Kochani Czytelnicy, powinniście  być czujni!  Oszustwo metodą „na RODO” stało się nową formą możliwości wyłudzenia sporej kwoty pieniężnej od przedsiębiorców przygotowujących się do unijnej regulacji. Na czym dokładnie ono polega? Jak ustrzec się przed wyłudzeniami? W dzisiejszym artykule postaramy się Wam pomóc podając garść informacji.😉

Obecnie przedsiębiorcy przygotowują się coraz intensywniej do wdrożenia w swoich organizacjach RODO. Przypominamy, iż nowa regulacja całkowicie zmienia podejście do ochrony danych osobowych. W związku z tym, znaczna większość administratorów decyduje się  na wsparcie ekspertów i prawników w przygotowaniach do nowego stanu prawnego.

Okazja czyni złodzieja 😯😱

W ostatnim czasie w mediach pojawiły się niepokojące doniesienia o tym, że nowe przepisy i wymóg ich odpowiedniego wdrożenia, zaczęły być wykorzystywane przez podmioty, które ciężko określić jako ekspertów z dziedziny ROOD. Z ofert przesyłanych przez takie podmioty jasno rysuje się bowiem motyw zastraszenia przedsiębiorcy i osiągnięcia jedynie zysku finansowego, a nawet pozyskania informacji stanowiących tajemnicę przedsiębiorstwa.  

Ofiarą takich wyłudzeń może stać się niejeden przedsiębiorca. Wynika to przede wszystkim z faktu, iż RODO wymaga indywidualnego wdrożenia przez każdego z administratorów, z uwzględniłem specyfiki jego organizacji. Przepisy bowiem nie mówią wprost – przygotuj „to” i „to” i jesteś już zgodny z RODO. Audyty obecnego stanu ochrony danych oraz przygotowanie administratorów (oraz podmiotów przetwarzających dane osobowe) do unijnej regulacji to proces, którego nie da się uniknąć.

Nie dziwi zatem  to, że administratorzy w procedurze audytu i wdrożeń poszukują pomocy ekspertów. Jest to nawet wskazane😉Trzeba jednak korzystać z tej możliwości z dużą ostrożnością. Odpowiedni poziom merytorycznego wsparcia, może zagwarantować bowiem specjalizujący się w ochronie danych osobowych zespół prawników bądź wyszkolonych i doświadczonych ekspertów (przykładowo po studiach podyplomowych z zakresu ochrony danych z odpowiednim stażem).

Otrzymywane oferty w zakresie wdrożenia RODO należy zatem dokładnie przeanalizować. Popyt na wsparcie w przygotowaniu do RODO został bowiem z premedytacją wykorzystany przez nieuczciwych „ekspertów”, wysyłających propozycje audytu droga e-mailowa. Jednak z audytem nie ma to nic wspólnego 😞

Uwaga na fałszywe wiadomości e-mail

Sprawę jako jeden z pierwszych nagłośnił na swoim Tweeterze Paweł Litwiński (dr nauk prawnych i wykładowca akademicki). Opublikował on  treść maila, stanowiącego ofertę wdrożenia RODO skierowaną do przedsiębiorców.

Na pierwszy rzut oka email wygląda jak standardowa oferta w zakresie wdrożenia RODO. Jest tam bowiem zawarta informacja o zbliżającym się RODO, oferta pomocy we wdrożeniach, rekomendacja Inspektora Ochrony Danych oraz kwota wynagrodzenia za zakres oferowanych usług.

Cały przekręt tkwi w 2 aspektach maila.  Kluczowym  elementem  wiadomości  jest informacja: „Czekamy na odpowiedź do 15.05 w innym przypadku kierujemy sprawę do GIODO, sadu i prokuratury. ” Nie ulega wątpliwości, iż taka treść ma na celu wzbudzić strach w administratorach i wymusić podjęcie współpracy z „oferentem”. Co więcej, wskazane w treści oferty podmioty jako jej autorzy- odo24 oraz BHP – oświadczyły, że nie mają z nią nic wspólnego! Wszystko wskazuje zatem na to, iż faktyczny nadawca (bądź nadawcy) ofert z premedytacją wykorzystał renomę tych podmiotów. Z uwagi na brak informacji o tożsamości nadawcy ofert i podszyciu się pod inne podmioty rozpoznawane na rynku, zasadną obawą jest to, czy  po przelaniu wskazanej w „ofercie” kwoty pieniężnej  i przekazaniu dokumentacji do weryfikacji, w ogóle do audytu dojdzie.

Co ciekawe, jako podstawę wiadomości „oferent” wskazał ustawę o dostępie do informacji publicznej. Tu także należy uważać- zgodnie z art. 4 ust 1. Ustawy o dostępie do informacji publicznej „obowiązane do udostępnienia informacji publicznej są władze publiczne oraz inne podmioty wykonujące zadania publiczne”. 

Ponadto informacją publiczną jest „działalność zarówno organów władzy publicznej, jak i wskazanych wcześniej samorządów oraz osób i jednostek organizacyjnych w zakresie zadań władzy publicznej oraz gospodarowania mieniem publicznym, czy mieniem komunalnym lub mieniem Skarbu Państwa” [1].

W fałszywej ofercie, kierowanej do przedsiębiorców, wniosek dotyczy dokumentacji wewnętrznej z zakresu ochrony danych osobowych—czyli dokumentów prywatnych a nie urzędowych. Administratorzy (o ile nie są to oczywiście podmioty władzy publicznej lub wykonujące zadania publiczne) nie mają obowiązku prawnego odpowiedzi na taki wniosek. To kolejny przykład oszukańczej zagrywki autorów maila, celem wyłudzenia dokumentacji wewnętrznej administratorów danych.

Nigeryjski przekręt

Opisana sytuacja to nic innego jak nigeryjski przekręt. Afrykański szwindel (ang. Nigerian scam, 419 scam – od numeru artykułu w kodeksie karnym Nigerii)  to rodzaj spamu, oszustwa,  polegający na wciągnięciu ofiary w dialog i  fikcyjny transfer wielkiej kwoty pieniędzy, najczęściej z któregoś z krajów afrykańskich (początkowo głównie do Nigerii). Metoda „na RODO” jest doskonałym przykładem takiego przekrętu.

Ale spokojnie, przestępstwo nigeryjskie jest ścigane przez polskie prawo. To bowiem przykład oszustwa, o którym mowa w art. 286 Kodeksu karnego:  „Kto – w celu osiągnięcia korzyści majątkowej – doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania swojego działania, podlega karze pozbawienia wolności od 6 miesięcy do 8 lat„.

Dobra rada 😉

Pomimo oszustw, trzeba się jednak wdrożyć do RODO. Administratorze pamiętaj, że masz pełną swobodę w wyborze podmiotu, który będzie wspierał Cię w przygotowaniu do nowego porządku prawnego. Oczywiście, kieruj się w wyborze profesjonalizmem, wiedzą i doświadczeniem partnera do audytu. Takie, jak przedstawione w dzisiejszym przykładzie próby wymuszenia współpracy –„my albo zgłoszenie do GIODO”- powinny się spotkać tylko z jedną reakcją – zawiadomieniem o możliwości popełnienia przestępstwa oszustwa do właściwego organu ścigania.

[1] I. Kamińska, M. Rozbicka-Ostrowska „Ustawa o dostępnie do informacji publicznej. Komentarz”, wyd III

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.