Na początku kwietnia opisywaliśmy w DGP pierwsze próby szantażu "na RODO". Firmy zaczęły dostawać e-maile, w których grożono powiadomieniem generalnego inspektora ochrony danych osobowych o tym, że nie wdrożyły nowych przepisów o ochronie danych osobowych. Jako alternatywę proponowano zakup bliżej nieokreślonej dokumentacji wzorcowej za bagatela 4,9 tys. zł. Tego typu gróźb, mniej lub bardziej zakamuflowanych, pojawia się coraz więcej.

Co gorsza, dotąd tego typu szantaż nie był w zasadzie zagrożony jakimikolwiek sankcjami. Kodeks karny uznaje za przestępstwo straszenie postępowaniem karnym. O straszeniu postępowaniem administracyjnym nie wspomina. Tymczasem taki charakter będą miały działania prowadzone przez prezesa Urzędu Ochrony Danych Osobowych, który od piątku zastąpi GIODO. W tych postępowaniach będą wymierzane kary nawet do wysokości 20 mln euro.

Mechanizm szantażu jest zazwyczaj taki sam – zauważyliśmy nieprawidłowości w działaniu firmy, możemy powiadomić określony urząd, ale jeśli kupisz od nas wzorcowe dokumenty, system informatyczny czy szkolenie, unikniesz kary. Ostatnio najpopularniejsza jest metoda „na RODO”, bo to właśnie przepisy unijnego rozporządzenia o ochronie danych osobowych 2016/679 budzą w tej chwili największy strach przedsiębiorców. Przed takimi próbami szantażu ostrzegają generalny inspektor ochrony danych osobowych i organizacje skupiające przedsiębiorców.

– Trudno się dziwić, że przedsiębiorcy ulegają tym groźbom, zwłaszcza jeśli nie są w stanie sami przeanalizować tak skomplikowanych przepisów jak RODO, a grozi im się olbrzymimi karami finansowymi. A nawet, gdyby chcieli gdzieś to zgłosić, to okazuje się, że polskie przepisy karne nie penalizują grożenia komuś wszczęciem postępowania administracyjnego - mówi Katarzyna Włodarczyk-Niemyjska, dyrektor Departamentu Prawa i Legislacji Związku Przedsiębiorców i Pracodawców.

Problem w tym, że kodeks karny penalizuje wyłącznie straszenie kogoś sprawą karną (art. 115 par. 12 k.k.; patrz: ramka). Groźby wszczęcia postępowania administracyjnego nie są już karane. Lukę tę dostrzegło Ministerstwo Cyfryzacji, które planuje zmianę przepisów. Jak zapowiada Marek Zagórski, szef tego resortu, nowelizacja kodeksu karnego ma uznawać za przestępstwo także inne formy szantażu.

Chcielibyśmy wprowadzić regulację, która w sposób jednoznaczny będzie przewidywać karalność stosowania wobec przedsiębiorców szantażu „na RODO”. Wiemy, że niestety zdarzają się takie sytuacje, że w firmie pojawia się nagle przedstawiciel innej firmy i składa propozycję nie do odrzucenia: albo coś od nas kupisz, albo będziesz miał przez nas kłopoty. To nie do zaakceptowania - mówi Marek Zagórski, minister cyfryzacji. Jesteśmy w kontakcie z Ministerstwem Sprawiedliwości, które widzi potrzebę takiej regulacji - dodaje.

Będą kary

Na razie nie wiadomo, jakie będzie dokładnie brzmienie nowego przepisu, ale ma on ukrócić szantaże nie tylko związane z RODO, ale też inne. Przed kilkoma laty popularni byli choćby łowcy klauzul, którzy wyszukiwali niedozwolone postanowienia w regulaminach sklepów internetowych i czerpali zysk z zasądzanych kosztów procesowych. Nie jestem zwolennikiem rozwiązywania wszystkich problemów przepisami karnymi, ale pomysł Ministerstwa Cyfryzacji uważam za krok w dobrym kierunku – ocenia Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka.

Oczywiście dużo będzie zależało od ostatecznego brzmienia przepisu. Powinien on z jednej strony przewidywać kary za szantaż „zapłać za milczenie”, ale z drugiej oddzielać sytuacje, gdy ktoś dostrzega jakieś nieprawidłowości i proponuje swoją odpłatną pomoc w ich usunięciu, ale jednocześnie nie straszy oddaniem sprawy w ręce prezesa Urzędu Ochrony Danych Osobowych czy innego organu publicznego - zaznacza prawnik.

Czy wyznaczenie takiej granicy jest możliwe?

Nie mamy gotowego brzmienia przepisu. Jeszcze nad nim pracujemy. Rzeczywiście, mogą się zdarzyć sytuacje, gdy przestępstwo będzie oddzielać cienka linia od agresywnej sprzedaży, ale przecież wszyscy wiemy, że nawet na pierwszy rzut oka wiadomo, czy mamy do czynienia z ofertą, czy próbą szantażu - przekonuje minister Marek Zagórski.

Kupujmy rozważnie

Tymczasem od piątku, kiedy to zacznie być stosowane RODO, można się spodziewać największej fali wymuszeń. Już teraz docierają do nas liczne sygnały o wiadomościach, w których przedsiębiorcom grozi się złożeniem donosu do prezesa Urzędu Ochrony Danych Osobowych czy też prokuratury, jeśli nie zapłacą określonej kwoty. Jest to klasyczny przykład szantażu, któremu nie należy się poddawać – uczula Katarzyna Włodarczyk-Niemyjska.

Poza ewidentnymi próbami wymuszeń przedsiębiorcy spotykają się również z formami bardziej zakamuflowanymi. Wmawia się im, że jakieś usługi (szkolenia czy certyfikaty) czy produkty (na przykład wzorcowe dokumenty czy rozwiązania informatyczne) zapewnią pełną zgodność z RODO. Tyle że jest to niemożliwe.

GIODO radzi, by firmy i instytucje otrzymujące różne oferty pomocy w przygotowaniu się do osiągnięcia zgodności z nowymi przepisami w zakresie ochrony danych osobowych wybierały je w odpowiedzialny i rozważny sposób. W pierwszej kolejności powinny same dokonać przeglądu swoich działań w tym zakresie i zdefiniować swoje potrzeby – określić, jakiego wsparcia potrzebują, jaką wiedzę chcieliby zdobyć podczas szkoleń czy warsztatów – podpowiada Agnieszka Świątek-Druś, rzecznik prasowy GIODO.

Już w piątek 25 maja specjalne wydanie Tygodnika Gazeta Prawna poświęcone wyłącznie tematyce RODO