Naruszenie bezpieczeństwa systemów komputerowych - prawnik, kary, obowiązki firmy

Cyberatak, wyciek bazy klientów, ransomware blokujący firmowe serwery albo nieuprawniony dostęp do systemu - to sytuacje, w których o wyniku decydują pierwsze godziny i prawidłowa reakcja prawna. Naruszenie bezpieczeństwa systemu komputerowego rodzi w polskim prawie kilka równoległych warstw odpowiedzialności: karną (przestępstwa przeciwko ochronie informacji z Kodeksu karnego), administracyjną (obowiązki wobec Prezesa UODO na gruncie RODO oraz wobec CSIRT na gruncie ustawy o krajowym systemie cyberbezpieczeństwa) i cywilną (roszczenia poszkodowanych). Prawnik specjalizujący się w tej dziedzinie pomaga zarówno firmie, która padła ofiarą ataku i musi dopełnić obowiązków, jak i osobie, której postawiono zarzut przestępstwa komputerowego. Ten artykuł opisuje obie role na gruncie prawa polskiego i unijnego - bez odwołań do obcych jurysdykcji.

Czym jest naruszenie bezpieczeństwa systemu w świetle prawa

Naruszenie może przybrać różne formy o różnych skutkach prawnych. Od strony technicznej to m.in. hacking (przełamanie zabezpieczeń), złośliwe oprogramowanie, phishing, ransomware czy nieautoryzowany dostęp pracownika lub byłego pracownika. Od strony prawnej istotne jest rozróżnienie: incydent może być jednocześnie przestępstwem (gdy ktoś bezprawnie włamał się do systemu), naruszeniem ochrony danych osobowych w rozumieniu RODO (gdy doszło do nieuprawnionego ujawnienia, utraty lub zmiany danych osobowych) oraz incydentem w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa (dla podmiotów objętych tą ustawą). Jeden zdarzenie potrafi więc uruchomić kilka odrębnych ścieżek obowiązków i odpowiedzialności naraz - dlatego ocena prawna powinna nastąpić niezwłocznie, równolegle z reakcją techniczną.

Przestępstwa komputerowe w polskim Kodeksie karnym

Kodeks karny penalizuje przestępstwa przeciwko ochronie informacji w rozdziale XXXIII. Art. 267 k.k. karze nieuprawnione uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, w tym przez przełamanie lub ominięcie zabezpieczeń elektronicznych, oraz nieuprawniony dostęp do całości lub części systemu informatycznego (hacking) - grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Art. 268 i 268a chronią integralność i dostępność danych (niszczenie, uszkadzanie, zmiana, utrudnianie dostępu), z karą do lat 3, a przy istotnej szkodzie majątkowej z art. 268a do lat 5. Art. 269 dotyczy sabotażu komputerowego wobec danych o szczególnym znaczeniu (kara od 6 miesięcy do 8 lat). Art. 269a karze zakłócanie pracy systemu (np. atak DDoS), a art. 269b - wytwarzanie i udostępnianie tzw. narzędzi hakerskich oraz haseł umożliwiających dostęp. Wiele z tych czynów ściganych jest na wniosek pokrzywdzonego.

Obowiązki firmy po wycieku danych - RODO

Jeśli incydent dotknął danych osobowych, uruchamiają się obowiązki z RODO (rozporządzenie 2016/679). Administrator musi zgłosić naruszenie ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO) - chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Gdy ryzyko jest wysokie, należy dodatkowo zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Każde naruszenie - nawet niezgłaszane - trzeba udokumentować wewnętrznie. Za uchybienia grożą administracyjne kary pieniężne: do 10 mln euro lub 2% rocznego światowego obrotu (art. 83 ust. 4) albo, dla najpoważniejszych naruszeń zasad przetwarzania, do 20 mln euro lub 4% obrotu (art. 83 ust. 5). To górne pułapy ustawowe - rzeczywista kara zależy od wagi naruszenia, a UODO bierze pod uwagę m.in. współpracę i wdrożone zabezpieczenia.

Obowiązki wobec krajowego systemu cyberbezpieczeństwa

Druga warstwa administracyjna dotyczy podmiotów objętych ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS (dyrektywa 2016/1148; na poziomie UE jest już następczyni - dyrektywa NIS 2 z 2022 r., której transpozycja rozszerza krąg podmiotów). Operatorzy usług kluczowych oraz dostawcy usług cyfrowych mają obowiązek zarządzania ryzykiem, wdrożenia odpowiednich środków bezpieczeństwa oraz zgłaszania incydentów do właściwego zespołu CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON) w terminach określonych ustawą. Niewykonanie tych obowiązków zagrożone jest administracyjnymi karami pieniężnymi przewidzianymi w ustawie. Należy podkreślić: obowiązki z RODO (ochrona danych osobowych) i obowiązki z ustawy o KSC (ciągłość i bezpieczeństwo usług) są od siebie niezależne - ten sam incydent może wymagać zgłoszenia zarówno do UODO, jak i do CSIRT.

Rola prawnika po stronie firmy - ofiary ataku

Gdy firma padła ofiarą naruszenia, prawnik działa równolegle z zespołem IT. Pomaga przeprowadzić ocenę prawną incydentu: ustalić, czy doszło do naruszenia danych osobowych podlegającego zgłoszeniu, czy istnieje obowiązek wobec CSIRT, oraz jakie roszczenia mogą zgłosić poszkodowani. Przygotowuje lub weryfikuje zgłoszenie do UODO w reżimie 72 godzin, treść zawiadomienia osób, których dane dotyczą, oraz wewnętrzny rejestr naruszeń. Doradza, czy i jak złożyć zawiadomienie o przestępstwie z art. 267-269b k.k. na policji lub w prokuraturze, aby uruchomić ściganie sprawcy. Reprezentuje firmę w ewentualnym postępowaniu kontrolnym UODO i pomaga zbudować argumentację łagodzącą (wdrożone zabezpieczenia, szybka reakcja, współpraca z organem). Doradza też w kwestii ubezpieczenia cybernetycznego i zgłoszenia szkody do ubezpieczyciela.

Rola obrońcy po stronie osoby z zarzutem

Druga sytuacja to obrona osoby oskarżonej lub podejrzanej o przestępstwo komputerowe - np. byłego pracownika, administratora, pentestera działającego rzekomo bez zgody, czy osoby oskarżonej o nieuprawniony dostęp. Obrońca analizuje znamiona czynu: czy faktycznie doszło do przełamania lub ominięcia zabezpieczenia (bez zabezpieczenia art. 267 § 1 może nie być wypełniony), czy oskarżony miał uprawnienie do dostępu, czy działał umyślnie i w jakim zamiarze. Bada legalność czynności dowodowych - przeszukania, zabezpieczenia nośników i danych. Sprawdza, czy czyn nie jest ścigany na wniosek, którego brak blokuje postępowanie. Często skuteczne bywa wykazanie znikomej społecznej szkodliwości czynu (art. 1 § 2 k.k.) lub działania za zgodą dysponenta systemu. W sprawach testów bezpieczeństwa kluczowy jest zakres umowy i zgody zleceniodawcy.

Profilaktyka - polityki bezpieczeństwa i szkolenia

Najtańszą obroną jest prewencja, a prawo wręcz jej wymaga. RODO nakazuje wdrożenie odpowiednich środków technicznych i organizacyjnych (art. 32) - w praktyce: polityki bezpieczeństwa informacji, procedur reagowania na incydenty, oceny ryzyka, kontroli dostępu i szyfrowania danych wrażliwych. Dobrze przygotowana dokumentacja nie tylko zmniejsza ryzyko ataku, ale w razie kontroli stanowi dowód należytej staranności i może istotnie obniżyć ewentualną karę. Równie ważne są regularne szkolenia pracowników - większość udanych ataków zaczyna się od phishingu lub błędu ludzkiego. Warto też uregulować monitoring pracowniczy zgodnie z art. 22(2) Kodeksu pracy (obowiązek poinformowania pracowników i określenia celu), bo nadmierna kontrola sama może naruszać prawo. Prawnik pomaga zbudować spójny zestaw dokumentów dopasowany do skali i branży firmy.