wyłudzenia na RODO
44

Wyłudzenia na RODO – zaczyna się, cwaniaki w natarciu

RODO ma być odpowiedzią na palący problem przetwarzania naszych danych osobowych. Z pewnością przepisy te utrudniają ten proceder wszystkim legalnie działającym, a tym co trochę kombinują nie przysporzą jednak problemu.

Nie dalej jak przed weekendem miałem telefon z call center, gdzie pani chciała mnie umówić na badania lekarskie. Na pytanie skąd ma moje dane – stwierdziła, że z ogólnie dostępnej bazy lub internetu, po czym się rozłączyła.

Dziś jednak chciałem napisać o innym zjawisku, które jak przypuszczam za chwilę rozkwitnie, czyli o próbach wyłudzenia “na RODO”. Przez ostatnie kilka dni dostałem kilka próśb i gróźb odnośnie natychmiastowego skasowania adresu email z naszej bazy newslettera. Zawsze taką prośbę spełniam nawet mimo to, iż newsletter posiada link do wypisania, a weryfikacja do zapisu jest dwuetapowa (najpierw formularz do zapisu, a potem jeszcze mail z weryfikacją). Tknęło mnie coś, aby sprawdzić skąd ten przyrost tych gróźb, okazuje się, że w dwóch przypadkach były to adresy zarejestrowane w bazie 2 dni temu (już po wprowadzeniu RODO – mamy odpowiednie formuły w obu mailach).

Rozpocząłem więc z jedną z osób, które żądają skasowania danych dialog, który mniej więcej wyglądał tak :

  • Dwa dni temu zapisał się Pan do naszego Newslettera akceptując zgodę na przetwarzanie danych osobowych. Mam wpisaną godzinę oraz IP, z którego się Pan rejestrował. Czy mogę wiedzieć skąd nagle te żądanie, zmienił Pan zdanie po dwóch dniach?
  • Nigdzie się nie rejestrowałem, proszę skasować moje dane zgodnie z RODO
  • Zgodnie z RODO może pan sam skasować swoje dane za pomocą linku, który znajduje się w każdym Newsletterze
  • Link nie działa (a działa) proszę skasować moje dane

Kasuję więc grzecznie dane tego jak zakładam czytelnika. Po dwóch dniach wpada rejestracja bardzo podobnie brzmiącego adresu email, ale tym razem z innej platformy mailowej. Bardzo ciekawy jestem czy ponownie dostanę żądanie skasowania danych i czy będzie to ten sam IP.

To nie był odosobniony przypadek – jest ich więcej i zapewne będzie jeszcze więcej. Tego typu działania można potraktować jako trollowanie w celu uprzykrzenia życia danej firmie. Można też jednak rozpatrzyć inny rodzaj zachowania. Działania z premedytacją w celu potencjalnego wyłudzenia pieniędzy za nie przestrzeganie RODO. Nie trudno sobie wyobrazić, że firma może przegapić takie prośby o usunięcie danych wysyłane mailami. Nie trudno sobie też wyobrazić, że cwaniacy będą teraz rejestrować się we wszystkich dostępnych bazach, potem wysyłać nakaz usunięcia danych i czekać na to komu się potknie noga. Po tym sprawa będzie już prosta – znajoma specjalizująca się w danych osobowych kancelaria prześle informacje o naruszeniu RODO oraz z ofertą ugody za odpowiednią kwotę. Mieliśmy takie akcje w przypadku prawa autorskich, to czemu nie przy okazji RODO? Przepisy są równie zagmatwane, a przeciętny śmiertelnik mięknie na widok pisma od prawnika.

Schemat może być ten sam

System wyłudzeń tego typu zadziała na pewno na wielu przedsiębiorców. Przypomnę o wyłudzaczach, którzy oferowali płatne wpisy do baz KRS czy CEDIG. Przypominali o obowiązku rejestrowania się w bazie KRS, ale nie wspominali, że to jest nieoficjalna baza niemająca z KRS nic wspólnego. Te same cwaniaki potrafiły też przysyłać upomnienia i informacje, co grozi za nieprzerejestrowanie w bazie KRS.

W przypadku RODO może być dokładnie tak samo, a sposobów na wymuszenie przy tej ilości zagmatwanych przepisów jest jeszcze więcej. Wystarczy sprytny prawnik, który utworzy pismo o niezgodności z ROGO, które potem cwaniak będzie wysyłał wszędzie tam, gdzie założy sobie konto. Przy niedużych kwotach ugody, jakie przeważnie stosują oszuści, wielu przedsiębiorców nie znających się na danej sprawie będzie wolało zapłacić i ‘mieć problem z głowy”

Co na to Ministerstwo Cyfryzacji?

Zastanawiając się nad formą zgłoszenia takich praktyk zadzwoniłem do Ministerstwa Cyfryzacji, gdzie rozmawiałem z osobą zajmującą się sprawami danych osobowych. Sprawy tego typu wyłudzeń i cwaniactwa trzeba traktować jako przestępstwo i zgłaszać na policję. Oczywiście warto też o takich przypadkach poinformować inspektora danych osobowych, ale to w drodze informacji bo sam raczej żadnych działań nie podejmie.

Jeśli zaś chodzi o policję – to potencjalne wyłudzenie w takim przypadku ma raczej małe szanse na śledztwo z sukcesem. Zaczynając od braku danych osobowych (bo mail czy samo IP w takim przypadku niewiele pomogą) potencjalnych sprawców, a kończąc na znikomej szkodliwości jaką zapewne się takim działaniom przypisze.

Pozostaje nam więc uważać i nie dać się wkręcić, a uwierzcie, że wielu będzie próbować.