Naruszenie integralności danych elektronicznych - przestępstwa z art. 267-269b k.k. i rola adwokata
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Naruszenie integralności danych elektronicznych to potoczne określenie na czyny, które polskie prawo karne opisuje precyzyjnie w rozdziale XXXIII Kodeksu karnego - 'Przestępstwa przeciwko ochronie informacji' (art. 265-269b). Chodzi m.in. o nieuprawniony dostęp do systemu (hacking), niszczenie i zmianę danych informatycznych, zakłócanie pracy systemów oraz wytwarzanie i udostępnianie tzw. narzędzi hakerskich. Sprawy te bywają mylone z naruszeniami RODO, ale to dwie różne płaszczyzny: jedna to odpowiedzialność karna konkretnej osoby, druga - administracyjna odpowiedzialność administratora danych. Adwokat działający w tym obszarze może występować w dwóch rolach: jako obrońca osoby podejrzanej o przestępstwo komputerowe oraz jako pełnomocnik pokrzywdzonego (np. firmy lub osoby, której dane zaatakowano). Ten artykuł wyjaśnia polskie podstawy prawne, realne kary i zakres pomocy prawnej. Ma charakter informacyjny i nie zastępuje porady w indywidualnej sprawie.
Jakie przepisy regulują przestępstwa przeciwko integralności danych
Trzon stanowią przepisy Kodeksu karnego: art. 267 (nieuprawniony dostęp do informacji - 'hacking', a także bezprawne podsłuchanie i przechwycenie danych) zagrożony karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2; art. 268 (niszczenie, uszkadzanie, usuwanie lub zmiana zapisu istotnej informacji albo udaremnianie zapoznania się z nią) - do lat 2, a gdy dotyczy danych informatycznych (art. 268a) - do lat 3; art. 269 (sabotaż komputerowy, czyli niszczenie danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji) - od 6 miesięcy do lat 8; art. 269a (zakłócanie pracy systemu lub sieci - np. atak DDoS) - od 3 miesięcy do lat 5; art. 269b (wytwarzanie, pozyskiwanie, udostępnianie tzw. narzędzi hakerskich oraz haseł i kodów dostępu) - od 3 miesięcy do lat 5. Część tych czynów (np. art. 267 i 268) ściga się na wniosek pokrzywdzonego - to istotne, bo brak wniosku może blokować ściganie. Pierwszym zadaniem obrońcy jest sprawdzenie, czy zachowanie sprawcy w ogóle wyczerpuje znamiona któregoś z tych przepisów.
Odpowiedzialność karna a odpowiedzialność z RODO - dwie różne sprawy
Warto wyraźnie oddzielić dwie płaszczyzny. Odpowiedzialność karna dotyczy konkretnej osoby fizycznej, która dopuściła się czynu zabronionego (np. włamała się do systemu) - tu działają przepisy Kodeksu karnego i Kodeks postępowania karnego. Odpowiedzialność na gruncie RODO (rozporządzenie 2016/679) i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych to odpowiedzialność administracyjna administratora lub podmiotu przetwarzającego za niewłaściwą ochronę danych - egzekwowana przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w formie administracyjnych kar pieniężnych. Te dwie ścieżki mogą się przeplatać: ofiarą ataku hakerskiego (przestępstwo) może być firma, która jednocześnie sama ponosi odpowiedzialność administracyjną z RODO, jeśli nie zabezpieczyła danych należycie. Adwokat pomaga rozdzielić te wątki: w sprawie karnej reprezentuje pokrzywdzonego albo broni oskarżonego, a w sprawie administracyjnej doradza administratorowi w postępowaniu przed PUODO.
Obowiązki administratora po naruszeniu ochrony danych - 72 godziny
Gdy dojdzie do naruszenia ochrony danych osobowych (np. wycieku, nieuprawnionego dostępu, zniszczenia danych), administrator ma konkretne obowiązki z RODO. Zgodnie z art. 33 RODO musi zgłosić naruszenie organowi nadzorczemu (PUODO) bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia; jeśli zgłosi później, musi to opóźnienie wyjaśnić. Jeżeli naruszenie może powodować wysokie ryzyko dla praw i wolności osób (art. 34 RODO), administrator ma także obowiązek bez zbędnej zwłoki zawiadomić same osoby, których dane dotyczą. Niedopełnienie tych obowiązków może skutkować administracyjną karą pieniężną. Rolą prawnika jest tu szybka ocena, czy zdarzenie jest 'naruszeniem' w rozumieniu RODO, czy podlega zgłoszeniu, sporządzenie zgłoszenia oraz prowadzenie wewnętrznego rejestru naruszeń. Liczy się czas - 72 godziny biegną od momentu stwierdzenia naruszenia, a nie od zakończenia całego dochodzenia wewnętrznego.
Reprezentacja pokrzywdzonego - kradzież tożsamości i odzyskanie danych
Jeśli ofiarą jest osoba, której dane wykorzystano (np. do wyłudzeń), prawnik działa jako pełnomocnik pokrzywdzonego. Bezprawne wykorzystanie cudzych danych w celu wyrządzenia szkody majątkowej lub osobistej (kradzież tożsamości) jest odrębnym przestępstwem z art. 190a § 2 Kodeksu karnego, zagrożonym karą od 3 miesięcy do lat 5. Pokrzywdzony może: złożyć zawiadomienie o przestępstwie i wniosek o ściganie, przystąpić do postępowania jako oskarżyciel posiłkowy (art. 53-54 k.p.k.), a także dochodzić naprawienia szkody - w procesie karnym poprzez wniosek o obowiązek naprawienia szkody (art. 46 k.k.), a w procesie cywilnym poprzez powództwo o odszkodowanie i zadośćuczynienie. Praktyczne kroki dla ofiary kradzieży tożsamości w Polsce to m.in.: zastrzeżenie dokumentów i numeru PESEL, zgłoszenie do banków i biur informacji kredytowej, zachowanie dowodów (zrzuty ekranu, korespondencja) oraz zawiadomienie policji lub prokuratury. Prawnik koordynuje te działania i pilnuje terminów.
Zarządzanie ryzykiem i środki zapobiegawcze w organizacji
Najtańszą obroną jest profilaktyka. Adwokat lub radca prawny wspierający firmę pomaga wdrożyć tzw. środki techniczne i organizacyjne wymagane przez art. 32 RODO (bezpieczeństwo przetwarzania): m.in. ocenę ryzyka, polityki ochrony danych, kontrolę dostępu, szyfrowanie i pseudonimizację, kopie zapasowe oraz procedury reagowania na incydenty. Do tego dochodzi obowiązek rozliczalności (art. 5 ust. 2 RODO) - administrator musi być w stanie wykazać zgodność, dlatego kluczowa jest dokumentacja: rejestr czynności przetwarzania, rejestr naruszeń, klauzule informacyjne i umowy powierzenia (art. 28 RODO). Z perspektywy karnej istotne jest też prawidłowe zabezpieczanie logów i dowodów elektronicznych - to one decydują później o możliwości ustalenia sprawcy i o sile sprawy. Dobrze przygotowana procedura incydentowa skraca czas reakcji i pozwala dotrzymać terminu 72 godzin z art. 33 RODO.
Obrona osoby podejrzanej o przestępstwo komputerowe
Gdy prawnik występuje jako obrońca, jego zadaniem jest rzetelne badanie znamion czynu i legalności dowodów, a nie obietnica 'wyjścia bez konsekwencji'. Typowe kierunki obrony: 1) Brak znamion - wykazanie, że dostęp był uprawniony (np. w ramach umowy, testów bezpieczeństwa za zgodą) albo że dane nie były 'istotną informacją' czy systemem chronionym w rozumieniu przepisu. 2) Brak umyślności - przestępstwa z art. 267-269b są umyślne; przypadkowe lub omyłkowe działanie może nie wyczerpywać znamion. 3) Brak wniosku o ściganie tam, gdzie jest wymagany (art. 267, 268) - jego brak stanowi przeszkodę procesową. 4) Wadliwość dowodów elektronicznych - badanie sposobu zabezpieczenia danych, ciągłości łańcucha dowodowego i legalności czynności (przeszukanie systemów wymaga podstawy z k.p.k.). 5) Zasada in dubio pro reo (art. 5 § 2 k.p.k.) - niedające się usunąć wątpliwości rozstrzyga się na korzyść oskarżonego. Obrońca rozważa też instytucje łagodzące: warunkowe umorzenie (art. 66 k.k.) oraz dobrowolne poddanie się karze (art. 335 i 387 k.p.k.).
Jak wybrać prawnika do sprawy o przestępstwo komputerowe
W Polsce reprezentację w sprawach karnych prowadzi adwokat lub radca prawny. Przy sprawach 'cyber' warto zwrócić uwagę na: doświadczenie w sprawach z rozdziału XXXIII k.k. oraz w postępowaniach przed PUODO, rozumienie aspektów technicznych (logi, dowody elektroniczne, opinie biegłych z informatyki śledczej) oraz znajomość RODO. Honorarium ustala się indywidualnie - w Polsce rozliczenie odbywa się w złotych, najczęściej jako stawka za prowadzenie sprawy lub stawka godzinowa, a w razie wygranej sąd zasądza zwrot kosztów zastępstwa według stawek z rozporządzenia Ministra Sprawiedliwości. Pamiętaj, że żaden rzetelny prawnik nie zagwarantuje konkretnego wyniku ani 'pewnego' uniknięcia kary lub kary administracyjnej - obietnice tego rodzaju są sygnałem ostrzegawczym. W sprawach o większym ciężarze (np. sabotaż z art. 269) szybki kontakt z obrońcą lub pełnomocnikiem jest szczególnie istotny.
Najczęstsze pytania
Które przepisy karzą za niszczenie i zmianę danych elektronicznych?
Przede wszystkim Kodeks karny: art. 268 i 268a (niszczenie, usuwanie, zmiana zapisu informacji i danych informatycznych - do 2-3 lat), art. 267 (nieuprawniony dostęp - do 2 lat), art. 269 (sabotaż komputerowy danych o szczególnym znaczeniu - od 6 miesięcy do 8 lat), art. 269a (zakłócanie pracy systemu, np. DDoS - od 3 miesięcy do 5 lat) oraz art. 269b (narzędzia hakerskie, hasła, kody - od 3 miesięcy do 5 lat). Konkretna kwalifikacja zależy od tego, jakie dane i system zaatakowano.
Czym różni się sprawa karna od postępowania z RODO?
Sprawa karna dotyczy odpowiedzialności konkretnej osoby za czyn zabroniony (np. hacking) i toczy się według Kodeksu karnego oraz k.p.k. Postępowanie z RODO to odpowiedzialność administracyjna administratora danych za niewłaściwą ochronę danych, prowadzona przez Prezesa UODO i zakończona ewentualną administracyjną karą pieniężną. Te ścieżki są niezależne i mogą biec równolegle - firma może być jednocześnie ofiarą ataku i podmiotem badanym przez PUODO.
W jakim terminie trzeba zgłosić wyciek danych?
Zgodnie z art. 33 RODO administrator zgłasza naruszenie ochrony danych Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia; późniejsze zgłoszenie wymaga wyjaśnienia opóźnienia. Jeśli naruszenie wiąże się z wysokim ryzykiem dla osób, których dane dotyczą, trzeba też zawiadomić te osoby (art. 34 RODO). Termin 72 godzin liczy się od momentu stwierdzenia naruszenia.
Czy padłem ofiarą kradzieży tożsamości - jakie mam prawa?
Bezprawne wykorzystanie Twoich danych w celu wyrządzenia szkody majątkowej lub osobistej to przestępstwo z art. 190a § 2 k.k. (kara od 3 miesięcy do 5 lat). Możesz złożyć zawiadomienie o przestępstwie, wystąpić jako oskarżyciel posiłkowy oraz dochodzić naprawienia szkody - w procesie karnym (art. 46 k.k.) lub cywilnym. Praktycznie warto zastrzec dokumenty i numer PESEL, powiadomić banki i biura informacji kredytowej oraz zachować dowody.
Czy mogę bronić się sam w sprawie o przestępstwo komputerowe?
Formalnie tak - co do zasady obrona z wyboru nie jest obowiązkowa. W praktyce jednak sprawy 'cyber' są dowodowo trudne (logi, opinie biegłych z informatyki śledczej, zagadnienia legalności zabezpieczenia danych), więc samodzielna obrona jest ryzykowna. Doświadczony obrońca potrafi podważyć znamiona czynu, zbadać legalność dowodów i wskazać brak wymaganego wniosku o ściganie. W określonych sytuacjach (np. brak możliwości obrony własnej) obrona jest obligatoryjna - wówczas sąd wyznacza obrońcę.
Jakie kary grożą za atak hakerski w Polsce?
To zależy od czynu. Nieuprawniony dostęp do systemu (art. 267 k.k.) - do 2 lat pozbawienia wolności, grzywna lub ograniczenie wolności. Zakłócanie pracy systemu, np. atak DDoS (art. 269a) - od 3 miesięcy do 5 lat. Sabotaż komputerowy danych o szczególnym znaczeniu dla obronności lub administracji (art. 269) - od 6 miesięcy do 8 lat. Wytwarzanie lub udostępnianie narzędzi hakerskich i haseł (art. 269b) - od 3 miesięcy do 5 lat. Sąd uwzględnia okoliczności i skutki czynu.
Powiązane poradniki
- Przestępstwa przeciwko komunikacji elektronicznej — kary i obrona (art. 267–269b k.k.)
- Cyberataki na infrastrukturę krytyczną — odpowiedzialność karna i obrona
- Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
- Przestępstwa przeciwko bezpieczeństwu informacji - art. 267-269c KK
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 46, 66, 190a, 265-269b)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) - art. 5, 28, 32, 33, 34
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
- Urząd Ochrony Danych Osobowych - zgłaszanie naruszeń ochrony danych osobowych
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę