Nielegalny dostęp do danych w polskim prawie: art. 267 k.k. i kontrola na granicy
Prawo karne · 6 min czytania · Redakcja zaufanyprawnik.pl
Uwaga redakcyjna: pierwotna wersja tego wpisu omawiała wyłącznie prawo Stanów Zjednoczonych (federalne ustawy CFAA i SCA, sprawy w rodzaju United States v. Nosal czy Van Buren, kary w dolarach oraz uprawnienia amerykańskiej służby granicznej). Przepisy te nie obowiązują w Polsce i nie mają tu zastosowania. Poniżej przedstawiamy zarys polskiego stanu prawnego dotyczącego bezprawnego dostępu do informacji oraz kontroli granicznej w Unii Europejskiej. Tekst ma charakter ogólnoinformacyjny i nie stanowi porady prawnej w konkretnej sprawie; w razie postawienia zarzutów lub realnego ryzyka odpowiedzialności należy skonsultować się z adwokatem lub radcą prawnym.
Bezprawny dostęp do informacji: art. 267 k.k.
Polskim odpowiednikiem przestępstwa nielegalnego dostępu do danych jest art. 267 Kodeksu karnego (ustawa z 6 czerwca 1997 r., tekst jednolity Dz.U. 2025 poz. 383), umieszczony w rozdziale XXXIII - Przestępstwa przeciwko ochronie informacji. Przepis ten obejmuje kilka odrębnych zachowań: - § 1 - kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie (tzw. hacking); - § 2 - kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego; - § 3 - kto w celu uzyskania nieuprawnionej informacji zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem; - § 4 - kto informację uzyskaną w sposób opisany w § 1-3 ujawnia innej osobie. Każde z tych zachowań zagrożone jest tą samą sankcją: grzywną, karą ograniczenia wolności albo karą pozbawienia wolności do lat 2. Warto zauważyć, że dla bytu przestępstwa z § 1 nie jest konieczne, by informacja była objęta szczególną tajemnicą - wystarczy, że nie była przeznaczona dla sprawcy, a dostęp uzyskano z przełamaniem lub ominięciem zabezpieczenia.
Znaczenie zamiaru i zakresu uprawnień
Czyn z art. 267 k.k. jest przestępstwem umyślnym, a w § 3 ustawodawca wymaga wprost działania w celu uzyskania informacji (zamiar bezpośredni, kierunkowy). Oznacza to, że przypadkowe lub omyłkowe uzyskanie dostępu, działanie w granicach faktycznie posiadanych uprawnień albo uzasadnione przekonanie o ich posiadaniu mogą wykluczać odpowiedzialność karną. W praktyce kluczowe bywa rozgraniczenie dostępu autoryzowanego od nieautoryzowanego. Dla osoby, której zachowanie jest oceniane, istotne mogą być m.in.: dzienniki logowania i inne zapisy systemowe, dokumentacja nadanych uprawnień (role, konta, polityki dostępu), regulaminy i umowy określające zakres dozwolonego korzystania z systemu oraz korespondencja potwierdzająca, do czego dana osoba była upoważniona. Ocena, czy doszło do przełamania albo ominięcia zabezpieczenia oraz czy sprawca działał umyślnie, zawsze należy do organów procesowych i sądu na tle konkretnego stanu faktycznego.
Tryb ścigania: na wniosek pokrzywdzonego
Zgodnie z art. 267 § 5 k.k. ściganie przestępstw opisanych w § 1-4 następuje na wniosek pokrzywdzonego. Oznacza to, że bez złożenia takiego wniosku przez osobę pokrzywdzoną organy ścigania co do zasady nie prowadzą postępowania. Po skutecznym złożeniu wniosku postępowanie toczy się jednak z urzędu, na ogólnych zasadach. Tryb wnioskowy ma istotne znaczenie praktyczne - w wielu sprawach kwestia, czy i kiedy pokrzywdzony złożył wniosek, bywa przedmiotem sporu. Obok art. 267 k.k. ten sam rozdział Kodeksu karnego zawiera przepisy chroniące integralność i dostępność danych - m.in. art. 268 k.k. (udaremnianie lub utrudnianie dostępu do informacji, niszczenie lub zmiana zapisu) oraz art. 268a k.k. (niszczenie, uszkadzanie, usuwanie, zmiana lub utrudnianie dostępu do danych informatycznych). Kwalifikacja prawna konkretnego zachowania zależy od jego charakteru i może obejmować więcej niż jeden przepis.
Art. 267 k.k. a ochrona danych osobowych (RODO)
Bezprawny dostęp do informacji i niezgodne z prawem przetwarzanie danych osobowych to dwie różne, choć powiązane płaszczyzny. Art. 267 k.k. dotyczy odpowiedzialności karnej za sam fakt nieuprawnionego uzyskania lub ujawnienia informacji. Jeżeli pozyskane dane są danymi osobowymi, równolegle może wchodzić w grę reżim ochrony danych wynikający z RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, oraz polskiej ustawy o ochronie danych osobowych. W takich sytuacjach możliwe są odrębne konsekwencje administracyjne (np. postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych) i cywilne, niezależne od oceny karnoprawnej.
Kontrola urządzeń elektronicznych na granicy w UE
W Polsce kontrolę graniczną wykonuje Straż Graniczna, działająca na podstawie ustawy z 12 października 1990 r. o Straży Granicznej (tekst jednolity Dz.U. 2026 poz. 367). W ramach uprawnień funkcjonariusze mogą m.in. przeglądać zawartość bagaży oraz sprawdzać ładunki i środki transportu (art. 11 ustawy), a w określonych ustawą sytuacjach przeprowadzić kontrolę osobistą. To jednak nie to samo co dowolny dostęp do treści zapisanych w telefonie czy komputerze. Szerszy dostęp do danych zgromadzonych w urządzeniach (np. w ramach kontroli operacyjnej) jest obwarowany dodatkowymi gwarancjami - co do zasady wymaga zgody sądu i podlega ograniczeniom czasowym, a wkroczenie w treść korespondencji i danych objętych prywatnością nie jest czynnością rutynową. Pozyskiwanie i wykorzystywanie danych musi odbywać się w granicach ustawowych uprawnień i procedur, z poszanowaniem prawa do prywatności oraz przepisów o ochronie danych osobowych. To istotna różnica wobec realiów opisanych w pierwotnej, amerykańskiej wersji wpisu. W razie wątpliwości co do podstawy i zakresu czynności można poprosić o jej wskazanie oraz skonsultować się z prawnikiem.
Granice wewnętrzne i zewnętrzne strefy Schengen
Zakres kontroli zależy od tego, jaką granicę się przekracza. Na granicach wewnętrznych strefy Schengen - zgodnie z kodeksem granicznym Schengen (rozporządzenie (UE) 2016/399) - co do zasady nie prowadzi się odprawy granicznej osób, niezależnie od ich obywatelstwa. Państwo członkowskie może jednak wyjątkowo i czasowo przywrócić kontrolę na granicach wewnętrznych w razie poważnego zagrożenia porządku publicznego lub bezpieczeństwa wewnętrznego, na zasadach i przez okresy określone w tym rozporządzeniu. Z takiej możliwości Polska okresowo korzystała, wprowadzając tymczasowe kontrole na wybranych odcinkach granicy. Na granicach zewnętrznych Unii odprawa graniczna pozostaje regułą. Dlatego przed podróżą warto sprawdzić aktualny status kontroli na danym przejściu, ponieważ stan ten bywa zmienny.
Najczęstsze pytania
Jaki przepis w Polsce odpowiada amerykańskiej ustawie CFAA?
Najbliższym odpowiednikiem jest art. 267 Kodeksu karnego - bezprawne uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, m.in. przez przełamanie lub ominięcie zabezpieczeń, a także nieuprawniony dostęp do systemu informatycznego. Czyn ten zagrożony jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2.
Czy do skazania z art. 267 k.k. potrzebne jest złamanie hasła lub zabezpieczenia?
W przypadku § 1 znamieniem jest uzyskanie dostępu do informacji m.in. przez przełamanie albo ominięcie elektronicznego, magnetycznego, informatycznego lub innego szczególnego zabezpieczenia. Z kolei § 2 penalizuje sam nieuprawniony dostęp do całości lub części systemu informatycznego. Ostateczna kwalifikacja zależy od okoliczności konkretnej sprawy i jej oceny przez sąd.
Kto inicjuje postępowanie w sprawie z art. 267 k.k.?
Zgodnie z art. 267 § 5 k.k. ściganie czynów z § 1-4 następuje na wniosek pokrzywdzonego. Bez takiego wniosku organy ścigania co do zasady nie prowadzą postępowania; po jego złożeniu sprawa toczy się dalej na zasadach ogólnych.
Czy przypadkowy dostęp do cudzych danych jest karalny?
Czyn z art. 267 k.k. jest przestępstwem umyślnym (w § 3 wymagane jest działanie w celu uzyskania informacji). Przypadkowe lub omyłkowe uzyskanie dostępu, działanie w granicach posiadanych uprawnień albo uzasadnione przekonanie o ich posiadaniu mogą wyłączać odpowiedzialność karną. Ocenę zawsze przeprowadza sąd na tle konkretnego stanu faktycznego.
Czy Straż Graniczna może przeszukać mój telefon na granicy?
Funkcjonariusze Straży Granicznej działają w granicach ustawy o Straży Granicznej (m.in. przeglądanie bagażu, kontrola osobista w określonych sytuacjach). Szerszy dostęp do treści zapisanych w urządzeniu, np. w trybie kontroli operacyjnej, jest obwarowany dodatkowymi gwarancjami i co do zasady wymaga zgody sądu. Nie jest to czynność dowolna - w razie wątpliwości można poprosić o wskazanie podstawy prawnej i skonsultować się z prawnikiem.
Czy na granicy wewnętrznej w strefie Schengen jestem kontrolowany?
Co do zasady na granicach wewnętrznych strefy Schengen nie prowadzi się odprawy granicznej osób (kodeks graniczny Schengen, rozporządzenie (UE) 2016/399). Państwa mogą jednak wyjątkowo i czasowo przywrócić kontrolę przy poważnym zagrożeniu porządku publicznego lub bezpieczeństwa - z takiej możliwości Polska okresowo korzystała. Aktualny status kontroli na danym przejściu warto sprawdzić przed podróżą.
Powiązane poradniki
- Nielegalne pozyskanie danych z monitoringu miejskiego: jaka grozi odpowiedzialność i jak się bronić
- Nielegalne pozyskanie danych z systemu informatycznego — jakie są linie obrony?
- Nielegalne podsłuchiwanie - kiedy jest przestępstwem i jak się bronić?
- Przestępstwa przeciwko bezpieczeństwu infrastruktury bankowej - kwestie prawne
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (tekst jedn. Dz.U. 2025 poz. 383), art. 267
- Ustawa z dnia 12 października 1990 r. o Straży Granicznej (tekst jedn. Dz.U. 2026 poz. 367)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/399 - kodeks graniczny Schengen (tekst skonsolidowany)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę