CYBERPRZESTĘPCY CHCĄ ZARABIAĆ NA RODO

Choć do wejścia w życie RODO pozostało nieco ponad tydzień czasu, cyberprzestępcy bazując na nieznajomości przepisów rozporządzenia próbują wyłudzać od ludzi pieniądze. Użytkownicy otrzymują maile oraz wiadomości sms z informacją o konieczności zakupu certyfikatu poświadczającego bezpieczeństwo danych osobowych.

Choć chyba wszyscy słyszeli już o nowym Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych i ogromnych karach finansowych za nieprzestrzeganie jego przepisów oraz występowanie incydentów naruszenia danych osobowych, to nadal mało osób zna jego postanowienia. Tylko część dużych organizacji ma wdrożone już procedury wdrażające RODO, małe przedsiębiorstwa zupełnie nie są przygotowane na nadejście zmian. Jak podaje firma analityczna SAS, w lutym kiedy przeprowadzane było badanie stopnia przygotowania na RODO, tylko 7% firm przyznało, że jest przygotowanych na zmiany. Oznacza to, że nadal 93% badanych podmiotów nie miało wdrożonych nowych procedur.

Choć każdy coś słyszał w temacie zmian, wie że nadchodzą i wprowadzają nowe restrykcje, to o szczegółach wie już niewiele osób, szczególnie nie będących specjalistami w zakresie ochrony danych osobowych. I trudno się temu dziwić, przebrnięcie przez wszystkie przepisy rozporządzenie nie jest wcale łatwym zadaniem.

Także instytucje państwowe nie są do końca przygotowane na wejście przepisów w życie, biuro GIODO, a od 25 maja UODO nadal przechodzi transformację, mająca na celu dostosowanie jego struktur do nowej rzeczywistości. W dalszym ciągu nie ma także w Polsce instytucji certyfikujących, o których mowa w rozporządzeniu, których zadaniem będzie wydawanie certyfikatów zgodności procedur wewnętrznych z przepisami RODO. Należy jednak wiedzieć, że certyfikacja nie jest obowiązkowa. Będzie ona stanowić wyłącznie potwierdzenie, że dana firma zapewnia odpowiedni poziom ochrony danych osobowych. Nie wszyscy jednak o tym nie wiedzą, a na całym zamieszaniu próbują skorzystać oszuści.

W ostatnich dniach wiele osób otrzymało wprowadzające w błąd wiadomości, których jedynym celem jest wyłudzenie pieniędzy od ich adresatów. W sprawie tej oficjalny komunikat został wydany kilka dni temu przez GIODO, które zapewnia, że urząd nie prowadzi tego typu akcji i przestrzega, by z rozwagą korzystać z tego typu ofert. Wśród fałszywych komunikatów można spotkać m.in.:

1. Wiadomości sms o konieczności zakupu certyfikatu, w przeciwnym razie zostaną zablokowane połączenia przychodzące i wychodzące oraz dostawa internetu
2. Oferty zakupu certyfikatów, mających gwarantować, że ich posiadacz stosuje się do RODO, co ma go uchronić przed kontrolą ze strony urzędu
3. Żądania przedstawienia stosownych dokumentów lub informacji pod groźbą przekazania sprawy do GIODO, prokuratury lub sądu

Jednocześnie biorąc pod uwagę wysokość kar jakie przewiduje RODO, tj. do 20 milionów EURO, bądź do 4% całkowitego rocznego obrotu światowego przedsiębiorstwa, niektórzy wolą zapłacić kilkadziesiąt złotych naciągaczom, z nadzieją, że uchroni ich to przez ewentualną kontrolą GIODO.

Czym jest certyfikacja?

RODO przewiduje powstanie podmiotów certyfikujących – czyli firm i instytucji dysponujących odpowiednią wiedzą w zakresie ochrony danych osobowych, których zadaniem będzie ocena, czy przedsiębiorstwa oraz różnego rodzaju organizacje przetwarzające dane osobowe robią to zgodnie z wymogami RODO. Legitymowanie się certyfikatem nie będzie obowiązkowe, a posiadanie przez firmę certyfikatu będzie oznaczało jedynie, że gwarantuje ona odpowiedni poziom ochrony danych osobowych. Samo posiadanie certyfikatu nie zwalnia jednak z dalszego przestrzegania przepisów RODO i jego należytego stosowania. Podmiot certyfikujący przeprowadza na wstępie  audyt czynności przetwarzania danych, podczas którego weryfikuje, czy procedury i mechanizmy ochrony danych stosowane przez sprawdzaną instytucję są wystarczające oraz czy wprowadzone instrumenty środki techniczne ochrony zapewniają bezpieczeństwo danych.

Certyfikaty wydawane będą na okres maksymalnie 3 lat, a certyfikację będzie można przedłużyć na kolejny okres, o ile nadal spełniane są stosowne wymogi. Jeśli wymogi nie są spełnione organ nadzorczy cofa certyfikację.

Kto może zostać podmiotem certyfikującym?

Aby móc prowadzić certyfikację należy uzyskać akredytację organu nadzoru, czyli przyszłego UODO. Akredytację można uzyskać, po pozytywnym przejściu postępowania sprawdzającego mającego na celu ustalenie czy podmiot certyfikujący:

1. Wykazał swą niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji
2. Dysponuje procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych osobowych
3. Dysponuje procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający oraz które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą i opinii publicznej
4. W sposób satysfakcjonujący wykażą organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów

Cyberoszuści chcą wzbogacić się wykorzystując szum wokół wejścia w życie RORO i bazując na niewiedzy oraz naiwności ludzkiej. Po otrzymaniu jakiejkolwiek wiadomości w temacie RODO od nieznanej instytucji, komunikat należy zignorować, bądź przekazać sprawę policji.  A już z całą pewnością nie należy płacić naciągaczom żadnych kwot – realizacja płatności nie gwarantuje bowiem żadnej ochrony przed kontrolą organów państwowych.W najbliższym czasie można spodziewać się wielu podobnych akcji w wykonaniu złodziei internetowych, dlatego należy zachować szczególną ostrożność.