Przestępstwa przeciwko ochronie informacji (rozdz. XXXIII KK) – adwokat i obrona
Prawo karne · 6 min czytania · Redakcja zaufanyprawnik.pl
„Przestępstwa przeciwko niezależności informacji” to nieprecyzyjne, tłumaczone z angielskiego określenie kategorii czynów, które w polskim Kodeksie karnym noszą nazwę przestępstw przeciwko ochronie informacji i są zebrane w rozdziale XXXIII KK (art. 265-269c). Chodzi o czyny godzące w poufność, integralność i dostępność informacji – od nielegalnego uzyskania dostępu do danych (hacking), przez podsłuch i niszczenie danych, po sabotaż komputerowy i wytwarzanie narzędzi hakerskich. To realna i rosnąca dziedzina spraw karnych, w której obrona wymaga połączenia wiedzy prawniczej z rozumieniem technologii oraz zasad zabezpieczania dowodu cyfrowego. W tym artykule wyjaśniamy, jakie konkretnie czyny i kary przewiduje polskie prawo (z podaniem artykułów i realnych zagrożeń karą), na czym polega rola adwokata w takich sprawach, jak wygląda zabezpieczanie i kwestionowanie dowodów elektronicznych oraz co zrobić, gdy postawiono Ci taki zarzut. Korygujemy też błędy z popularnych, zautomatyzowanych opisów tego tematu.
Czym są przestępstwa przeciwko ochronie informacji w polskim prawie
Polski ustawodawca chroni informację w rozdziale XXXIII Kodeksu karnego. Przedmiotem ochrony są trzy wartości: poufność (nieujawnianie informacji osobom nieuprawnionym), integralność (niezmienialność i prawdziwość danych) oraz dostępność (możliwość korzystania z systemów i danych). To węższe i precyzyjniejsze ujęcie niż mgliste „niezależność informacji”. Część przepisów chroni tajemnice (art. 265-266), a część – bezpieczeństwo systemów i danych informatycznych (art. 267-269c). Należy odróżnić te czyny od przestępstw przeciwko wiarygodności dokumentów z rozdziału XXXIV KK (np. fałszerstwo dokumentu z art. 270 KK czy poświadczenie nieprawdy z art. 271 KK) – choć przestępstwa komputerowe bywają popełniane w zbiegu z fałszerstwem, są to odrębne kategorie. Wbrew niektórym opisom, polskie prawo karne ma charakter terytorialny i nie odsyła do obcych regulacji; podstawą zarzutu są konkretne artykuły polskiego KK, a w sprawach o dane osobowe – także przepisy ustawy o ochronie danych osobowych wdrażającej RODO.
Nielegalny dostęp do informacji i podsłuch (art. 267 KK)
Najczęstszą podstawą zarzutu w sprawach „hackerskich” jest art. 267 KK. Zgodnie z art. 267 § 1 KK, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 267 § 2 KK rozszerza karalność na uzyskanie bez uprawnienia dostępu do całości lub części systemu informatycznego. Z kolei art. 267 § 3 KK karze (tą samą sankcją) zakładanie lub posługiwanie się podsłuchem, urządzeniem wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której sprawca nie jest uprawniony. Art. 267 § 4 KK karze ujawnienie innej osobie informacji uzyskanej w opisany sposób. Co kluczowe dla pokrzywdzonych: ściganie tych czynów następuje na wniosek pokrzywdzonego (art. 267 § 5 KK), więc bez złożenia wniosku postępowania zwykle się nie prowadzi.
Niszczenie danych i sabotaż komputerowy (art. 268-269b KK)
Druga grupa czynów uderza w integralność i dostępność danych. Art. 268 KK karze tego, kto nie będąc uprawnionym niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią – grozi za to grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat, a gdy czyn dotyczy zapisu na informatycznym nośniku danych – do 3 lat (art. 268 § 2 KK). Art. 268a KK chroni dane informatyczne: za niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych albo zakłócanie ich przetwarzania grozi pozbawienie wolności do 3 lat. Art. 269 KK to sabotaż komputerowy – uszkodzenie danych o szczególnym znaczeniu dla obronności, bezpieczeństwa, administracji rządowej lub infrastruktury jest zagrożone karą od 6 miesięcy do 8 lat. Art. 269a KK karze (od 3 miesięcy do 5 lat) istotne zakłócanie pracy systemu lub sieci, a art. 269b KK – wytwarzanie, pozyskiwanie lub udostępnianie narzędzi hakerskich (np. złośliwego oprogramowania, haseł, kodów dostępu) służących do popełnienia tych przestępstw.
Ujawnienie tajemnicy i informacji niejawnych (art. 265-266 KK)
Część rozdziału XXXIII chroni tajemnice. Art. 265 § 1 KK dotyczy informacji niejawnych o klauzuli „tajne” lub „ściśle tajne”: kto je ujawnia osobie nieuprawnionej lub wbrew przepisom wykorzystuje, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. Najsurowsze, do 8 lat pozbawienia wolności, jest zagrożenie z art. 265 § 2 KK, gdy informację taką ujawnia się osobie działającej w imieniu lub na rzecz podmiotu zagranicznego. Działanie nieumyślne wobec informacji, z którą sprawca zapoznał się w związku z pełnioną funkcją, jest łagodniej karane (art. 265 § 3 KK). Z kolei art. 266 KK chroni tajemnicę zawodową i służbową: ujawnienie lub wykorzystanie wbrew przepisom albo przyjętemu zobowiązaniu informacji, z którą sprawca zapoznał się w związku z pełnioną funkcją, pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, jest zagrożone grzywną, ograniczeniem wolności albo pozbawieniem wolności do 2 lat. To właśnie tu mieści się m.in. naruszenie tajemnicy przedsiębiorstwa czy tajemnicy zawodowej.
Rola adwokata w sprawach o przestępstwa komputerowe
Obrona w sprawach z rozdziału XXXIII KK wymaga czegoś więcej niż znajomości przepisów. Po pierwsze, kluczowa jest analiza znamion: czy sprawca działał „bez uprawnienia”, czy zabezpieczenie zostało rzeczywiście „przełamane lub ominięte” (art. 267 KK), czy informacja była „istotna” (art. 268 KK), czy dane miały „szczególne znaczenie” (art. 269 KK). Wiele spraw rozstrzyga się właśnie na poziomie tych pojęć – np. dostęp do danych, do których pracownik formalnie miał uprawnienia, nie wyczerpuje znamion hackingu. Po drugie, adwokat ocenia legalność i prawidłowość zabezpieczenia dowodu cyfrowego (kopie binarne, integralność nośnika, łańcuch dowodowy, sposób przeprowadzenia oględzin i ekspertyzy informatycznej). Po trzecie, współpracuje z biegłym z zakresu informatyki śledczej, by zweryfikować przypisanie czynności konkretnej osobie – sam adres IP czy logowanie nie zawsze identyfikują sprawcę. Po czwarte, adwokat dba o realistyczną komunikację z klientem i nie obiecuje „gwarantowanego” wyniku. Obrońcą może być adwokat lub radca prawny.
Dowody cyfrowe i ich kwestionowanie
W sprawach informatycznych dowód jest niemal w całości cyfrowy, a jego wartość zależy od sposobu zabezpieczenia. Obrona analizuje, czy zabezpieczenie nośnika i danych odbyło się z zachowaniem integralności (np. sumy kontrolne, kopia bit po bicie), czy zachowano ciągłość pieczy nad dowodem oraz czy ekspertyza biegłego informatyka jest pełna i jasna – jeśli nie, na podstawie art. 201 KPK można żądać jej uzupełnienia lub powołania innego biegłego. Częstym polem obrony jest atrybucja: ustalenie, kto faktycznie wykonał kwestionowane działania. Logi, adresy IP, dane z urządzeń mogą wskazywać na konto czy sprzęt, ale niekoniecznie na konkretną osobę – zwłaszcza przy współdzielonych urządzeniach, sieciach publicznych czy zainfekowanych komputerach (gdy sprawca rzeczywisty wykorzystał maszynę osoby trzeciej). Istotne są też kwestie legalności pozyskania dowodu. Dla pokrzywdzonych ważne jest natomiast szybkie i prawidłowe zabezpieczenie materiału (zrzuty ekranu z datą, logi, kopie korespondencji) oraz – przy czynach wnioskowych – terminowe złożenie wniosku o ściganie.
Co zrobić, gdy postawiono Ci zarzut przestępstwa komputerowego
Po pierwsze, nie składaj wyjaśnień ani nie tłumacz się przed rozmową z obrońcą – masz prawo odmówić wyjaśnień i odpowiedzi na pytania (art. 175 KPK), a skorzystanie z tego prawa nie może być poczytane na Twoją niekorzyść. Po drugie, nie usuwaj, nie modyfikuj i nie „czyść” żadnych danych, urządzeń ani kont związanych ze sprawą – takie działanie może być odczytane jako zacieranie śladów i poważnie zaszkodzić obronie, a niekiedy stanowić odrębny czyn. Po trzecie, zabezpiecz materiały świadczące na Twoją korzyść: dokumentację uprawnień dostępowych, umowy, zgody, korespondencję, dowody legalnego użycia systemu. Po czwarte, jak najszybciej skonsultuj się z adwokatem znającym sprawy cyberprzestępczości i ustal strategię na każdym etapie – od pierwszego przesłuchania, przez ewentualne zatrzymanie sprzętu i środki zapobiegawcze, po linię obrony przed sądem. W odpowiednich sprawach obrońca rozważy warunkowe umorzenie postępowania (art. 66 KK) albo dobrowolne poddanie się karze (art. 335 lub 387 KPK).
Najczęstsze pytania
Jakie kary grożą za nielegalny dostęp do systemu (hacking)?
Za czyn z art. 267 KK – nieuprawnione uzyskanie dostępu do nieprzeznaczonej dla siebie informacji przez przełamanie lub ominięcie zabezpieczenia, albo nieuprawniony dostęp do systemu informatycznego – grozi grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat. Ściganie następuje na wniosek pokrzywdzonego (art. 267 § 5 KK). Surowsze kary dotyczą sabotażu komputerowego (art. 269 KK – do 8 lat).
Czy dostęp do danych, do których miałem uprawnienia, to też przestępstwo?
Co do zasady nie w ramach art. 267 KK, bo przepis wymaga działania „bez uprawnienia” i przełamania lub ominięcia zabezpieczenia. Jeśli jednak wykorzystałeś dane wbrew przepisom albo zobowiązaniu (np. zawodowemu), w grę może wejść art. 266 KK (naruszenie tajemnicy), a przy niszczeniu czy zmianie danych – art. 268 lub 268a KK. Kwalifikacja zawsze zależy od konkretnych okoliczności i zakresu uprawnień.
Czym różnią się przestępstwa komputerowe od fałszerstwa dokumentów?
Przestępstwa przeciwko ochronie informacji (rozdz. XXXIII KK – art. 265-269c) chronią poufność, integralność i dostępność informacji oraz systemów. Fałszerstwo dokumentów to odrębny rozdział XXXIV KK (np. art. 270 – podrobienie/przerobienie dokumentu, art. 271 – poświadczenie nieprawdy). Czyny te mogą występować w zbiegu, ale mają różne znamiona, różne przedmioty ochrony i różne kary.
Czy adres IP wystarcza, by udowodnić sprawstwo?
Najczęściej nie sam w sobie. Adres IP lub logowanie wskazują na konto, urządzenie albo łącze, ale niekoniecznie na konkretną osobę – zwłaszcza przy współdzielonym sprzęcie, sieciach publicznych lub zainfekowanych komputerach. Obrona często koncentruje się właśnie na atrybucji: czy oskarżenie udowodniło, że to oskarżony wykonał kwestionowane czynności. Pomocna bywa opinia biegłego z informatyki śledczej.
Czy ściganie hackingu wymaga zgłoszenia przez pokrzywdzonego?
Tak, czyny z art. 267 KK (nielegalny dostęp do informacji, podsłuch) są ścigane na wniosek pokrzywdzonego (art. 267 § 5 KK). Bez złożenia wniosku postępowania zwykle się nie prowadzi. Inne czyny, jak sabotaż komputerowy z art. 269 KK czy zakłócanie pracy systemu z art. 269a KK, mogą być ścigane z urzędu. Dlatego pokrzywdzony powinien działać szybko i zabezpieczyć dowody.
Czy w takiej sprawie możliwe jest warunkowe umorzenie?
Tak, przy spełnieniu warunków z art. 66 KK – gdy wina i społeczna szkodliwość nie są znaczne, sprawca nie był wcześniej karany za przestępstwo umyślne, a okoliczności czynu nie budzą wątpliwości – możliwe jest warunkowe umorzenie, dotyczące przestępstw zagrożonych karą do 5 lat. Realną opcją bywa też dobrowolne poddanie się karze (art. 335 lub 387 KPK). Wybór ścieżki zależy od dowodów i okoliczności.
Powiązane poradniki
- Adwokat w sprawach o cyberprzestępczość – jakie przepisy, kary i obrona
- Przestępstwa przeciwko komunikacji elektronicznej — kary i obrona (art. 267–269b k.k.)
- Przestępstwa przeciwko bezpieczeństwu informacji w systemach IT – kary z art. 267–269b KK i obrona
- Cyberataki na infrastrukturę krytyczną — odpowiedzialność karna i obrona
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny, rozdział XXXIII „Przestępstwa przeciwko ochronie informacji” (informacje niejawne – art. 265; tajemnica zawodowa/służbowa – art. 266; nielegalny dostęp i podsłuch – art. 267; niszczenie danych – art. 268 i 268a; sabotaż komputerowy – art. 269; zakłócanie systemu – art. 269a; narzędzia hakerskie – art. 269b)
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (opinia biegłego niepełna lub niejasna – art. 201; prawo do odmowy wyjaśnień – art. 175; dobrowolne poddanie się karze – art. 335 i 387)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (krajowe przepisy stosujące RODO – istotne, gdy czyn dotyczy danych osobowych)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę