Przestępstwa przeciwko ochronie informacji (art. 265–269b k.k.) – rola adwokata

Sprawy o przestępstwa przeciwko bezpieczeństwu i ochronie informacji należą do najtrudniejszych w prawie karnym, bo łączą skomplikowane przepisy z zaawansowaną materią techniczną. Mowa tu o czynach takich jak nieuprawniony dostęp do danych (hacking), ujawnienie informacji niejawnej lub tajemnicy zawodowej, sabotaż komputerowy czy fałszowanie dokumentów. Adwokat lub radca prawny prowadzący taką sprawę musi rozumieć zarówno polski Kodeks karny – przede wszystkim rozdział XXXIII (przestępstwa przeciwko ochronie informacji) i rozdział XXXIV (przestępstwa przeciwko wiarygodności dokumentów) – jak i realia dowodów cyfrowych: logów, adresów IP, metadanych czy opinii biegłego z informatyki śledczej. Poniżej wyjaśniamy, jakie konkretnie czyny są w Polsce karalne, jakie grożą za nie sankcje, jak wygląda obrona oskarżonego oraz jak adwokat może pomóc osobie pokrzywdzonej naruszeniem bezpieczeństwa informacji.

Czym są przestępstwa przeciwko ochronie informacji w polskim prawie

Polski Kodeks karny chroni informacje na kilku poziomach. Rozdział XXXIII (art. 265–269b k.k.) obejmuje m.in.: ujawnienie lub wykorzystanie informacji niejawnej o klauzuli „tajne” lub „ściśle tajne” (art. 265), naruszenie tajemnicy zawodowej lub służbowej (art. 266), nieuprawniony dostęp do informacji – tzw. hacking, w tym przełamanie zabezpieczeń, podsłuch i oprogramowanie szpiegujące (art. 267), niszczenie lub utrudnianie dostępu do zapisanej informacji (art. 268), naruszenie integralności danych informatycznych (art. 268a), sabotaż komputerowy dotyczący danych o szczególnym znaczeniu dla bezpieczeństwa państwa (art. 269), zakłócanie pracy systemu lub sieci, np. atak DDoS (art. 269a), oraz wytwarzanie i udostępnianie tzw. narzędzi hakerskich, haseł i kodów dostępu (art. 269b). Z kolei fałszowanie i podrabianie dokumentów reguluje rozdział XXXIV (art. 270 i nast.). Prawidłowe przypisanie czynu do właściwego artykułu jest pierwszym i najważniejszym krokiem – od tego zależy zarówno linia obrony, jak i grożąca kara.

Jakie kary grożą za przestępstwa informacyjne

Wymiar kary zależy od konkretnego przepisu. Za nieuprawniony dostęp do informacji (art. 267 k.k.) grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Naruszenie tajemnicy zawodowej (art. 266) – do 2 lat, a w wariancie dotyczącym funkcjonariusza publicznego nawet do 3 lat. Niszczenie danych (art. 268) – do 2 lat, a przy znacznej szkodzie majątkowej do 3 lat; naruszenie integralności danych (art. 268a) – do 3 lat. Najsurowiej traktowany jest sabotaż komputerowy z art. 269 k.k., dotyczący danych o szczególnym znaczeniu dla obronności, bezpieczeństwa czy administracji – od 6 miesięcy do 8 lat pozbawienia wolności. Zakłócanie pracy systemu (art. 269a) i tworzenie narzędzi hakerskich (art. 269b) – od 3 miesięcy do 5 lat. Za podrobienie lub przerobienie dokumentu (art. 270 k.k.) grozi grzywna, ograniczenie wolności albo pozbawienie wolności od 3 miesięcy do lat 5. Warto pamiętać o rozróżnieniu: są to kary kryminalne wymierzane przez sąd, odrębne od administracyjnych kar pieniężnych za naruszenie RODO, które nakłada Prezes UODO.

Rola adwokata w obronie oskarżonego

Obrońca w sprawie informacyjnej działa wielotorowo. Po pierwsze, weryfikuje kwalifikację prawną – czy zarzucony czyn rzeczywiście wyczerpuje znamiona danego artykułu (np. czy doszło do realnego „przełamania zabezpieczeń” w rozumieniu art. 267, czy tylko do wykorzystania luki, która zabezpieczeniem nie była). Po drugie, bada stronę podmiotową: większość tych przestępstw jest umyślna, więc wykazanie braku zamiaru lub działania w usprawiedliwionym błędzie (np. przekonaniu o posiadaniu zgody administratora) może wyłączyć odpowiedzialność. Po trzecie, analizuje sposób pozyskania dowodów cyfrowych – czy zachowano łańcuch dowodowy, czy nośniki nie zostały zmodyfikowane, czy zatrzymanie sprzętu i przeszukanie odbyły się zgodnie z Kodeksem postępowania karnego. Po czwarte, korzysta z opinii biegłego z informatyki śledczej, by zakwestionować ustalenia oskarżyciela. Przez cały proces obrońca dba o prawa procesowe podejrzanego: prawo do odmowy wyjaśnień, prawo do obrońcy i kontrolę legalności czynności organów.

Strategie obrony i możliwości łagodzenia kary

Typowe linie obrony opierają się na elementach strony podmiotowej i przedmiotowej czynu. Brak zamiaru – jeśli dostęp był przypadkowy albo sprawca działał w przekonaniu o legalności (np. legalny pentest na podstawie umowy i pisemnego upoważnienia), odpowiedzialność może odpaść. Brak „przełamania zabezpieczeń” – gdy system był otwarty lub dane jawne, znamię z art. 267 może nie być spełnione. Wadliwe dowody – błędy w zabezpieczeniu nośników lub brak rzetelnej opinii biegłego osłabiają oskarżenie. Gdy wina jest oczywista, polskie prawo przewiduje instytucje pozwalające złagodzić wymiar kary przy współpracy z organami: dobrowolne poddanie się karze (art. 387 k.p.k.), skazanie bez rozprawy na wniosek prokuratora (art. 335 k.p.k.) oraz nadzwyczajne złagodzenie kary (art. 60 k.k.). Istotne bywa też naprawienie szkody i pojednanie z pokrzywdzonym, które sąd uwzględnia przy wymiarze kary.

Jakimi sprawami zajmuje się adwokat ds. bezpieczeństwa informacji

W praktyce sprawy te dzielą się na kilka grup. Po pierwsze – nieuprawniony dostęp i naruszenia danych: logowanie na cudze konta, wyciek bazy klientów, instalacja oprogramowania szpiegującego (art. 267–268a k.k.). Po drugie – naruszenia tajemnicy: ujawnienie informacji niejawnej (art. 265), tajemnicy zawodowej czy służbowej (art. 266), w tym przez pracownika, który zabrał dane firmy do konkurencji. Po trzecie – sabotaż i ataki na systemy: zakłócanie pracy sieci, ataki DDoS, paraliż infrastruktury (art. 269, 269a). Po czwarte – fałszerstwa dokumentów: podrabianie umów, zaświadczeń, dokumentów tożsamości czy poświadczeń elektronicznych (art. 270 i nast.). Po piąte – sprawy „mieszane”, gdzie naruszenie informacji służy oszustwu (np. phishing, kradzież tożsamości połączona z wyłudzeniem). Adwokat reprezentuje zarówno oskarżonych, jak i pokrzywdzonych w każdej z tych kategorii.

Pomoc adwokata dla osoby pokrzywdzonej

Ofiara naruszenia bezpieczeństwa informacji – np. osoba, której wykradziono dane, podsłuchano korespondencję czy podrobiono dokument na jej nazwisko – także potrzebuje wsparcia prawnego. Adwokat pomaga przede wszystkim prawidłowo zabezpieczyć i opisać dowody (logi, zrzuty ekranu, korespondencję), tak by nadawały się do wykorzystania w postępowaniu. Następnie sporządza zawiadomienie o podejrzeniu popełnienia przestępstwa, składane na policji lub w prokuraturze; w sprawach cyber pomocne bywa zgłoszenie do Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), a incydent bezpieczeństwa – do CERT Polska. Pokrzywdzony może uzyskać status oskarżyciela posiłkowego i aktywnie uczestniczyć w procesie. Równolegle adwokat prowadzi sprawę cywilną: roszczenie o odszkodowanie za szkodę majątkową i o zadośćuczynienie za naruszenie dóbr osobistych. Jeśli doszło do naruszenia ochrony danych osobowych, doradza też zgłoszenie sprawy do Prezesa UODO.

Jak wybrać dobrego adwokata do sprawy informacyjnej

Sprawy o przestępstwa informacyjne wymagają prawnika łączącego doświadczenie w prawie karnym z rozumieniem technologii. Warto zapytać o doświadczenie w sprawach z rozdziału XXXIII i XXXIV Kodeksu karnego, o współpracę z biegłymi z informatyki śledczej oraz o znajomość przepisów o ochronie danych (RODO, ustawa o ochronie danych osobowych, ustawa o krajowym systemie cyberbezpieczeństwa). Dobry obrońca potrafi przełożyć techniczny żargon na język zrozumiały dla sądu i odwrotnie – wyłowić w aktach nieścisłości techniczne podważające tezę oskarżenia. Po stronie pokrzywdzonego liczy się umiejętność równoległego prowadzenia sprawy karnej (zawiadomienie, status oskarżyciela posiłkowego) i cywilnej (powództwo o odszkodowanie). Sprawdź też dostępność i sposób komunikacji – w sprawach, gdzie liczy się szybkie zabezpieczenie ulotnych dowodów cyfrowych, czas reakcji prawnika ma realne znaczenie.