Bezpieczeństwo informacji w bankowości - kary, RODO, k.k. i rola adwokata

Pojęcie 'przestępstw przeciwko bezpieczeństwu informacji w sektorze bankowym' łączy w polskim systemie kilka odrębnych reżimów odpowiedzialności, które łatwo ze sobą pomylić. Po pierwsze, odpowiedzialność administracyjną za naruszenie ochrony danych osobowych klientów (RODO i ustawa z 10 maja 2018 r.), egzekwowaną przez Prezesa Urzędu Ochrony Danych Osobowych. Po drugie, naruszenie tajemnicy bankowej, czyli szczególnej tajemnicy zawodowej uregulowanej w art. 104 i nast. ustawy - Prawo bankowe, zagrożone także sankcją karną (art. 171 ust. 5 Prawa bankowego). Po trzecie, klasyczne przestępstwa komputerowe z rozdziału XXXIII Kodeksu karnego (art. 267-269b k.k.) - hacking, sabotaż, zakłócanie systemu. Po czwarte, obowiązki regulacyjne wobec Komisji Nadzoru Finansowego (KNF) oraz wynikające z unijnych aktów DORA i NIS2 (w Polsce wdrażanej ustawą o krajowym systemie cyberbezpieczeństwa). Ten artykuł rozdziela te porządki, podaje realne polskie kary i wyjaśnia, czym zajmuje się prawnik obsługujący bank lub broniący osoby oskarżonej. Materiał ma charakter informacyjny i nie zastępuje porady prawnej.

Cztery reżimy odpowiedzialności - administracyjny, karny, nadzorczy i cywilny

Punktem wyjścia każdej sprawy jest ustalenie, w którym porządku się ona toczy, bo to decyduje o organie, terminach i sankcji. Reżim administracyjny (RODO + ustawa z 10 maja 2018 r.) dotyczy przetwarzania danych osobowych klientów banku; sankcją są kary pieniężne Prezesa UODO i roszczenia cywilne osób, których dane dotyczą. Reżim karny (Kodeks karny i art. 171 Prawa bankowego) obejmuje czyny umyślne wymierzone w poufność informacji i systemów - tu sprawę prowadzi prokuratura, a sankcją jest grzywna, ograniczenie albo pozbawienie wolności. Reżim nadzorczy to relacja banku z KNF: obowiązki sprawozdawcze, wymogi bezpieczeństwa teleinformatycznego oraz administracyjne kary nadzorcze. Reżim cywilny to odpowiedzialność banku wobec klienta za szkodę wyrządzoną wyciekiem danych lub nieuprawnioną transakcją (art. 415 i 471 k.c., a w przypadku nieautoryzowanych transakcji płatniczych - przepisy ustawy o usługach płatniczych). Często kilka reżimów uruchamia się równolegle po jednym incydencie - i to zwykle najtrudniejsza prawnie sytuacja.

Tajemnica bankowa - art. 104-105 prawa bankowego i sankcje za jej naruszenie

Tajemnica bankowa to fundament zaufania w sektorze. Zgodnie z art. 104 ust. 1 ustawy z 29 sierpnia 1997 r. - Prawo bankowe bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową obejmującą wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, zawarcia i realizacji umowy. Wyjątki - kiedy bank może lub musi ujawnić informacje (np. sądom, prokuraturze, organom skarbowym, Generalnemu Inspektorowi Informacji Finansowej, innym bankom w zakresie informacji kredytowej) - są wyczerpująco wymienione w art. 105 Prawa bankowego. Bezprawne ujawnienie lub wykorzystanie tajemnicy bankowej jest przestępstwem z art. 171 ust. 5 Prawa bankowego, zagrożonym grzywną do 1 000 000 zł oraz karą pozbawienia wolności do lat 3. Niezależnie od odpowiedzialności karnej pracownik ponosi odpowiedzialność dyscyplinarną i pracowniczą, a bank - odpowiedzialność cywilną i nadzorczą.

Kary administracyjne RODO - do 20 mln euro lub 4% obrotu

Banki przetwarzają dane wrażliwe finansowo na ogromną skalę, więc RODO jest dla nich kluczowe. Rozporządzenie przewiduje dwa pułapy administracyjnych kar pieniężnych. Niższy (art. 83 ust. 4 RODO) - do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu - dotyczy m.in. naruszeń obowiązków administratora (privacy by design, rejestr czynności, wyznaczenie inspektora ochrony danych). Wyższy (art. 83 ust. 5 RODO) - do 20 mln euro lub do 4% obrotu - dotyczy naruszeń podstawowych zasad przetwarzania i praw osób, których dane dotyczą; stosuje się kwotę wyższą. Wymiar kary zależy od kryteriów z art. 83 ust. 2 RODO: wagi i charakteru naruszenia, liczby poszkodowanych, umyślności lub niedbalstwa, podjętych działań zaradczych i stopnia współpracy z organem. W razie incydentu obowiązuje zgłoszenie naruszenia Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w 72 godziny (art. 33 RODO), a przy wysokim ryzyku - zawiadomienie samych klientów (art. 34 RODO). Szybka, udokumentowana reakcja jest okolicznością łagodzącą.

Przestępstwa komputerowe wymierzone w bank - art. 267-269b k.k.

Ataki na systemy bankowe (włamania, phishing, skimming, ransomware) wypełniają zwykle znamiona przestępstw z rozdziału XXXIII Kodeksu karnego. Najważniejsze: art. 267 k.k. (nielegalne uzyskanie dostępu do informacji przez przełamanie lub ominięcie zabezpieczenia, podsłuch) - grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2; art. 268a k.k. (niszczenie, uszkadzanie, usuwanie lub zmiana danych informatycznych) - do lat 3; art. 269 k.k. (sabotaż komputerowy wobec danych o szczególnym znaczeniu) - od 6 miesięcy do lat 8; art. 269a k.k. (zakłócanie pracy systemu lub sieci) - od 3 miesięcy do lat 5; art. 269b k.k. (wytwarzanie lub udostępnianie narzędzi hakerskich, haseł, kodów dostępu) - do lat 5. Gdy celem jest wyłudzenie środków, w grę wchodzi też oszustwo (art. 286 k.k.) lub oszustwo komputerowe (art. 287 k.k. - wpływanie na automatyczne przetwarzanie danych w celu osiągnięcia korzyści majątkowej), zagrożone karą do lat 5, a w typie kwalifikowanym surowiej. Część czynów (np. art. 267) jest ścigana na wniosek pokrzywdzonego, co ma istotne znaczenie procesowe.

Obowiązki nadzorcze - KNF, DORA i NIS2 (ustawa o KSC)

Bezpieczeństwo informacji w banku to nie tylko reakcja na incydent, ale ciągły obowiązek regulacyjny. Banki podlegają nadzorowi Komisji Nadzoru Finansowego i muszą spełniać wymogi bezpieczeństwa systemów teleinformatycznych oraz zgłaszać poważne incydenty. Od 17 stycznia 2025 r. stosowane jest unijne rozporządzenie DORA (Digital Operational Resilience Act, rozporządzenie 2022/2554) o operacyjnej odporności cyfrowej sektora finansowego - nakłada wymogi zarządzania ryzykiem ICT, testowania odporności, zgłaszania poważnych incydentów oraz nadzoru nad dostawcami usług ICT. Równolegle obowiązuje reżim cyberbezpieczeństwa wynikający z dyrektywy NIS2, w Polsce wdrażany przez ustawę z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (po nowelizacji wdrażającej NIS2). Banki jako podmioty kluczowe mają obowiązki w zakresie zarządzania ryzykiem, zgłaszania incydentów do właściwego CSIRT oraz współpracy z organami. Niezastosowanie się grozi administracyjnymi karami pieniężnymi nakładanymi przez właściwe organy nadzoru.

Obrona przed zarzutem przestępstwa lub oszustwa finansowego

Gdy zarzut dotyczy czynu z art. 267-269b k.k., art. 286/287 k.k. albo naruszenia tajemnicy bankowej, obrona koncentruje się na znamionach i dowodach. Typowe kierunki to: 1) Brak przełamania lub ominięcia zabezpieczenia - art. 267 wymaga nielegalnego uzyskania dostępu; dostęp w granicach uprawnień pracownika lub do danych ogólnodostępnych nie wypełnia znamienia. 2) Brak umyślności lub zamiaru osiągnięcia korzyści majątkowej - przestępstwa te są umyślne, a przy oszustwie (art. 286 k.k.) trzeba wykazać działanie w celu osiągnięcia korzyści i wprowadzenie w błąd; przypadkowy błąd systemu lub działanie zgodne z procedurą może wyłączać odpowiedzialność. 3) Zgoda dysponenta systemu - autoryzowany test penetracyjny lub audyt na podstawie umowy wyłącza bezprawność. 4) Wadliwość dowodów cyfrowych - badanie integralności kopii binarnych, łańcucha dowodowego i rzetelności opinii biegłego informatyka. 5) Wątpliwości nieusuwalne rozstrzyga się na korzyść oskarżonego (art. 5 § 2 k.p.k.). Przy oskarżeniach o oszustwa finansowe ważne bywa też wykazanie braku szkody lub jej naprawienia, co wpływa na wymiar kary.

Na czym polega praca prawnika dla banku i jak go wybrać

Zakres pracy prawnika zależy od reżimu sprawy. W sprawach RODO adwokat lub radca prawny reprezentuje bank przed Prezesem UODO, prowadzi korespondencję z organem, argumentuje co do ryzyka i działań naprawczych, a w razie kary - wnosi skargę do wojewódzkiego sądu administracyjnego. W sprawach karnych występuje jako obrońca podejrzanego (np. pracownika oskarżonego o ujawnienie tajemnicy) albo jako pełnomocnik banku-pokrzywdzonego, którego systemy zaatakowano - składa wnioski dowodowe, kwestionuje opinie biegłych, dba o prawa procesowe. W obszarze nadzorczym doradza przy wdrażaniu DORA i NIS2, audytach zgodności, procedurach reagowania na incydenty oraz relacjach z KNF. Wybierając prawnika, warto szukać osoby łączącej znajomość prawa ochrony danych i prawa bankowego z doświadczeniem procesowym oraz rozumieniem technologii. Honorarium ustala się indywidualnie - stawka godzinowa, ryczałt za sprawę lub umowa stałej obsługi (zależnie od złożoności). Rzetelny pełnomocnik nie obiecuje konkretnego wyniku, lecz przedstawia realne scenariusze i ryzyka.