Rozporządzenie o Ochronie Danych Osobowych (RODO) obowiązuje od maja 2018 roku. Nowe zasady popsuły krew wszystkim. Przedsiębiorcom, bo musieli się do tego przygotować, a to naraziło ich na koszty, a często nawet uderzyło w biznes. Ponadto kancelarie hieny ruszyły na żer i niejedną firmę naciągnęły na ultra drogie usługi i szkolenia. Konsumentom zaszkodziła wszechobecna dezinformacja, która doprowadziła do skrajności, np. głośna sprawa o odmowach udzielenia informacji, czy dziecko po wypadku znajduje się w szpitalu. Dodatkowo korzystanie z portali internetowych wymaga przeklikiwania się przez zgody na pół ekranu napisane prawniczym i niezrozumiałym językiem, których zdecydowana większość użytkowników internetu nie czyta i nie ma tego zamiaru.

RODO popsuło internet

Administracja oberwała za to, że chociaż bardzo starali się sprostać oczekiwaniom i wdrożyć rozporządzenie w najlepszy możliwy sposób, to ustawa implementująca RODO do prawa polskiego jeszcze nie została uchwalona – obecnie toczą się prace w Sejmie. Powiedzmy, że początki zawsze są trudne.

O skali RODO paniki może świadczyć fakt, że w wyszukiwarce Google na hasło RODO pokazuje się ponad 13 mln wyników. To więcej niż dla hasła „Donald Tusk”. Dla porównania liczba wyników dla najpopularniejszej „celebrytki świata” Kim Kardashian jest tylko 4-krotnie wyższa od wyników dla RODO.

Zgodnie z RODO kara dla przedsiębiorcy, który łamie przepisy o RODO może wynieść 10 mln euro lub 3% całkowitego rocznego światowego obrotu. Kary nakładać ma nowy urząd, czy Urząd Ochrony Danych Osobowych, który zastąpił dawne GIODO. Parę miesięcy temu przedstawiciele resortu cyfryzacji, w związku z dużym zamieszaniem z RODO i solidnym strachem przed karami, niejako puścili oko do rynku stwierdzając, że w dwuletnim okresie przejściowym kar raczej nie będzie. W końcu wszyscy muszą się nauczyć stosować do nowych przepisów, wykształcić praktykę, etc.

3,7 tys. skarg to dużo i mało. Powiedzmy sobie szczerze, że z ochroną danych osobowych jest u nas bardzo różnie. Wycofanie zgody u natrętnego telemarketera wciąż nie jest ani takie łatwe ani oczywiste.

Metoda przestępców na RODO

RODO przestępcy, bo tak ich można nazwać, na celownik wzięli małych przedsiębiorców. Mniejsze sklepy internetowe, gabinety dentystyczne, siłownie, hotele i pensjonaty. Nie jest to trudne, bo dzisiaj nie da się prowadzić praktycznie żadnego biznesu bez zbierania danych osobowych o klientach. Mali przedsiębiorcy chociaż bardzo się starają, to często albo nie nadążają za zmianami w prawie, a jeśli już nadążają – to popełniają całą masę błędów. Nie mają czasu, robią biznes, nie mają złych intencji. I to właśnie ich najłatwiej oszukać.

Przestępcy najpierw szukają dziur w ich systemach, doprowadzają do wycieku danych, a następnie szantażują ich, że jeśli nie zapłacą „okupu” to zostanie na nich skierowany donos do UODO, a ten może na nich nałożyć karę w takiej wysokości, że w zasadzie mogą się już zamykać. Strach przed karą administracyjną zmusza ich do płacenia, co jest po prostu absurdalnym zaprzeczeniem ducha RODO. Na sprawę zwraca uwagę firma Veronym, która świadczy usługi ochrony cyberbezpieczeństa.

– Cyberprzestępcy uznali, że obawa przedsiębiorców przed wysokimi karami to dla nich szansa na zarobek. W drugim półroczu tego roku odnotowano dużą liczbę ataków i prób ataków polegających na kradzieży danych z zasobów firm i szantażu: zapłaćcie, a nie ujawnimy, że nie zabezpieczyliście danych. Kwoty, jakie cyberprzestępcy próbują w ten sposób wyłudzić, nie są wysokie, mają zachęcać do „załatwienia sprawy” przez szybki przelew lub zapłatę w kryptowalucie. W rzeczywistości przedsiębiorca, który raz zapłacił okup, z dużym prawdopodobieństwem zostanie zaatakowany ponownie. Przecież oszuści zarobili na nim łatwe pieniądze. Choć nie są to duże kwoty, to z pewnością znacznie większe niż koszt skutecznej cyberochrony, na którą w modelu abonamentowym stać dzisiaj każdego przedsiębiorcę – ocenia Wojciech Gołębiowski, dyrektor zarządzający Veronym.

Czy będzie kara dla Morele.net?

RODO obowiązuje w całej Europie. W różnych państwach nałożono już pierwsze dotkliwe kary. We Francji firma Optical Center, która sprzedaje okulary przeciwsłoneczne, za niezachowanie bezpieczeństwa danych osobowych klientów została ukarana przez tamtejszy urząd ochrony danych CNIL grzywną w wysokości 250 tys. euro. Dwa dni temu świat obiegła informacja, że ten sam urząd nałożył na Google karę w wysokości aż 50 mln euro. CNIL uznał, że gigant z Mountain View m.in. nie uzyskiwał zgód w odpowiedni sposób. Zapewne Google będzie się od tej kary odwoływać. Z kolei od brytyjskiego nadzoru karę w wysokości 500 tys. funtów otrzymał amerykański Equifax – to firma, która jest takim wielkim odpowiednikiem polskiego Biura Informacji Kredytowej.

W Polsce głośnym echem odbiła się sprawa z grudnia 2018 roku, która dotyczyła wycieku danych z Morele.net. Media informowały o tym, że hakerom udało się przejąć bazę 2 mln klientów i złamać 350 tys. haseł. Istnieje prawdopodobieństwo, że to właśnie Morele.net otworzy worek z karami „za RODO”, ale jest bardzo wątpliwe, by były one tak wysokie jak w starej UE. Bo nie chodzi o to, by karać, ale przede wszystkim edukować. Ponadto – jak pokazują przykłady wyłudzeń na RODO – strach przed wysokimi karami może mieć skutki odwrotne do zamierzonych.

Foto: Pixabay