Przestępstwa przeciwko ochronie informacji - art. 265-269b Kodeksu karnego w praktyce
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Przestępstwa przeciwko ochronie informacji to cały rozdział XXXIII Kodeksu karnego (art. 265-269b), który chroni poufność danych - od tajemnicy państwowej i zawodowej, przez korespondencję, po integralność systemów informatycznych. W praktyce biurowej i firmowej najczęściej dotyczą one nieuprawnionego dostępu do danych, hackingu, podsłuchu, naruszenia tajemnicy zawodowej oraz sabotażu komputerowego. Konsekwencje bywają poważne - od grzywny po wieloletnie pozbawienie wolności - a obok odpowiedzialności karnej dochodzi często odpowiedzialność cywilna i administracyjna (RODO). W tym artykule porządkujemy poszczególne typy czynów, wskazujemy właściwe przepisy i wyjaśniamy, jak wygląda obrona oraz jak organizacja może ograniczyć ryzyko.
Nieuprawniony dostęp do informacji - art. 267 k.k.
Podstawowym przepisem jest art. 267 Kodeksu karnego. Karze on tego, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej - otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej albo przełamując lub omijając zabezpieczenia elektroniczne, magnetyczne, informatyczne lub inne (art. 267 § 1). Karalne jest też nieuprawnione uzyskanie dostępu do całości lub części systemu informatycznego (§ 2) oraz zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym w celu pozyskania informacji, do której nie jest się uprawnionym (§ 3). Przekazanie tak uzyskanej informacji innej osobie jest również karalne (§ 4). Czyn z art. 267 zagrożony jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2, a ściganie następuje na wniosek pokrzywdzonego (§ 5).
Naruszenie tajemnicy zawodowej i służbowej - art. 266 k.k.
Tu wymaga sprostowania częsty błąd: naruszenie tajemnicy zawodowej reguluje art. 266 Kodeksu karnego, a nie art. 180 (powoływany niekiedy błędnie - art. 180 należy do Kodeksu postępowania karnego i dotyczy zwalniania świadka z tajemnicy zawodowej w procesie). Zgodnie z art. 266 § 1 k.k. odpowiada ten, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową - grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Surowiej (do 3 lat) odpowiada funkcjonariusz publiczny ujawniający informację niejawną o klauzuli 'zastrzeżone' lub 'poufne' (§ 2). Dotyczy to m.in. tajemnicy lekarskiej, adwokackiej, radcowskiej, bankowej czy ubezpieczeniowej, regulowanych dodatkowo ustawami branżowymi.
Ujawnienie informacji niejawnych - art. 265 k.k.
Najpoważniejsze sankcje dotyczą informacji niejawnych o najwyższych klauzulach. Art. 265 § 1 k.k. karze ujawnienie lub wykorzystanie wbrew przepisom ustawy informacji niejawnych o klauzuli 'tajne' lub 'ściśle tajne' karą pozbawienia wolności od 3 miesięcy do 5 lat. Jeżeli informację ujawniono osobie działającej w imieniu obcego wywiadu, grozi kara od 6 miesięcy do 8 lat (§ 2), a nieumyślne ujawnienie przez osobę zapoznaną z informacją w związku z pełnioną funkcją - do roku (§ 3). Klauzule te i zasady ich ochrony określa ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych. Warto podkreślić: spotykane w obiegu twierdzenie o 'karze do 10 lat' za samo ujawnienie informacji poufnej nie znajduje oparcia w art. 265 - górna granica to 8 lat w kwalifikowanym typie związanym z obcym wywiadem.
Hacking i sabotaż komputerowy - art. 268-269b k.k.
Przestępczość komputerowa ma kilka odrębnych typów. Art. 268 k.k. karze niszczenie, uszkadzanie, usuwanie lub zmienianie zapisu istotnej informacji albo udaremnianie lub utrudnianie zapoznania się z nią osobie uprawnionej. Art. 268a dotyczy nieuprawnionego niszczenia, uszkadzania lub zmiany danych informatycznych oraz zakłócania ich przetwarzania. Art. 269 penalizuje sabotaż wobec danych o szczególnym znaczeniu dla obronności, bezpieczeństwa państwa lub administracji - z karą od 6 miesięcy do 8 lat. Art. 269a karze istotne zakłócanie pracy systemu informatycznego lub sieci, a art. 269b - wytwarzanie, pozyskiwanie lub udostępnianie programów, haseł lub kodów dostępu (tzw. narzędzi hakerskich) przystosowanych do popełnienia tych przestępstw. To właśnie te przepisy obejmują phishing skutkujący przejęciem danych, ataki malware czy nieuprawnione modyfikacje baz danych.
Przekroczenie uprawnień i nadużycie dostępu - art. 231 k.k.
Gdy informacje wykorzystuje funkcjonariusz publiczny działający na szkodę interesu publicznego lub prywatnego, w grę wchodzi art. 231 Kodeksu karnego (przekroczenie uprawnień lub niedopełnienie obowiązków). Typ podstawowy zagrożony jest karą pozbawienia wolności do lat 3, a działanie w celu osiągnięcia korzyści majątkowej lub osobistej - od roku do 10 lat (§ 2). W kontekście biurowym oznacza to, że urzędnik czy pracownik instytucji publicznej, który sięga po dane obywateli dla prywatnych celów (np. sprawdza kogoś w bazie bez podstawy), naraża się nie tylko na zarzut z art. 266 lub 267, ale również z art. 231. Często czyny te kwalifikuje się kumulatywnie.
Bezprawny podsłuch i przechwytywanie korespondencji
Nieuprawnione przechwytywanie komunikacji - rozmów, e-maili, wiadomości - jest karalne na podstawie art. 267 § 3 k.k. (posłużenie się urządzeniem podsłuchowym lub innym w celu uzyskania informacji nieprzeznaczonej dla sprawcy). Ochrona obejmuje zarówno klasyczną korespondencję, jak i komunikację cyfrową. Nagranie własnej rozmowy, w której się uczestniczy, co do zasady nie jest tym przestępstwem, ale podsłuch cudzej komunikacji bez uprawnienia już tak. Niezależnie od odpowiedzialności karnej, takie działanie narusza dobra osobiste (tajemnica korespondencji, prywatność) chronione na gruncie art. 23 i 24 Kodeksu cywilnego, co otwiera drogę do roszczeń cywilnych o zadośćuczynienie i zaniechanie naruszeń.
Odpowiedzialność równoległa - RODO i prawo cywilne
Naruszenie bezpieczeństwa informacji rzadko kończy się na jednej ścieżce. Jeśli ujawnione dane to dane osobowe, organizacja odpowiada również na gruncie RODO (rozporządzenie UE 2016/679) i ustawy z 10 maja 2018 r. o ochronie danych osobowych - z obowiązkiem zgłoszenia naruszenia do Prezesa UODO w ciągu 72 godzin (art. 33 RODO) oraz ryzykiem administracyjnych kar pieniężnych sięgających milionów euro. Równolegle poszkodowani mogą dochodzić odszkodowania (art. 82 RODO, art. 415 i 448 k.c.). Pracownik, który dopuścił się naruszenia, naraża się dodatkowo na odpowiedzialność porządkową i dyscyplinarną oraz rozwiązanie umowy o pracę. Dlatego ocena ryzyka prawnego musi obejmować jednocześnie wymiar karny, cywilny i administracyjny.
Obrona w sprawie o przestępstwo przeciwko ochronie informacji
Linia obrony zależy od typu czynu. W sprawach z art. 267 kluczowe jest to, czy sprawca rzeczywiście 'przełamał lub ominął zabezpieczenie' i czy informacja była dla niego 'nieprzeznaczona' - dostęp do danych jawnych lub niezabezpieczonych może wyłączać znamiona. W sprawach z art. 266 bada się, czy istniało wiążące zobowiązanie do zachowania tajemnicy i czy ujawnienie nie było objęte kontratypem (np. zwolnienie z tajemnicy, obowiązek prawny zawiadomienia). Istotny jest też zamiar - większość tych czynów jest umyślna, więc wykazanie braku świadomości lub przypadkowości bywa skuteczne. Ponieważ czyny z art. 266 i 267 są ścigane na wniosek pokrzywdzonego, brak lub cofnięcie wniosku kończy postępowanie. Każdą sprawę warto skonsultować z obrońcą jeszcze przed złożeniem wyjaśnień.
Najczęstsze pytania
Który artykuł Kodeksu karnego dotyczy hackingu?
Nieuprawniony dostęp do systemu informatycznego lub danych reguluje art. 267 k.k. (przełamanie lub ominięcie zabezpieczeń). Niszczenie i zakłócanie danych obejmują art. 268 i 268a, sabotaż danych istotnych dla państwa - art. 269, zakłócanie pracy systemu - art. 269a, a wytwarzanie i udostępnianie narzędzi hakerskich (programów, haseł, kodów) - art. 269b k.k. Konkretny atak (np. phishing, malware) kwalifikuje się według skutku i sposobu działania.
Czy naruszenie tajemnicy zawodowej reguluje art. 180 Kodeksu karnego?
Nie. Naruszenie tajemnicy zawodowej i służbowej reguluje art. 266 Kodeksu karnego. Art. 180 należy do Kodeksu postępowania karnego i dotyczy zasad zwalniania świadka (np. lekarza, dziennikarza) z obowiązku zachowania tajemnicy w toku procesu. To częsty błąd - karną odpowiedzialność za ujawnienie tajemnicy lekarskiej, adwokackiej czy bankowej wywodzi się z art. 266 k.k. oraz ustaw branżowych, nie z art. 180.
Jaka kara grozi za ujawnienie informacji niejawnych?
Ujawnienie lub wykorzystanie informacji niejawnych o klauzuli 'tajne' lub 'ściśle tajne' jest zagrożone karą od 3 miesięcy do 5 lat pozbawienia wolności (art. 265 § 1 k.k.). Jeśli odbiorcą jest osoba działająca w imieniu obcego wywiadu - od 6 miesięcy do 8 lat (§ 2). Nieumyślne ujawnienie przez osobę zapoznaną z informacją w związku z funkcją grozi karą do roku (§ 3).
Czy nagranie własnej rozmowy jest przestępstwem podsłuchu?
Co do zasady nie. Karalny z art. 267 § 3 k.k. jest podsłuch cudzej komunikacji, dla której sprawca nie jest uprawnionym odbiorcą, przy użyciu urządzenia podsłuchowego lub innego. Nagranie rozmowy, w której samemu się uczestniczy, zwykle nie wyczerpuje tego znamienia, jednak wykorzystanie takiego nagrania może rodzić odpowiedzialność cywilną za naruszenie dóbr osobistych, a w niektórych kontekstach być nielegalnym dowodem.
Co powinien zrobić pracownik, który podejrzewa naruszenie danych?
Należy niezwłocznie powiadomić przełożonego, inspektora ochrony danych (IOD) lub dział bezpieczeństwa zgodnie z wewnętrzną procedurą, udokumentować okoliczności i nie ujawniać incydentu osobom nieuprawnionym. Jeśli doszło do naruszenia danych osobowych, administrator ma obowiązek zgłosić je do Prezesa UODO w ciągu 72 godzin (art. 33 RODO). Do czasu instrukcji warto powstrzymać się od ingerencji w dotknięte systemy, by nie zatrzeć śladów.
Czy za nadużycie dostępu do danych odpowiada się tylko karnie?
Nie. Obok odpowiedzialności karnej (m.in. art. 266, 267, 231 k.k.) występuje odpowiedzialność administracyjna na gruncie RODO - kary nakładane przez Prezesa UODO - oraz cywilna (odszkodowanie z art. 82 RODO i art. 415, 448 k.c. za naruszenie dóbr osobistych). Pracownik naraża się dodatkowo na odpowiedzialność dyscyplinarną i rozwiązanie umowy o pracę. Ścieżki te są niezależne i mogą wystąpić jednocześnie.
Powiązane poradniki
- Nielegalne pozyskanie danych z systemu bezpieczeństwa żywności (HACCP): co grozi i jak się bronić
- Nielegalne pozyskiwanie danych z systemów transportowych - jak wygląda obrona?
- Nielegalne pozyskiwanie informacji z systemów IT - odpowiedzialność karna i RODO
- Nielegalne pozyskanie danych z systemu informatycznego — jakie są linie obrony?
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (Rozdział XXXIII, art. 265-269b oraz art. 231, 266)
- Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (RODO/UODO)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (art. 180 - zwolnienie z tajemnicy zawodowej)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę