Nielegalne pozyskiwanie danych z systemów administracji publicznej - jaka obrona w procesie karnym?

Pozyskanie danych z systemów administracji publicznej - PESEL, CEPiK, ePUAP, rejestrów ZUS, KRS, ksiąg wieczystych czy policyjnych baz danych - bez uprawnienia jest w Polsce przestępstwem, a nie jedynie naruszeniem przepisów o ochronie danych. Najczęściej stawiane zarzuty to nieuprawniony dostęp do systemu informatycznego (art. 267 Kodeksu karnego) oraz przekroczenie uprawnień przez funkcjonariusza publicznego (art. 231 KK). Wokół tych zarzutów buduje się realną obronę, która opiera się na zakresie posiadanego uprawnienia, braku znamion strony podmiotowej (umyślności i celu) oraz na ocenie, czy doszło do realnego przełamania zabezpieczeń. Ten artykuł porządkuje, jakie przepisy faktycznie wchodzą w grę i jakie argumenty obrończe mają oparcie w polskim prawie - bez powielania konstrukcji rodem z prawa obcego, które w polskim postępowaniu nie obowiązują.

Jakie przepisy realnie regulują nieuprawniony dostęp do danych

Podstawowy przepis to art. 267 KK: kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, przełamując lub omijając zabezpieczenie elektroniczne, magnetyczne, informatyczne lub inne szczególne, albo uzyskuje dostęp do całości lub części systemu informatycznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega, kto bezprawnie posługuje się oprogramowaniem do podsłuchu lub przechwytuje dane (par. 3). Jeśli sprawca dane zniszczył, uszkodził lub zmienił, w grę wchodzi art. 268 KK (naruszenie integralności zapisu) lub art. 268a KK (utrudnianie dostępu do danych), a w przypadku zakłócenia pracy systemu - art. 269 KK (sabotaż komputerowy, do 8 lat) i art. 269a KK. Urzędnik, który przeglądał rejestr poza zakresem służbowym, dodatkowo odpowiada z art. 231 KK (nadużycie uprawnień przez funkcjonariusza publicznego). Karnoprawną sankcję za bezprawne przetwarzanie danych osobowych przewiduje też art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Wbrew częstemu uproszczeniu art. 241 KK (ujawnienie informacji z postępowania) dotyczy zupełnie innej sytuacji i tylko wyjątkowo będzie tu właściwą podstawą.

Linia obrony: zakres uprawnienia i jego interpretacja

Znamieniem art. 267 par. 1 KK jest działanie "bez uprawnienia". Najsilniejsza obrona polega na wykazaniu, że oskarżony dysponował uprawnieniem do dostępu - na podstawie zakresu obowiązków, nadanego konta w systemie, polecenia przełożonego lub przepisów regulujących dany rejestr. Jeśli pracownik miał legalny login i hasło i przeglądał dane w ramach kompetencji, brak jest przełamania zabezpieczenia. Problem pojawia się przy tzw. nadużyciu legalnego dostępu (urzędnik sprawdza dane sąsiada "z ciekawości"). Tu obrona koncentruje się na granicy między dyscyplinarnym naruszeniem a czynem karalnym oraz na tym, czy w ogóle doszło do uzyskania informacji "nieprzeznaczonej" dla sprawcy. Praktyczny krok: zażądać udostępnienia logów dostępowych, regulaminu systemu, polityki bezpieczeństwa i zakresu czynności - rozbieżność między oskarżeniem a rzeczywistym zakresem uprawnień często rozkłada zarzut.

Strona podmiotowa - umyślność i cel działania

Przestępstwa z art. 267-269 KK są umyślne. Oskarżyciel musi wykazać, że sprawca obejmował świadomością i wolą zarówno brak uprawnienia, jak i przełamanie zabezpieczenia. Obrona realnie wykorzystuje wątpliwości co do zamiaru: błędne przekonanie o posiadaniu zgody (błąd co do okoliczności wyłączającej bezprawność - art. 28 i 29 KK), działanie automatyczne w ramach wadliwie skonfigurowanego systemu, brak świadomości, że dane są chronione. Co istotne, sam motyw zysku NIE jest znamieniem art. 267 KK - przestępstwo jest dokonane już przez sam nieuprawniony dostęp, niezależnie od tego, czy sprawca chciał zarobić. Dlatego argument "nie działałem dla korzyści" osłabia ewentualny zarzut z innych przepisów (np. art. 231 par. 2 KK - działanie w celu korzyści), ale nie wyłącza odpowiedzialności za sam dostęp. Tę różnicę trzeba w obronie precyzyjnie rozdzielić.

Interes publiczny, sygnaliści i wolność prasy - granice obrony

Powoływanie się na interes publiczny w polskim prawie karnym nie jest samoistnym kontratypem przy nieuprawnionym dostępie do systemu. Dziennikarz nie może legalnie włamać się do bazy, ale ujawnienie pozyskanych informacji może być oceniane przez pryzmat art. 1 i art. 12 Prawa prasowego oraz wolności wypowiedzi (art. 54 Konstytucji RP, art. 10 EKPC). Realną tarczą bywa ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów: osoba zgłaszająca naruszenie prawa w przewidzianym trybie korzysta z ochrony przed działaniami odwetowymi i, przy spełnieniu warunków, z wyłączenia odpowiedzialności za pozyskanie informacji, do których miała legalny dostęp. Kluczowe ograniczenie: ochrona obejmuje zgłoszenie zgodnie z procedurą i informacje uzyskane legalnie - nie legalizuje samego włamania. Obrona powinna sprawdzić, czy klient spełnia ustawowe przesłanki bycia sygnalistą, bo to często niedoceniana, a mocna linia.

Rola zgody i podstaw przetwarzania danych

Na gruncie RODO (rozporządzenie 2016/679) zgoda osoby, której dane dotyczą, jest tylko jedną z podstaw przetwarzania (art. 6 ust. 1 RODO) - obok obowiązku prawnego, zadania realizowanego w interesie publicznym czy wykonywania władzy publicznej, które dla administracji są typowe. W sprawach karnych o nieuprawniony dostęp argument "miałem zgodę" działa jako element błędu co do bezprawności (sprawca sądził, że jest uprawniony), a nie jako automatyczne uniewinnienie. Warto pamiętać, że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, i można ją cofnąć. W praktyce obrończej dokumentem przesądzającym bywa upoważnienie do przetwarzania danych (art. 29 RODO) wydane pracownikowi przez administratora - jego treść wyznacza granicę legalnego dostępu i decyduje, czy doszło do przekroczenia uprawnień.

Konsekwencje dla pokrzywdzonego i wtórna wiktymizacja

Nieuprawnione ujawnienie danych z rejestrów państwowych - zwłaszcza wrażliwych (zdrowie, dane karne, adres osoby chronionej) - bywa źródłem realnej szkody: nękania, kradzieży tożsamości, przemocy. Pokrzywdzony ma kilka równoległych ścieżek: zawiadomienie o przestępstwie i wniosek o ściganie, roszczenia cywilne o zadośćuczynienie z tytułu naruszenia dóbr osobistych (art. 23, 24 i 448 Kodeksu cywilnego), a także skargę do Prezesa Urzędu Ochrony Danych Osobowych i roszczenie odszkodowawcze z art. 82 RODO. W toku procesu pokrzywdzony może działać jako oskarżyciel posiłkowy. Dla obrony oznacza to konieczność rzetelnej oceny rozmiaru rzeczywistej szkody - zawyżone roszczenia warto kwestionować dowodowo, a przy realnej krzywdzie rozważyć mediację lub dobrowolne naprawienie szkody, co wpływa łagodząco na wymiar kary.

Praktyczne kroki obrony krok po kroku

1) Ustal dokładną kwalifikację prawną - art. 267, 268, 269 czy 231 KK - bo każdy ma inne znamiona i inne luki. 2) Zażądaj pełnej dokumentacji dostępowej: logów, regulaminu systemu, polityki bezpieczeństwa, zakresu czynności i upoważnienia z art. 29 RODO. 3) Zbadaj, czy doszło do realnego przełamania zabezpieczenia - jeśli system nie był zabezpieczony, znamię może odpaść. 4) Przeanalizuj stronę podmiotową: czy da się wykazać błąd co do uprawnienia (art. 28-29 KK). 5) Sprawdź status sygnalisty wg ustawy z 2024 r. 6) Rozważ wniosek o warunkowe umorzenie postępowania (art. 66 KK) przy niskiej społecznej szkodliwości i niekaralności. 7) Przy realnej szkodzie - dobrowolne jej naprawienie i wniosek o nadzwyczajne złagodzenie kary. Każdy z tych kroków powinien być poparty konkretnym dokumentem lub dowodem, a nie ogólnikiem.