W internecie pojawiają się już doniesienia o pierwszych próbach wyciągnięcia od firm pieniędzy na podstawie RODO. Unijna dyrektywa, która w znacznie większym stopniu będzie chronić dane osobowe, wchodzi w życie 25 maja. Nowe przepisy są w wielu zakresach rygorystyczne i wymagają od przedsiębiorców bardzo konkretnych działań. Firmy muszą stworzyć nowe procedury ochrony danych osobowych, wyszkolić w tym zakresie pracowników, szczegółowo opisać w jaki sposób konsument może usunąć swoje dane.
Przedsiębiorcy będą też musieli stworzyć rejestr czynności związanych z przetwarzaniem danych. Informacje powierzone przez konsumenta będą też musiały być lepiej chronione. A jeśli nie będą odpowiedzialni, muszą liczyć się ze srogimi karami finansowymi. Nowe przepisy przewidują też konieczność informowania o wycieku poszkodowanych.
Dyrektywa RODO nie weszła jeszcze w życie, a polskie przepisy, które mają być jej uzupełnieniem nie trafiły nawet do Sejmu. Na dobrą sprawę nie wiadomo więc, co zmieni się 25 maja. Wielu przedsiębiorców i zwykłych konsumentów nie ma w tym zakresie żadnej wiedzy, albo wie bardzo niewiele.
I właśnie to postanowili wykorzystać przestępcy. Adwokat Paweł Litwiński natrafił na wiadomość e-mail, w której niesprecyzowana osoba żąda dostępu do informacji publicznej w zakresie wypełnienia obowiązków związanych z RODO. Wymaga odpowiedzi na szereg pytań:
W pisanym pseudoprawniczym językiem piśmie pojawia się groźba: przedstawcie dowody na to, że wdrożyliście RODO albo powiadamiamy GIODO, sąd i prokuraturę.
Jest i konkretna "oferta".
Wiadomość jest próbą wyłudzenia pieniędzy. Ktoś chce skłonić ofiarę do podpisania umowy na usługi związane z ochroną danych osobowych, albo używa wiadomości jak "nigeryjskiego przekrętu". W tym wypadku przestraszona ofiara może być przekonana, żeby zapłacić koszty "analizy" czy też "audytu", których oczywiście nigdy nie otrzyma.
Powoływanie się na RODO w takiej próbie wymuszenia jest nowością, jednak podobne wiadomości ostrzegające przed naruszeniem zasad ochrony danych osobowych krążą po polskim internecie od lat. We wcześniejszych wariantach przedsiębiorca był przekonywany, że przetwarzając adresy e-mail swoich kontrahentów musi mieć odpowiednie pozwolenie GIODO, a jego brak oznacza sporą karę. I w tym wypadku rozsyłający wiadomość oferowali swoje usługi żądając wielotysięcznych opłat.
Według raportu "Security Roundup for 2017", na który powołuje się Dziennik Internautów, przestępcy będą próbowali zmuszać przedsiębiorców do płacenia wywołując u nich przeświadczenie, że łamią przepisy. Nic dziwnego - niedbalstwo lub ignorowanie podstawowych procedur bezpieczeństwa w przetwarzaniu danych osobowych może zakończyć się wysoką karą. Jej górna granica w regulacjach RODO to 20 mln euro bądź 4 proc. rocznego światowego obrotu danego przedsiębiorcy.
Pojawienie się restrykcyjnych przepisów może być "okazją" dla przestępców - zamiast rozsiewać szkodliwe oprogramowanie i działać "po omacku" internetowe mafie mogą się wyspecjalizować w RODO. A to oznacza, że skrzynki mailowe i te tradycyjne mogą zalać wezwania do zapłaty za fikcyjne naruszenia przepisów, oferty podjęcia fikcyjnej współpracy czy zapisania się do nieistniejących rejestrów. Kreatywność cyberprzestępców jest naprawdę spora - nie raz udowodnili już, że są w stanie dostosować się do bieżących wydarzeń.
Równolegle do RODO w Polsce przygotowywany jest projekt ustawy dotyczącej przepisów sektorowych związanych z ochroną danych osobowych i obejmujących ponad 130 ustaw. Zmian dotyczących ochrony danych osobowych będzie zatem jeszcze sporo.