Przestępstwa przeciwko bezpieczeństwu danych (art. 267-269b KK)

Bezpieczeństwo informacji przetwarzanej elektronicznie chroni w Polsce rozdział XXXIII Kodeksu karnego, zatytułowany "Przestępstwa przeciwko ochronie informacji" (art. 265-269c KK). To właśnie te przepisy - a nie zagraniczne regulacje - decydują o odpowiedzialności karnej za hacking, nielegalny podsłuch transmisji, niszczenie danych czy ataki paraliżujące systemy teleinformatyczne. Dla każdej kancelarii prawnej, firmy i administratora danych temat ma podwójny wymiar: z jednej strony należy chronić własne systemy i dane klientów, z drugiej - rozumieć, jakie działania w sieci stanowią przestępstwo i jak reagować po incydencie. Do tego dochodzą obowiązki wynikające z RODO oraz z ustawy o krajowym systemie cyberbezpieczeństwa. Poniżej omawiamy polskie przepisy karne dotyczące cyberprzestępczości, sankcje administracyjne za naruszenie ochrony danych oraz praktyczne kroki, jakie powinien podjąć podmiot dotknięty atakiem.

Hacking i nielegalny dostęp - art. 267 KK

Podstawowym przepisem chroniącym poufność informacji jest art. 267 KK. Zgodnie z § 1 kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego (art. 267 § 2 KK). Karany jest też nielegalny podsłuch - zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu pozyskania informacji, do której nie jest się uprawnionym (art. 267 § 3 KK). Wreszcie karalne jest ujawnienie innej osobie informacji uzyskanej w taki sposób (art. 267 § 4 KK). Ściganie przestępstw z art. 267 KK następuje na wniosek pokrzywdzonego.

Niszczenie i zmiana danych - art. 268 i 268a KK

Integralność danych chronią dwa kolejne przepisy. Art. 268 § 1 KK karze tego, kto nie będąc uprawnionym niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią - grozi za to grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2, a jeżeli czyn dotyczy zapisu na informatycznym nośniku danych - do lat 3 (art. 268 § 2 KK). Z kolei art. 268a § 1 KK chroni dane informatyczne jako takie: kto bez uprawnienia niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. Jeżeli sprawca wyrządził znaczną szkodę majątkową, kara wynosi od 3 miesięcy do 5 lat (art. 268a § 2 KK). Te czyny ścigane są na wniosek pokrzywdzonego.

Sabotaż komputerowy i ataki na sieci - art. 269 i 269a KK

Najpoważniejsze ataki na infrastrukturę ujęte są w art. 269 i 269a KK. Sabotaż komputerowy (art. 269 § 1 KK) polega na niszczeniu, uszkadzaniu, usuwaniu lub zmianie danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego, względnie na zakłóceniu lub uniemożliwieniu automatycznego przetwarzania takich danych - grozi za to kara pozbawienia wolności od 6 miesięcy do 8 lat. Art. 269a KK penalizuje zakłócanie pracy systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej (typowo ataki DDoS) przez transmisję, niszczenie, usuwanie, uszkadzanie, utrudnianie dostępu lub zmianę danych informatycznych - kara od 3 miesięcy do 5 lat. W odróżnieniu od czynów z art. 267-268a, przestępstwa z art. 269 i 269a KK ścigane są z urzędu, bo godzą w interes publiczny i bezpieczeństwo państwa.

Narzędzia hakerskie i kradzież tożsamości - art. 269b i 190a KK

Polski ustawodawca penalizuje także samo przygotowanie do cyberataku. Art. 269b § 1 KK karze tego, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstw z art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w zw. z § 1, art. 269 § 2 albo art. 269a KK, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji - grozi za to kara od 3 miesięcy do 5 lat. Oddzielnie warto pamiętać o tzw. kradzieży tożsamości z art. 190a § 2 KK: podszywanie się pod inną osobę, wykorzystanie jej wizerunku, danych osobowych lub innych danych w celu wyrządzenia jej szkody majątkowej lub osobistej (np. zakładanie fałszywych kont, branie pożyczek na cudze dane) zagrożone jest karą od 6 miesięcy do 8 lat. Oszustwa internetowe rozliczane są zwykle z art. 286 KK (oszustwo) lub art. 287 KK (oszustwo komputerowe).

Obowiązki administratora danych według RODO

Niezależnie od odpowiedzialności karnej sprawcy, podmiot przetwarzający dane (w tym kancelaria) ma własne obowiązki wynikające z RODO. Administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych - art. 32 RODO. W razie naruszenia ochrony danych osobowych powodującego ryzyko dla praw i wolności osób, administrator zgłasza je Prezesowi UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Jeżeli ryzyko jest wysokie, należy także zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Polskim organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych - to do niego, a nie do brytyjskiego ICO, kieruje się zgłoszenia. Brak zgłoszenia naruszenia, niewystarczające zabezpieczenia lub inne uchybienia mogą skutkować administracyjną karą pieniężną nakładaną przez Prezesa UODO.

Kary administracyjne RODO i krajowy system cyberbezpieczeństwa

Maksymalne kary administracyjne za naruszenie RODO są określone w art. 83 rozporządzenia w euro, a nie w funtach. Za lżejsze naruszenia (m.in. obowiązki z art. 32-34) grozi kara do 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa - w zależności od tego, która kwota jest wyższa. Za cięższe naruszenia (np. zasad przetwarzania, praw osób, których dane dotyczą) kara sięga 20 mln euro lub 4% rocznego światowego obrotu. Podmioty publiczne w Polsce podlegają niższemu limitowi - do 100 000 zł (art. 102 ustawy o ochronie danych osobowych). Osobno funkcjonuje ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która nakłada obowiązki zgłaszania incydentów na operatorów usług kluczowych i dostawców usług cyfrowych; przepisy te są dostosowywane do unijnej dyrektywy NIS 2, która znacznie rozszerza krąg podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa.

Jak reagować po incydencie i co zrobić w kancelarii

Po wykryciu ataku lub wycieku danych działaj według planu: (1) odetnij zagrożenie - odizoluj zainfekowane systemy, zmień hasła, zabezpiecz logi i dowody na potrzeby ewentualnego postępowania; (2) oceń, czy doszło do naruszenia ochrony danych osobowych i czy uruchamia się 72-godzinny obowiązek z art. 33 RODO; (3) zgłoś przestępstwo - zawiadomienie o czynie z art. 267-269b KK składa się na policji lub w prokuraturze (przy art. 267-268a pamiętaj o wniosku o ściganie); incydenty zgłasza się też do CSIRT/CERT Polska; (4) powiadom dotknięte osoby, jeśli ryzyko jest wysokie (art. 34 RODO); (5) wyciągnij wnioski - zaktualizuj politykę bezpieczeństwa, wdroż szyfrowanie i uwierzytelnianie wieloskładnikowe, przeszkol pracowników (phishing to wciąż najczęstszy wektor) oraz zadbaj o umowy powierzenia z dostawcami zewnętrznymi (art. 28 RODO). Kancelaria, ze względu na tajemnicę adwokacką lub radcowską, traktuje poufność danych klientów priorytetowo - wyciek może oznaczać nie tylko karę UODO, ale i odpowiedzialność dyscyplinarną oraz roszczenia odszkodowawcze klientów.