Przestępstwa przeciwko bezpieczeństwu informacji – kary, obrona i rola adwokata
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Przestępstwa przeciwko bezpieczeństwu informacji to czyny godzące w poufność, integralność i dostępność danych – od nieuprawnionego dostępu do systemu (hacking), przez podsłuch i przechwytywanie informacji, po niszczenie danych i sabotaż komputerowy. W polskim prawie regulują je głównie przepisy Rozdziału XXXIII Kodeksu karnego „Przestępstwa przeciwko ochronie informacji” (art. 265–269b KK). Sprawy te są techniczne, a dowody mają postać cyfrową (logi, korespondencja, zapisy z urządzeń), dlatego rola wyspecjalizowanego adwokata – po stronie zarówno oskarżonego, jak i pokrzywdzonego – jest tu szczególnie istotna. Poniżej wyjaśniamy, jakie czyny są karalne, jakie grożą kary, jak wygląda obrona i kiedy działa się z urzędu, a kiedy na wniosek pokrzywdzonego.
Jakie czyny są karalne: katalog z Kodeksu karnego
Najważniejsze typy z Rozdziału XXXIII KK to: art. 267 KK – nieuprawniony dostęp do informacji (uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, w tym przez przełamanie zabezpieczeń, podłączenie się do sieci lub założenie podsłuchu/oprogramowania); art. 268 KK – naruszenie integralności zapisu informacji (niszczenie, uszkadzanie, usuwanie lub zmiana zapisu istotnej informacji albo udaremnienie zapoznania się z nią); art. 268a KK – niszczenie, uszkadzanie lub utrudnianie dostępu do danych informatycznych oraz zakłócanie ich przetwarzania; art. 269 KK – sabotaż komputerowy wymierzony w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji; art. 269a KK – zakłócanie pracy systemu lub sieci (np. ataki DDoS); art. 269b KK – wytwarzanie, pozyskiwanie i udostępnianie tzw. narzędzi hakerskich (programów, haseł, kodów dostępu) służących do popełnienia powyższych czynów.
Jakie kary grożą za te przestępstwa
Sankcje różnią się w zależności od typu czynu. Za nieuprawniony dostęp do informacji (art. 267 KK) grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Za naruszenie integralności zapisu (art. 268 KK) – co do zasady do 2 lat, a jeśli czyn dotyczy zapisu na komputerowym nośniku danych, kara może sięgać 3 lat. Za niszczenie danych informatycznych (art. 268a KK) – do 3 lat pozbawienia wolności. Najsurowiej traktowany jest sabotaż komputerowy (art. 269 KK) – od 6 miesięcy do 8 lat pozbawienia wolności, ze względu na zagrożenie dla obronności i bezpieczeństwa państwa. Za zakłócanie pracy systemu (art. 269a KK) i narzędzia hakerskie (art. 269b KK) grozi z reguły kara do 5 lat. Sąd, wymierzając karę, bierze pod uwagę m.in. rozmiar szkody, motywację sprawcy i jego dotychczasową niekaralność.
Ściganie z urzędu czy na wniosek – kto i jak inicjuje sprawę
To kluczowa informacja praktyczna. Część czynów z Rozdziału XXXIII, w tym z art. 267 i 268 KK, jest ścigana na wniosek pokrzywdzonego (art. 267 § 5 i odpowiednie przepisy). Oznacza to, że bez złożenia przez pokrzywdzonego wniosku o ściganie organy co do zasady nie wszczną postępowania – ale po jego złożeniu postępowanie toczy się z urzędu. Najpoważniejszy sabotaż komputerowy (art. 269 KK) ścigany jest z urzędu. Krok praktyczny dla pokrzywdzonego: jeśli padłeś ofiarą włamania na konto, wycieku lub usunięcia danych, niezwłocznie zabezpiecz dowody (zrzuty ekranu, logi, korespondencję) i złóż zawiadomienie wraz z wnioskiem o ściganie na policji lub w prokuraturze – zwłoka utrudnia odtworzenie śladów cyfrowych.
Rola adwokata po stronie oskarżonego
Obrona w sprawach informatycznych opiera się na precyzyjnej analizie dowodów cyfrowych. Adwokat sprawdza, czy dostęp rzeczywiście był „nieuprawniony” i czy doszło do przełamania zabezpieczeń (to znamię wielu czynów z art. 267 KK), czy dowody pozyskano legalnie, czy zachowano łańcuch dowodowy oraz czy opinie biegłych z zakresu informatyki śledczej są rzetelne. Częste linie obrony to: brak zamiaru (czyny te są umyślne), błędne przypisanie czynu konkretnej osobie na podstawie samego adresu IP, działanie w granicach uprawnień (np. administrator, pentester z umową), czy znikoma społeczna szkodliwość czynu (art. 1 § 2 KK). Obrońca może też kwestionować wysokość szacowanej szkody, co wpływa na kwalifikację i wymiar kary. Krok praktyczny: nie usuwaj danych z urządzeń po postawieniu zarzutów i nie składaj wyjaśnień bez konsultacji z obrońcą.
Rola adwokata po stronie pokrzywdzonego
Pełnomocnik pokrzywdzonego pomaga prawidłowo sformułować zawiadomienie i wniosek o ściganie, dba o zabezpieczenie dowodów cyfrowych oraz reprezentuje pokrzywdzonego w postępowaniu, w tym jako oskarżyciel posiłkowy obok prokuratora. Obok odpowiedzialności karnej często równolegle dochodzi się roszczeń cywilnych – odszkodowania i zadośćuczynienia za naruszenie dóbr osobistych (art. 23 i 24 Kodeksu cywilnego oraz art. 415 KC). W sprawie karnej pokrzywdzony może złożyć wniosek o naprawienie szkody lub zadośćuczynienie (art. 46 KK). Krok praktyczny: jeśli wyciekły Twoje dane osobowe, rozważ równoległe zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych – ścieżka karna i administracyjna (RODO) mogą się uzupełniać.
RODO a odpowiedzialność karna – dwa odrębne reżimy
Warto rozróżnić dwie płaszczyzny. RODO (rozporządzenie UE 2016/679) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych regulują odpowiedzialność administracyjną i cywilną za naruszenie ochrony danych – m.in. administracyjne kary pieniężne nakładane przez Prezesa UODO oraz obowiązek zgłoszenia naruszenia w ciągu 72 godzin (art. 33 RODO). Polska ustawa o ochronie danych przewiduje także odrębne przepisy karne (m.in. za bezprawne przetwarzanie danych czy udaremnianie kontroli UODO). To inny reżim niż przestępstwa „komputerowe” z Rozdziału XXXIII KK. W praktyce jedno zdarzenie – np. wyciek bazy klientów po włamaniu – może rodzić jednocześnie odpowiedzialność karną sprawcy włamania (art. 267–269 KK) i administracyjną administratora danych za niewystarczające zabezpieczenia (RODO).
Jak długo trwa postępowanie i jak się do niego przygotować
Czas trwania zależy od złożoności sprawy i konieczności powołania biegłych informatyków, których opinie bywają czasochłonne. Postępowanie przygotowawcze (śledztwo lub dochodzenie) może trwać od kilku tygodni do wielu miesięcy, a postępowanie sądowe – wraz z ewentualną apelacją – nawet ponad rok. Krok praktyczny zarówno dla oskarżonego, jak i pokrzywdzonego: gromadź dokumentację (umowy, regulaminy, polityki bezpieczeństwa, logi), nie kontaktuj się z drugą stroną na własną rękę i jak najszybciej skonsultuj sprawę z prawnikiem znającym specyfikę dowodów cyfrowych. Wczesne zaangażowanie obrońcy lub pełnomocnika pozwala zabezpieczyć dowody i ukształtować strategię, zanim utrwalą się niekorzystne ustalenia.
Najczęstsze pytania
Jaka kara grozi za włamanie do systemu komputerowego (hacking)?
Za nieuprawniony dostęp do informacji z art. 267 Kodeksu karnego grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Przy poważniejszych czynach, jak niszczenie danych (art. 268a KK) lub sabotaż komputerowy (art. 269 KK), kary są wyższe – odpowiednio do 3 i do 8 lat pozbawienia wolności.
Czy te przestępstwa są ścigane z urzędu?
Część czynów, m.in. nieuprawniony dostęp do informacji (art. 267 KK) i naruszenie integralności zapisu (art. 268 KK), jest ścigana na wniosek pokrzywdzonego. Po złożeniu wniosku postępowanie toczy się z urzędu. Sabotaż komputerowy (art. 269 KK) ścigany jest z urzędu niezależnie od wniosku.
Czy sam adres IP wystarczy do skazania?
Adres IP wskazuje urządzenie lub łącze, a nie konkretną osobę. Sam adres IP zwykle nie wystarcza do przypisania winy – konieczne są dodatkowe dowody łączące oskarżonego z czynem. To częsty punkt obrony, którą buduje adwokat na podstawie analizy materiału dowodowego i opinii biegłych.
Czym różni się odpowiedzialność karna od kar z RODO?
To dwa odrębne reżimy. RODO i ustawa o ochronie danych osobowych przewidują głównie odpowiedzialność administracyjną (kary pieniężne Prezesa UODO) i cywilną administratora danych. Przestępstwa z Rozdziału XXXIII Kodeksu karnego to odpowiedzialność karna konkretnego sprawcy. Jedno zdarzenie może uruchomić obie ścieżki jednocześnie.
Co zrobić, gdy padłem ofiarą wycieku lub włamania?
Niezwłocznie zabezpiecz dowody (zrzuty ekranu, logi, korespondencję), złóż zawiadomienie o przestępstwie wraz z wnioskiem o ściganie na policji lub w prokuraturze, a przy wycieku danych osobowych rozważ zgłoszenie do Prezesa UODO. Możesz też dochodzić odszkodowania i zadośćuczynienia na drodze cywilnej (art. 415 i 24 KC) oraz w trybie art. 46 KK.
Czy adwokat może pomóc zapobiec takim przestępstwom w firmie?
Tak. Prawnik pomaga wdrożyć zgodność z RODO, przygotować polityki bezpieczeństwa i regulaminy, ocenić umowy z dostawcami IT oraz opracować plan reakcji na incydent (w tym zgłoszenie naruszenia w 72 godziny z art. 33 RODO). Ogranicza to ryzyko zarówno odpowiedzialności karnej osób, jak i administracyjnej firmy.
Powiązane poradniki
- Przestępstwa przeciwko bezpieczeństwu informacji w systemach IT – kary z art. 267–269b KK i obrona
- Nielegalne pozyskiwanie danych (art. 267 KK): odpowiedzialność, obrona i RODO
- Nielegalne pozyskiwanie danych z systemów zarządzania koleją – kary i obrona (art. 267–269a KK)
- Nielegalne pozyskiwanie danych z systemów zarządzania energią – jakie kary i jak się bronić
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę