Naciągnie na RODO – jak ustrzec się przed oszustami?

10.01.2019 4 minuty na przeczytanie artykułu
Akademia Bezpieczeństwa Ekonomiczno-Prawnego

W trakcie przeprowadzania czynności sprawdzających przez Głównego Inspektora Nadzoru Ochrony Danych Osobowych w jednostkach podrzędnych Instytutu Ochrony Danych Osobowych wykonanych w oparciu o zgłoszenia osób trzecich lub podmiotów zewnętrznych ujawnione zostały liczne nieprawidłowości.

Ustalono, iż [dane przedsiębiorcy] nie spełnia założeń art. 5, 7, 15, 16 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ustaw RODO) oraz Dyrektywy UE (2015/1535) Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego .

W wyniku przeprowadzenia czynności sprawdzających zgodnie z art. 78 do 91 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) Główny Inspektor Nadzoru Ochrony Danych Osobowych e jednostkach podrzędnych Instytutu Ochrony Danych Osobowych wzywa do wniesienia opłaty w wysokości 276,40 PLN. Należność niniejszą należy wpłacić w terminie 7 dni na konto Departamentu Kar i Windykacji Instytutu Ochrony Danych Osobowych nr konta 17 1870 1045 2078 1044 9133 0001 podając w tytule wpłaty unikalny numer płatności (UNP) przedstawiony w nagłówku.

Nieuiszczenie grzywny w ustawowym terminie 7 dni od daty doręczenia wezwania grozi nałożeniem dodatkowej kary w wysokości do 20 mln euro lub do 4% wartości wolumenu światowego obrotu przedsiębiorstwa[1].

Wezwanie do zapłaty za rzekome nieprawidłowości w stosowaniu RODO o powyższej treści zaczęło masowo spływać w ostatnim okresie do dziesiątek przedsiębiorców, którzy nakłonieni jego powierzchownie profesjonalną treścią dokonują zapłaty wskazanej we wniosku kwoty. Jednak zupełnie niepotrzebnie, ponieważ jest to kolejna już próba oszustwa żerująca na strachu przed potencjalnie olbrzymimi konsekwencjami finansowymi, które mogą być nałożone przez odpowiedni organ w przypadku faktycznego naruszenia zasad ochrony danych osobowych. Wszystkie zainteresowane podmioty w tym Ministerstwo Cyfryzacji oraz Urząd Ochrony Danych Osobowych przestrzegają przed pochopnym odpowiadaniem na tego typu wezwania i dokonywaniem jakichkolwiek wpłat. Wyraźnie zaznaczył to także Maciej Kawecki Dyr. Departamentu Zarządzania Danymi i Koordynator prac nad reformą ochrony danych osobowych w Ministerstwie Cyfryzacji podkreślając, że to jedna z metod wyłudzenia od przedsiębiorców pieniędzy, niemająca w sobie absolutnie nic prawnie chronionego[2]. W chwili otrzymania takiego lub podobnego pisma nie należy dokonywać żadnych wpłat, lecz zawiadomić odpowiednie organy ścigania i Urząd Ochrony Danych Osobowych.

Fałszywe wezwanie do zapłaty

Należy jednak oddać oszustom, iż przygotowany przez nich wniosek o zapłatę kary wygląda naprawdę profesjonalnie i przedsiębiorca, który nie posiada odpowiedniej wiedzy na temat kontroli przestrzegania przepisów o ochronie danych osobowych, może niestety dać się nabrać. Osoba znająca treść Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. zauważy jednak, że ma do czynienia z ewidentnym falsyfikatem, zwłaszcza, że przyglądając się mu bliżej, można zauważać bardzo wiele błędów, w tym merytorycznych (np. podane w piśmie dane identyfikacyjne nadawcy, takie jak NIP czy adres, pochodzą od zupełnie różnych i przypadkowych podmiotów). Niemniej, jak zauważa nawet sam Prezes Urzędu Ochrony Danych Osobowych, na przesyłanym dokumencie widnieje wizerunek orła, pieczątka z imieniem i nazwiskiem oraz podpisem osoby, a nazwy instytucji podawane w nagłówku i na pieczątce mogą kojarzyć się m.in. z Urzędem Ochrony Danych Osobowych (UODO), co w zamyśle oszustów, ma ich uwiarygodnić[3]. Jakby na to nie patrzeć to tak przygotowany dokument spełnia zasadniczo wszystkie wymogi Kodeksu postępowania administracyjnego. Dodatkowo wnioskowane kwoty są na tyle niewysokie, że przedsiębiorca dla „świętego spokoju” przeleje pieniądze na konto wskazane w fałszywym dokumencie, zwłaszcza że pismo kończy się akapitem straszącym nałożeniem dodatkowej olbrzymiej kary, a to już działa na wyobraźnię.

Organy nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych

Pragniemy bardzo wyraźnie podkreślić, że w Polsce jedyną instytucją uprawnioną do nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych oraz do nakładania administracyjnych kar finansowych jest Prezes Urzędu Ochrony Danych Osobowych. Nie istnieje takie stanowisko jak wspomniany we wniosku Główny Inspektor Nadzoru Ochrony Danych Osobowych ani taki urząd jak Instytut Ochrony Danych Osobowych. Przytoczone nazwy jedynie sugerują, że chodzi o Urząd Ochrony Danych Osobowych (UODO) i mają wywołać w adresatach lęk przed potencjalną odpowiedzialnością
i pewność, że mają do czynienia z odpowiednio umocowanym organem.

Co więcej, oszuści przytaczają właściwe podstawy prawne, wynikające przede wszystkim z RODO, wskazując na naruszenie zasad dotyczących — przetwarzania danych osobowych (art.5); warunków wyrażenia zgody na przetwarzanie danych osobowych (art.7); prawa dostępu przysługujące osobie, której dane dotyczą (art.15) oraz prawa do sprostowania danych (art.16.). Jednocześnie powołują się na „czynności sprawdzające”, co powinno wzbudzić u niepokojonych wezwaniem przedsiębiorców najwięcej podejrzeń, zwłaszcza że nie byli oni kontrolowani przez UODO oraz nie byli stroną prowadzonego przez Urząd postępowania administracyjnego, a tym samym nie było możliwości, by UODO wykrył w ich działalności nieprawidłowości związane z naruszeniem przepisów o ochronie danych osobowych[4].  Dodatkowo przepisy Ustawy o Ochronie Danych Osobowych przytoczone przez samych oszustów wskazują m.in., że:

  • kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową lub po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość, zawierającym, m.in. określenie zakresu przedmiotowego kontroli; wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;)wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
  • czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej;
  • przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli, zawierającym, m.in. określenie zakresu przedmiotowego kontroli oraz opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych

Żaden z tych absolutnie podstawowych obowiązków ze strony organu kontrolującego nie został spełniony. Każdy kto otrzyma podobne wezwanie, powinien zachować szczególną ostrożność, bardzo dokładnie wczytać się w treść otrzymanej korespondencji i zweryfikować podmiot, który domaga się od nas jakiejkolwiek zapłaty[5].

[1] https://twitter.com/kawecki_maciej 

[2] Ibid.

[3] https://uodo.gov.pl/pl/138/565

[4] Ibid.

[5] Ibid.

Współfinansowane ze środków Fundacji PZU

Program dofinansowany ze środków Programu Fundusz Inicjatyw Obywatelskich 2018