Nielegalne pozyskanie danych z systemów służb ratowniczych – jaka kara i jak się bronić

Systemy zarządzania kryzysowego i dyspozytorskie służb ratowniczych – takie jak System Wspomagania Dowodzenia Państwowego Ratownictwa Medycznego (SWD PRM), System Powiadamiania Ratunkowego obsługujący numer 112 czy systemy dyspozytorskie Państwowej Straży Pożarnej i Policji – przetwarzają dane szczególnie wrażliwe: lokalizacje zgłoszeń, dane osobowe i medyczne osób wzywających pomoc, dane funkcjonariuszy oraz informacje o rozmieszczeniu sił i środków. Bezprawne uzyskanie dostępu do takich systemów lub do przesyłanych nimi danych jest w polskim prawie przestępstwem. W tym artykule wyjaśniamy, jakie konkretnie czyny są karalne, jakie grożą za nie sankcje oraz – z perspektywy obrony – jak buduje się linię obrony osoby, której postawiono taki zarzut. Tekst ma charakter informacyjny i nie zastępuje porady adwokata lub radcy prawnego w konkretnej sprawie.

Jakie przepisy Kodeksu karnego mają zastosowanie

Podstawowym przepisem jest art. 267 Kodeksu karnego (tzw. hacking i nielegalny podsłuch). Zgodnie z art. 267 § 1 KK kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 267 § 2 KK rozszerza odpowiedzialność na uzyskanie dostępu do całości lub części systemu informatycznego bez uprawnienia. Art. 267 § 3 KK karze tak samo zakładanie lub posługiwanie się urządzeniami podsłuchowymi w celu pozyskania informacji, a art. 267 § 4 KK – ujawnienie innej osobie informacji uzyskanej w sposób opisany wyżej. Ściganie następuje na wniosek pokrzywdzonego (art. 267 § 5 KK), choć w praktyce wniosek taki składa instytucja publiczna będąca administratorem systemu.

Sabotaż komputerowy i niszczenie danych – art. 268–269a KK

Jeśli sprawca nie tylko podejrzał dane, ale je usunął, zmienił albo utrudnił dostęp do nich osobie uprawnionej, w grę wchodzą surowsze przepisy. Art. 268 § 1 KK karze niszczenie, uszkadzanie, usuwanie lub zmianę zapisu istotnej informacji albo udaremnianie lub utrudnianie zapoznania się z nią. Jeśli czyn dotyczy danych informatycznych, zagrożenie wynosi do 3 lat pozbawienia wolności (art. 268 § 2 KK). Art. 269 KK przewiduje od 6 miesięcy do 8 lat pozbawienia wolności za niszczenie, uszkadzanie lub zmianę danych informatycznych o szczególnym znaczeniu dla obronności, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego – a systemy służb ratowniczych często mają taki właśnie charakter. Art. 269a KK karze (od 3 miesięcy do 5 lat) zakłócanie pracy systemu informatycznego lub sieci, np. przez atak typu DDoS na infrastrukturę dyspozytorską.

Narzędzia hakerskie i odpowiedzialność za przygotowanie – art. 269b KK

Polskie prawo karze nie tylko sam atak, lecz także jego przygotowanie. Art. 269b § 1 KK przewiduje karę od 3 miesięcy do 5 lat pozbawienia wolności dla osoby, która wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstw z art. 267 § 3, art. 268a, art. 269 lub art. 269a KK, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji. Oznacza to, że posiadanie i sprzedaż wykradzionych loginów dyspozytorów, exploitów czy złośliwego oprogramowania ukierunkowanego na te systemy może być samodzielnym przestępstwem, nawet jeśli do faktycznego włamania nie doszło. To ważna okoliczność przy ocenie zarzutu – obrona musi precyzyjnie ustalić, jakie dokładnie czyny zarzuca prokurator.

Wątek RODO i odpowiedzialność za dane osobowe

Dane przetwarzane przez służby ratownicze to często dane szczególnej kategorii (dane o zdrowiu) w rozumieniu art. 9 RODO. Bezprawne ich pozyskanie może rodzić, obok odpowiedzialności karnej, odpowiedzialność na gruncie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Art. 107 tej ustawy przewiduje grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 2 za przetwarzanie danych, gdy ich przetwarzanie nie jest dopuszczalne albo gdy nie jest się do tego uprawnionym – a do lat 3, gdy chodzi o dane szczególnych kategorii. Pokrzywdzeni mogą też dochodzić zadośćuczynienia i odszkodowania na podstawie art. 82 RODO oraz przepisów Kodeksu cywilnego o ochronie dóbr osobistych (art. 23 i 24 KC) i o naprawieniu szkody (art. 415 KC). Obrona powinna analizować całość kwalifikacji – nierzadko zarzuty karne i cywilne nakładają się na siebie.

Najczęstsze linie obrony w sprawach o nielegalny dostęp do danych

Skuteczna obrona w tego typu sprawach opiera się na kilku osiach. Po pierwsze, kwestionowanie znamienia „bez uprawnienia” – jeśli oskarżony miał legalny dostęp do systemu (np. jako pracownik, administrator, dyspozytor), kluczowe jest wykazanie, że działał w granicach uprawnień lub że nie przełamał żadnego zabezpieczenia. Po drugie, badanie strony podmiotowej: przestępstwa z art. 267 i 269b KK są umyślne, a niektóre wymagają działania w określonym celu – brak zamiaru wyklucza odpowiedzialność. Po trzecie, kwestionowanie dowodów cyfrowych: prawidłowości zabezpieczenia nośników, ciągłości łańcucha dowodowego (chain of custody), wiarygodności logów i opinii biegłego z zakresu informatyki śledczej. Po czwarte, ustalenie tożsamości sprawcy – sam fakt, że atak nastąpił z adresu IP przypisanego do oskarżonego, nie dowodzi, że to on był sprawcą (sieć mogła być przejęta, użyto VPN, współdzielono łącze).

Postępowanie krok po kroku – co robić po postawieniu zarzutu

Jeśli usłyszysz zarzut lub zostaniesz wezwany w charakterze podejrzanego: 1) skorzystaj z prawa do odmowy składania wyjaśnień (art. 175 KPK) – nie musisz tłumaczyć się przed konsultacją z obrońcą; 2) jak najszybciej ustanów obrońcę, najlepiej z doświadczeniem w przestępczości komputerowej; 3) nie kasuj i nie modyfikuj żadnych danych na swoich urządzeniach – takie działanie może zostać potraktowane jako zacieranie śladów (art. 239 KK); 4) zażądaj wglądu w akta sprawy i ustal dokładną kwalifikację prawną czynu; 5) zabezpiecz własne dowody (umowy, zakresy obowiązków, korespondencję), które mogą wykazać legalność Twojego dostępu; 6) rozważ – za radą obrońcy – dobrowolne poddanie się karze (art. 387 KPK) lub wniosek o warunkowe umorzenie (art. 66 KK), jeśli okoliczności są przyznane, a wina i społeczna szkodliwość czynu nieznaczne.

Zagrożenia szczególne i kwalifikacje zaostrzające

Atak na systemy służb ratowniczych może być oceniany surowiej niż zwykłe włamanie, ponieważ takie systemy chronią życie i zdrowie. Jeśli czyn realnie sparaliżował zdolność reagowania (np. zablokował numer alarmowy), prokurator może przyjąć kwalifikację z art. 269 KK (dane o szczególnym znaczeniu dla bezpieczeństwa lub instytucji państwowej) zagrożoną karą do 8 lat. W skrajnych przypadkach, gdy działanie miało zastraszyć organy władzy publicznej lub wywołać poważne zakłócenie funkcjonowania państwa, rozważana bywa kwalifikacja terrorystyczna z art. 115 § 20 KK, co dramatycznie zaostrza odpowiedzialność. Dlatego pierwszym zadaniem obrony jest „sprowadzenie” kwalifikacji do rzeczywistej skali czynu i wykazanie, że nie zachodzą znamiona przepisów najsurowszych, jeżeli stan faktyczny ich nie uzasadnia.