Szanowni Państwo!

W dniu dzisiejszym zostaliśmy zaalarmowani przez jednego z naszych czytelników, który przesłał nam link do promowanej w Internecie oferty sprzedaży szablonów dokumentów, zwracając naszą uwagę przede wszystkim na jej skandaliczną treść. Jako fundacja strażnicza zdecydowaliśmy się przyjrzeć tej sprawie, czego efektem jest ten komentarz. Miał być krótki, jednak ze względu na rozmiary samej oferty także i nasza odpowiedź przybrała trochę na masie.

RODO szantaż

Wielokrotnie w mediach pojawiała się informacja o firmach, które próbują zdobyć klientów na produkty RODO strasząc wysokimi karami. Na problem tego typu wielokrotnie zwracało uwagę Ministerstwo Cyfryzacji oraz urzędujący wcześniej Generalny Inspektor Ochrony Danych. Temat bardzo często pojawiał się w mediach. Przykładowo wspominał o nim również Dziennik Gazeta Prawna. Wskazywano, że:

„Mechanizm szantażu jest zazwyczaj taki sam – <<zauważyliśmy nieprawidłowości w działaniu firmy, możemy powiadomić określony urząd, ale jeśli kupisz od nas wzorcowe dokumenty, system informatyczny czy szkolenie, unikniesz kary>>”

O sprawie pisały także inne media, takie jak Business Insider, Money.pl, czy bezprawnik.pl. Ten ostatni podał, że:

„Niektóre firmy uznały, że wdrożenie nowych obowiązków przewidzianych rozporządzeniem to idealna okazja na zarobienie dużej ilości pieniędzy. W tym celu oferują przeróżne audyty, abonamenty na obsługę RODO czy przeróżne opłaty dodatkowe, których wykupienie da poczucie bezpieczeństwa.”

Ze względu na skalę tego typu przedsięwzięć Ministerstwo Cyfryzacji informowało nawet, że pojawi się nowy typ przestępstwa, czyli tzw. „szantaż RODO”. Na chwilę obecną zmian jeszcze nie wprowadzono, co nie uprawnia jednak do tego, by taki proceder uprawiać. Szantaż RODO, wzbudzanie strachu i bazowanie na najniższych emocjach nigdy nie powinno mieć miejsca w reklamie. Nigdy nie powinno być również firmowane przez radcę prawnego.

Generalnie wszystkie te nieuczciwe osoby bazują na niskiej świadomości prawnej swoich odbiorców, wywołując poczucie strachu i niepewności. Dzisiaj trafiliśmy jednak na podmiot, który zastraszanie przeniósł na wyższy poziom absurdu porównując niewdrożenie RODO do zjawiska „otwartej pętli”, nazywając je „30 kilogramowym mentalnym plecakiem” oraz sugerując, że milionowe kary jakie z pewnością przyjdzie zapłacić właścicielom firm negatywnie odbiją się na ich relacjach rodzinnych i zdrowiu.

RODO naciągacze

Taką wizję wysnuł przed nami autor pakietu „RODO Must Have” (sic!) w ramach oferty umieszczonej na stronie https://liczysiewynik.pl/rodo. Fakt, że „liczy się wynik” jak głosi nazwa strony nie jest żadnym usprawiedliwieniem dla zastosowanej w tej ofercie metody sprzedaży, która niewątpliwie mogła skusić potencjalnych odbiorców do nabycia prezentowanych tam szablonów.

Zaczynajmy. Poniżej zamieścimy wycinki z oferty z ich analizą. Wszystkie print screeny zostały wykonane dzisiaj tj. 23 października 2018 r.

1.

Już na wstępie autor tekstu bezpodstawnie sugeruje, że przedsiębiorcy, którzy dotychczas nie wdrożyli RODO (w domyśle nie zakupili pakietu oferowanych na tej stronie szablonów) nie mogą spać spokojnie, dręczeni obawami, że pojawi się kontrola, która nałoży na nich gigantyczną karę.

Nic bardziej mylnego. Zakup dokumentów, bez zmiany filozofii i wdrożenia odpowiednich procedur nie stanowi remedium na zaniedbania w zakresie ochrony danych osobowych, a raczej sposób na opróżnianie Waszych kieszeni. Co zaś tyczy się organu nadzorczego to nie jest on królikiem z kapelusza i nie pojawia się w firmach niespodziewanie zerując ich konta za brak dokumentacji.

2.

Zastraszanie milionowymi karami, które nie znajdują żadnego potwierdzenia w rzeczywistości.

Po pierwsze kary nie będą wymierzane w oderwaniu od realiów konkretnej firmy. Po drugie nie zapominajmy, że oferta skierowana jest dla MŚP, co do których te górne limity najprawdopodobniej nigdy nie będą miały zastosowania. Po trzecie zdanie to jest czysto hipotetycznym założeniem, mającym na celu jedynie zadziałać na wyobraźnię i wywołać poczucie niepewności u przedsiębiorców.

3.

Skoro autor tekstu nie chce nikogo straszyć, to dlaczego to robi? Widzimy, że zastosowano tutaj sztuczkę socjotechniczną. Jeśli nie wdrożyłeś RODO, (w domyśle: nie zakupiłeś któregoś z oferowanych pakietów szablonów dokumentów) to nie prowadzisz firmy zgodnie z prawem, a przez to nie jesteś osoba odpowiedzialną. Mamy też pierwszą wzmiankę o tym, że negatywne konsekwencje odbiją się na najbliższych.

4.

Powyższy opis dotyczy już sytuacji, w której zostajemy ukarani wysoką grzywną. Jak czytamy, kara wpłynie nie tylko na nasze małżeństwo ale również dzieciństwo córki. Mamy tutaj do czynienia z dalszym zastraszaniem, które schodzi coraz na coraz niższy poziom. Tym razem na rodzinę. Żenujące.

5.

Abstrahując od tego, że kwoty podane przez autora tekstu nie przystają do realiów rynkowych (szczególnie jeżeli chodzi o małych przedsiębiorców),  wydaje się, że autor celowo „zawyża” usługę konsultanta (ale kim właściwie jest „konsultant RODO”?) aby na tle tych cen jego pakiety wydawały się atrakcyjne (co również jest swoistą pułapką, ponieważ pakiet szablonów od autora dokumentów w cenie 1694 zł to nie lada wydatek). Mamy więc tutaj kolejne zastanawiające twierdzenie jakże odbiegające od rzeczywistości, mające na celu wzbudzanie poczucia bezradności. 

6.

Sprzedaż organów z powodu niewdrożenia RODO? Na prawdę? Ta otwarta pętla, która pojawia się zaraz w następnym akapicie to przypadek? Granica absurdu, braku dobrego smaku i jakiejkolwiek etyki w reklamie została chyba właśnie przekroczona.

Dlaczego w ogóle mówimy o szablonach dokumentów oferowanych przez autora tekstu?

Proszę spojrzeć na listę dokumentów. Są to wyłącznie gołe szablony, które zdaniem autorów mają być dopasowane do każdej z prowadzonych działalności. Jest to po prostu niemożliwe. Takie wzory na pewno nie spełnią nadziei, które w potencjalnych kupujących wytworzyli autorzy oferty. Szablon dokumentu na pewno nie zapewni bezpieczeństwa, w stopniu o którym mówią autorzy (jeżeli w ogóle jakiś zapewni, oprócz komfortu psychicznego, że może jednak zachowamy nerkę). Bynajmniej nie zagwarantuje on jakiegokolwiek ulgowego traktowania przez organ nadzorczy. Sam z siebie nie sprawi również, że nagle przedsiębiorca stanie się „odpowiedzialny”.

Co ważne, po tak strasznym przedstawieniu kwestii kontroli i ich konsekwencji, gdy przyszło w końcu do prezentacji sprzedawanych szablonów, autorzy oferty wskazali, że dokumenty RODO powinny być proste, tanie, przystępnie napisane i konkretne. Takie przedstawienie sprawy uznać należy jako co najmniej niezrozumiałe. Czyż to nie pewien dysonans, kiedy dla uniknięcia wielomilionowych kar wystarczyć ma kilka szablonów? Parafrazując znane powiedzenie można napisać, że autorzy sugerują tutaj użycie procy do ustrzelenia smoka. Jak się wydaje taki sposób argumentacji ma chyba przemawiać za tym, że wystarczą szablony, abyśmy byli bezpieczni. Nic bardziej mylnego. Dokumenty na potrzeby ochrony danych osobowych powinny być dedykowane, a ich sporządzenie winno być poprzedzone audytem, który pozwoli nam poznać specyfikę firmy i zdefiniować podejmowane przez nią procesy na danych.

Aby nie pozostać w powyższym gołosłownym, warto sprawę omówić na konkretnych przykładach (zachowano oryginalne nazwy).

Przede wszystkim „obowiązek informacyjny – wzór”. Z doświadczenia wiemy, że nie ma jednej generalnej klauzuli informacyjnej, właściwej dla każdego przedsiębiorcy i dostosowanej do wszystkich jego potrzeb. W zależności od branży zawsze będzie ich kilka (osobna dla pracownika, osobna dla dostawcy i osobna dla kontrahenta itd.). W dodatku różnić się one będą od potrzeb i założeń danego przedsiębiorcy. Nie ma jednej klauzuli informacyjnej dobrej dla wszystkich i na wszystkie okazje.

Kolejnym dokumentem jest „rejestr czynności z przykładami”. Rejestr ten stanowi podstawowy dokument, w którym zdefiniowane są wszystkie zbiory przetwarzane w przedsiębiorstwie. W praktyce sprawi on największą trudność podczas wdrażania RODO. Trzeba bowiem wcielić się w przedsiębiorcę i zdefiniować wykonywane przez niego procesy na danych osobowych. Konkretnie określić podstawy przetwarzania konkretnych zbiorów danych, okres retencji, podmioty którym dane są przekazywane, stosowane środki zabezpieczające itd. Nie sposób zagwarantować sobie deklarowanego bezpieczeństwa za pośrednictwem przykładowych wersji. Takie rozwiązanie tej kwestii nie będzie stanowiło dla przedsiębiorcy żadnej korzyści. Tym bardziej nie będzie wystarczające podczas kontroli organu nadzorczego.

Dalej należy zwrócić na „uproszczone wersje polityki prywatności i cookies”. Otóż te dwa dokumenty stanowią w zasadzie clue działalności w Internecie. Nie można stworzyć skutecznego szablonu, który będzie miał zastosowanie do każdego portalu. Każda działalność jest inna, każda zbiera inne dane.

Oczywiście można sprzedawać takie dokumenty. Dlaczego nie? Proszę jednak w tym wszystkim być uczciwym. Proszę nie mamić odbiorców, ze stanowią one remedium na całe zło. Proszę nie wmawiać, że RODO to szablony.

Uff to już koniec

Podsumowując można stwierdzić, że kategorycznie sprzeciwiamy się wprowadzaniu Klientów w błąd. Sprzeciwiamy się żerowaniu na niskiej świadomości prawnej, na niskich pobudkach. Sprzeciwiamy się sztucznemu generowaniu poczucia zagrożenia tylko po to, żeby komuś wcisnąć (tak to dobre słowo) swój produkt. Zapewniamy – można to robić etycznie.

Przestawiona oferta to esencja tego jak wdrożenia RODO nie powinny wyglądać. Pozostaje tylko żal, że Ministerstwo Cyfryzacji ociąga się ze zmianami kodeksu karnego, o których wspominało, bo to byłby idealny, sztandarowy przykład. Dotychczas w swojej praktyce nie spotkaliśmy się z aż tak silnym przekazem negatywnym. Z aż tak licznie stosowanymi technikami socjotechnicznymi, które miałyby wpłynąć na podjęcie decyzji o zakupie.

Ponownie – niech cytaty z oferty przemówią same za siebie. „Co z tym wszystkim zrobić? Odpuścić rodzinne wakacje? Sprzedać nerkę?” „Możesz kontynuować podążanie tą ścieżką, na której obecnie się znajdujesz – i bać się każdego dzwonka, dźwięku domofonu, czy telefonu z nieznajomego numeru, a kiedyś ocknąć się i nagle rzec: „kurde, dlaczego ja wtedy nie zainwestowałem w ten pakiet?!”.

Zatrważające pozostaje tylko, że tego typu działania sprzedażowe swoim nazwiskiem, tytułem zawodowym oraz doświadczeniem firmuje osoba wykonująca zawód radcy prawnego.

Szanowni Państwo, jedyną nadzieję jaką możemy żywić to, że takich ofert z czasem będzie pojawiać się jednak coraz mniej. Jeżeli jednak gdzieś w odmętach Internetu trafią Państwo na tego typu anons, to bardzo prosimy o niezwłoczny kontakt. Podejmiemy wówczas odpowiednie kroki.