców, a nawet organów władzy publicznej, jest stosowanie bezpośredniego szantażu. Oszuści przesyłają do potencjalnej ofiary wiadomość e-mail lub smsa, w których nierzadko w bardzo ostrym tonie informują o znalezionych nieprawidłowościach w przetwarzaniu przez administratora danych osobowych. Jednocześnie straszą, że sprawa zostanie zgłoszona do GIODO/PUODO w celu nałożenia bardzo wysokiej kary, chyba że adresat wiadomości zapłaci oszustowi określoną kwotę pieniężną. Zastraszeni administratorzy nierzadko zapłacą, myśląc, że zapewni to im spokój i uchroni przed karą PUODO. Niestety, oszuści niemal na pewno wykorzystają łatwowierność ofiary i zaatakują znowu, licząc na kolejne korzyści.

Problem szantażu stał się na tyle poważny, że Ministerstwo Cyfryzacji pracuje nad nowelizacją kodeksu karnego, dzięki której groźba wszczęcia postępowania administracyjnego będzie karana w podobny sposób, jak groźba wszczęcia postępowania karnego. Konieczność wprowadzenia odpowiednich zmian w przepisach jest również pokłosiem działalności tzw. „łowców klauzul”, którzy zarabiali na wychwytywaniu w np. regulaminach sklepów internetowych niedozwolonych klauzul umownych.

Co robić w przypadku otrzymania wiadomości zawierającej treści z szantażem? Najlepiej także je zignorować. W większości przypadków na tym powinna skończyć się cała historia. Ponadto, po wejściu w życie nowych przepisów, najlepiej będzie od razu złożyć zawiadomienie o możliwości popełnienia przestępstwa w prokuraturze/na komisariacie.

Szkolenia RODO

Jeszcze inną techniką wyłudzeń jest oferowanie różnego rodzaju szkoleń i certyfikatów. O ile udział w szkoleniu może być warty uwagi dla samodoskonalenia i podniesienia swojej wiedzy w zakresie danych osobowych, to absolutnie nie jest to obowiązek, który nakładają przepisy. Brak udziału w szkoleniach nie oznacza, że naruszamy przepisy ochrony danych! Można nigdy nie uczestniczyć w żadnym szkoleniu, a jednocześnie zapewniać pełną ochronę przetwarzanych danych osobowych. Podobnie ma rzecz z certyfikatami. Aktualnie nie ma żadnych certyfikatów, których zakup zapewniłby zgodność z RODO czy innymi przepisami. Nie ma certyfikatów, które mogą zapewnić ochronę przed kontrolą czy też karą administracyjną. W związku z tym oferowane certyfikaty nie posiadają żadnej wartości na gruncie obecnych przepisów. Certyfikacja jest natomiast dopiero przewidywana w przyszłości i będzie prowadzona wyłącznie przez podmioty akredytowane.

Co zatem robić, jeśli oszust oferuje nam certyfikat, albo, co gorsze, już go zdążyliśmy zakupić? W tym przypadku możliwe jest już teraz zawiadomienie policji, bowiem sprzedaż certyfikatów mających rzekomo zapewnić całkowitą zgodność z RODO wyczerpuje bez wątpienia znamiona przestępstwa oszustwa.

Dostęp do informacji publicznej

Oszuści są często na tyle sprytni, że powołują przepisy znanych ustaw dla zmuszenia potencjalnej ofiary do określonego działania. Jednym z przykładów jest ustawa o dostępie do informacji publicznej. Warto wskazać, że ustawa ta najczęściej w ogóle nie dotyczy zwykłych przedsiębiorców i nie są oni zobowiązani do udzielania odpowiedzi na jakiekolwiek pytania złożone w jej trybie. Generalnie przepisy te obowiązują bowiem władze publiczne oraz inne podmioty wykonujące zadania publiczne. Nawet jednak one nie muszą udzielać odpowiedzi na wszystkie pytania – stąd też warto każdorazowo weryfikować zakres oczekiwanych informacji z przepisami. To samo odnosi się do udostępniania przetwarzanych danych osobowych. Trzeba bowiem pamiętać, że prawo do informacji publicznej nie jest bezwzględne, lecz podlega ograniczeniu w zakresie i na zasadach określonych w przepisach.

Przechowywanie danych osobowych zgodnie z RODO

Na podstawie powyższych przepisów widać wyraźnie, że oszuści posiadają różnego rodzaju metody na wyłudzenie pieniędzy od nieświadomych administratorów danych. Najlepszą metodą na uniknięcie zagrożeń z tym związanych jest wdrożenie RODO i pewność, że przetwarzanie danych odbywa się zgodnie z przepisami. W tym zakresie niezbędne jest dokonanie szczegółowego przeglądu swoich działań oraz określenie, co należy poprawić i jakie zabezpieczenia wprowadzić. Należy w tym wszystkim zachować jednak zdrowy rozsądek. Jeżeli dane papierowe przechowujemy w zamykanych szafach, do których dostęp mają tylko upoważnione osoby, to takie przechowywanie danych można co do zasady uznać za zgodne z RODO. W takim przypadku zakup nowych szafek, na których ktoś dodał naklejkę „zgodna z RODO” będzie już popadaniem w skrajności i niekoniecznie wpłynie na poprawienie stanu bezpieczeństwa. Za dobre rozwiązanie należy za to uznać proces cyfryzacji danych. Warunkiem jednak jest zabezpieczenie takich danych przed nieuprawnionym dostępem, jak również ich ochrona np. przed złośliwym oprogramowaniem.


Sprawdź również:


Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.