Przestępstwa przeciwko bezpieczeństwu danych - kary, RODO i obrona

Pojęcie 'przestępstw przeciwko bezpieczeństwu danych' obejmuje w polskim systemie dwa odrębne, choć powiązane reżimy odpowiedzialności. Pierwszy to odpowiedzialność administracyjna i cywilna za naruszenie ochrony danych osobowych - reguluje ją RODO oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, a karami administracyjnymi (grzywnami) zarządza Prezes Urzędu Ochrony Danych Osobowych. Drugi to odpowiedzialność karna za czyny wymierzone w poufność, integralność i dostępność informacji oraz systemów teleinformatycznych - opisana w rozdziale XXXIII Kodeksu karnego (art. 267-269b k.k.). Mylenie tych dwóch porządków jest najczęstszym błędem. Ten artykuł rozdziela je, wskazuje realne kary i znamiona czynów oraz wyjaśnia, jak adwokat broni osoby oskarżonej i jak chronić firmę przed odpowiedzialnością. Materiał ma charakter informacyjny i nie zastępuje porady prawnej.

Dwa porządki odpowiedzialności: administracyjny (RODO) i karny (k.k.)

RODO (rozporządzenie 2016/679) oraz ustawa z 10 maja 2018 r. dotyczą przetwarzania danych osobowych przez administratorów i podmioty przetwarzające. Naruszenia (np. wyciek danych, brak podstawy prawnej przetwarzania, niezgłoszenie naruszenia w terminie 72 godzin) skutkują przede wszystkim administracyjnymi karami pieniężnymi nakładanymi przez Prezesa UODO oraz roszczeniami cywilnymi osób, których dane dotyczą (art. 82 RODO - odszkodowanie). To postępowanie administracyjne, a nie karne. Odrębnie Kodeks karny penalizuje czyny takie jak nielegalne uzyskanie dostępu do informacji (hacking), podsłuch, niszczenie danych czy zakłócanie pracy systemu. Tu mamy do czynienia z przestępstwem ściganym przez prokuraturę, postępowaniem karnym i sankcją w postaci grzywny, ograniczenia wolności albo pozbawienia wolności. Ustalenie, w którym reżimie toczy się sprawa, decyduje o całej strategii działania.

Kary administracyjne z RODO - kiedy do 20 mln euro lub 4% obrotu

RODO przewiduje dwa pułapy administracyjnych kar pieniężnych. Niższy (art. 83 ust. 4 RODO) - do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu - dotyczy m.in. naruszeń obowiązków administratora i podmiotu przetwarzającego (np. zasad privacy by design, prowadzenia rejestru czynności, powołania inspektora ochrony danych). Wyższy (art. 83 ust. 5 RODO) - do 20 mln euro lub do 4% obrotu - dotyczy naruszeń podstawowych zasad przetwarzania, w tym przesłanek legalności i zgody oraz praw osób, których dane dotyczą. Stosuje się kwotę wyższą z dwóch. W praktyce wysokość kary zależy od kryteriów z art. 83 ust. 2 RODO: charakteru i wagi naruszenia, liczby poszkodowanych, umyślności lub nieumyślności, podjętych działań zaradczych oraz stopnia współpracy z organem. Dla podmiotów publicznych polska ustawa z 2018 r. wprowadza odrębny, niższy limit kar (do 100 tys. zł, a dla niektórych - do 10 tys. zł).

Przestępstwa komputerowe w Kodeksie karnym - art. 267-269b k.k.

Kodeks karny chroni informacje i systemy w rozdziale XXXIII. Najważniejsze przepisy to: art. 267 (nielegalne uzyskanie informacji - tzw. hacking, w tym przełamanie zabezpieczenia, podsłuch, użycie urządzenia podsłuchowego) zagrożony grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2; art. 268 (niszczenie, uszkadzanie lub zmiana zapisu istotnej informacji) - do lat 2, a gdy dotyczy danych informatycznych (art. 268a) - do lat 3; art. 269 (sabotaż komputerowy wymierzony w dane o szczególnym znaczeniu, np. dla obronności lub administracji) - od 6 miesięcy do lat 8; art. 269a (zakłócanie pracy systemu lub sieci) - od 3 miesięcy do lat 5; art. 269b (bezprawne wytwarzanie lub udostępnianie tzw. narzędzi hakerskich, haseł i kodów dostępu) - do lat 5. Wiele z tych czynów (np. art. 267) jest ściganych na wniosek pokrzywdzonego - to ważna informacja proceduralna, bo brak lub cofnięcie wniosku może zakończyć postępowanie.

Obowiązki przy naruszeniu ochrony danych - terminy, które chronią firmę

Jeśli w organizacji dojdzie do naruszenia ochrony danych (np. wyciek, zgubiony nośnik, atak ransomware), RODO nakłada konkretne, terminowe obowiązki, których dochowanie istotnie zmniejsza ryzyko kary. Administrator musi zgłosić naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli ryzyko jest wysokie, należy bez zbędnej zwłoki zawiadomić również osoby, których dane dotyczą (art. 34 RODO). Każde naruszenie - nawet niezgłaszane - trzeba udokumentować wewnętrznie (rejestr naruszeń). Szybka i transparentna reakcja, zabezpieczenie dowodów oraz wdrożenie środków naprawczych są przez organ traktowane jako okoliczność łagodząca przy wymiarze kary. Adwokat lub inspektor ochrony danych pomaga przeprowadzić ten proces bez błędów, które same w sobie bywają podstawą sankcji.

Linie obrony osoby oskarżonej o przestępstwo komputerowe

Gdy zarzut dotyczy czynu z art. 267-269b k.k., obrona koncentruje się na znamionach i dowodach. Typowe kierunki to: 1) Brak 'przełamania lub ominięcia zabezpieczenia' - art. 267 wymaga nielegalnego uzyskania dostępu; jeśli dane były ogólnodostępne albo dostęp mieścił się w uprawnieniach sprawcy, znamię nie zostaje spełnione. 2) Brak umyślności - przestępstwa te są co do zasady umyślne; przypadkowe wejście do systemu czy działanie w granicach powierzonego loginu może wyłączać odpowiedzialność. 3) Działanie za zgodą uprawnionego (np. zlecony test bezpieczeństwa, audyt, pentest na podstawie umowy) - zgoda dysponenta systemu wyłącza bezprawność. 4) Wadliwość zabezpieczenia dowodów cyfrowych - badanie łańcucha dowodowego, integralności kopii binarnych i prawidłowości opinii biegłego informatyka. 5) Wątpliwości nieusuwalne - zgodnie z art. 5 § 2 k.p.k. rozstrzyga się je na korzyść oskarżonego. W czynach ściganych na wniosek istotne jest też sprawdzenie, czy wniosek został skutecznie złożony.

Jak chronić firmę i ograniczyć ryzyko - zgodność i reakcja

Najlepszą obroną jest prewencja udokumentowana. Praktyczne minimum zgodności obejmuje: prowadzenie rejestru czynności przetwarzania (art. 30 RODO), wdrożenie odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka (art. 32 RODO - szyfrowanie, kontrola dostępu, kopie zapasowe), powołanie inspektora ochrony danych tam, gdzie jest obowiązkowy (art. 37 RODO), zawieranie umów powierzenia z dostawcami (art. 28 RODO), regularne szkolenia personelu oraz gotowy plan reakcji na incydent (z procedurą zgłoszenia w 72 godziny). Warto okresowo przeprowadzać ocenę skutków dla ochrony danych (DPIA, art. 35 RODO) przy operacjach wysokiego ryzyka. Udokumentowanie tych działań nie tylko zmniejsza prawdopodobieństwo naruszenia, ale - gdy do niego dojdzie - stanowi materiał dowodowy świadczący o należytej staranności, co bezpośrednio wpływa na obniżenie ewentualnej kary administracyjnej.

Na czym polega rola prawnika w sprawach bezpieczeństwa danych

Zakres pracy prawnika zależy od reżimu sprawy. W sprawach administracyjnych (RODO) adwokat lub radca prawny reprezentuje administratora przed Prezesem UODO, prowadzi korespondencję z organem, przygotowuje wyjaśnienia i argumentację co do braku lub niskiego ryzyka, a w razie nałożenia kary - wnosi skargę do wojewódzkiego sądu administracyjnego. Doradza też przy budowie systemu zgodności i obsłudze incydentu. W sprawach karnych (art. 267-269b k.k.) występuje jako obrońca podejrzanego lub jako pełnomocnik pokrzywdzonego, którego dane lub systemy zaatakowano - składa wnioski dowodowe, kwestionuje opinie biegłych, dba o prawa procesowe. Wybierając prawnika, warto szukać osoby łączącej znajomość prawa ochrony danych z doświadczeniem procesowym i rozumieniem technologii. Pamiętaj, że rzetelny pełnomocnik nie gwarantuje wyniku - przedstawia realne scenariusze i ryzyka.