Przestępstwa zagrażające infrastrukturze ochrony zdrowia - co mówi polskie prawo?

System ochrony zdrowia - szpitale, stacje pogotowia ratunkowego, laboratoria i powiązane z nimi obiekty - należy do infrastruktury krytycznej państwa. Wynika to wprost z art. 3 pkt 2 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, który wśród systemów infrastruktury krytycznej wymienia system ochrony zdrowia. Polskie prawo nie ma jednego, odrębnego przepisu pod nazwą "przestępstwo przeciwko infrastrukturze zdrowotnej". Czyny godzące w takie obiekty kwalifikuje się natomiast na podstawie kilku różnych grup przepisów - w zależności od tego, na czym polega zagrożenie i kto jest jego sprawcą. Poniżej porządkujemy te podstawy prawne i wyraźnie oddzielamy je od siebie, ponieważ w nierzetelnych materiałach bywają one mylone. Artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej; kwalifikacja konkretnego czynu zawsze wymaga indywidualnej analizy stanu faktycznego.

Przestępstwa przeciwko bezpieczeństwu powszechnemu (art. 163-165 k.k.)

Czyny bezpośrednio zagrażające życiu lub zdrowiu wielu osób albo mieniu w wielkich rozmiarach reguluje rozdział XX Kodeksu karnego. Kto sprowadza zdarzenie powszechnie niebezpieczne - np. pożar, zawalenie się budowli, eksplozję materiałów wybuchowych lub łatwopalnych, rozprzestrzenianie się substancji trujących, duszących lub parzących - odpowiada z art. 163 § 1 k.k. i podlega karze pozbawienia wolności od roku do lat 10. Jeżeli sprawca działa nieumyślnie, zagrożenie jest niższe (art. 163 § 2 k.k.), a jeżeli następstwem czynu jest śmierć człowieka lub ciężki uszczerbek na zdrowiu wielu osób - znacznie surowsze (art. 163 § 3 k.k.). Samo sprowadzenie bezpośredniego niebezpieczeństwa takiego zdarzenia, jeszcze zanim ono nastąpi, jest karalne na podstawie art. 164 k.k. Z kolei art. 165 k.k. obejmuje sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób w inny sposób - w tym przez spowodowanie zagrożenia epidemiologicznego lub szerzenia się choroby zakaźnej, wyrabianie lub wprowadzanie do obrotu szkodliwych dla zdrowia substancji, uszkodzenie lub unieruchomienie urządzeń użyteczności publicznej albo zakłócenie automatycznego przetwarzania informacji. To właśnie te przepisy, a nie - jak sugerowały niektóre wcześniejsze materiały - art. 222 k.k. (dotyczący wyłącznie naruszenia nietykalności cielesnej funkcjonariusza publicznego), stanowią właściwą podstawę oceny ataków na placówki ochrony zdrowia i ich infrastrukturę.

Ataki na systemy informatyczne placówek (art. 267-269b k.k.)

Współczesne placówki ochrony zdrowia zależą od systemów teleinformatycznych - dokumentacji medycznej, rejestracji, aparatury diagnostycznej. Czyny wymierzone w te systemy ocenia się przede wszystkim na podstawie przepisów o przestępstwach przeciwko ochronie informacji (rozdział XXXIII Kodeksu karnego): bezprawne uzyskanie dostępu do informacji lub systemu (art. 267 k.k.), niszczenie lub zmiana danych (art. 268 i 268a k.k.), zakłócanie pracy systemu, np. atakiem typu ransomware (art. 269a k.k.), oraz wytwarzanie lub udostępnianie narzędzi do takich ataków (art. 269b k.k.). Jeżeli zakłócenie pracy systemów informatycznych sprowadza realne niebezpieczeństwo dla życia lub zdrowia wielu osób - na przykład paraliżuje funkcjonowanie szpitala - może dojść do zbiegu z art. 165 § 1 pkt 4 k.k. Niezależnie od odpowiedzialności karnej naruszenie bezpieczeństwa danych pacjentów rodzi obowiązki na gruncie RODO (rozporządzenie 2016/679) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, w tym obowiązek zgłoszenia naruszenia Prezesowi UODO.