Nieuprawnione udostępnianie danych firmowych - odpowiedzialność karna i linie obrony (art. 266, 267 k.k., art. 23 UZNK)
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Ujawnienie albo wyniesienie danych firmowych - listy klientów, cenników, dokumentacji technicznej, baz kontaktów czy danych osobowych pracowników - może rodzić odpowiedzialność karną, cywilną, a w stosunku pracy także dyscyplinarną. W polskim prawie nie istnieje jeden przepis o nieuprawnionym udostępnianiu danych firmowych; w grę wchodzi kilka różnych podstaw, w zależności od tego, jakie dane ujawniono, kto to zrobił i w jaki sposób. Najważniejsze są: naruszenie tajemnicy zawodowej lub służbowej (art. 266 k.k.), bezprawne uzyskanie informacji - tzw. hacking (art. 267 k.k.), naruszenie tajemnicy przedsiębiorstwa (art. 23 ustawy o zwalczaniu nieuczciwej konkurencji) oraz bezprawne przetwarzanie danych osobowych (art. 107 ustawy o ochronie danych osobowych w związku z RODO). Ten artykuł wyjaśnia, kiedy udostępnienie danych jest przestępstwem, jakie grożą kary i na czym polega realna obrona. Ma charakter informacyjny i nie zastępuje porady prawnej w konkretnej sprawie.
Naruszenie tajemnicy zawodowej i służbowej - art. 266 k.k.
Podstawowym przepisem dotyczącym ujawnienia poufnych informacji przez osobę, która weszła w ich posiadanie w związku z pracą lub funkcją, jest art. 266 k.k. Zgodnie z art. 266 § 1 k.k. odpowiada ten, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową. Grozi za to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Jest to przestępstwo formalne - dla skazania nie trzeba wykazywać, że firma poniosła realną szkodę finansową; wystarczy samo bezprawne ujawnienie lub wykorzystanie informacji. Surowszy typ z art. 266 § 2 k.k. dotyczy funkcjonariusza publicznego ujawniającego informację niejawną o klauzuli zastrzeżone lub poufne (kara do 3 lat). Ściganie przestępstwa z art. 266 § 1 k.k. następuje na wniosek pokrzywdzonego, co ma istotne znaczenie procesowe.
Naruszenie tajemnicy przedsiębiorstwa - art. 23 UZNK
Drugą, niezależną podstawą jest art. 23 ustawy z 1993 r. o zwalczaniu nieuczciwej konkurencji. Zgodnie z art. 23 ust. 1 UZNK przestępstwo popełnia ten, kto wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy ujawnia innej osobie lub wykorzystuje we własnej działalności informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy. Art. 23 ust. 2 UZNK obejmuje tego, kto uzyskał informację stanowiącą tajemnicę przedsiębiorstwa bezprawnie, a następnie ją ujawnia lub wykorzystuje. We wszystkich tych przypadkach grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Tajemnicą przedsiębiorstwa są informacje techniczne, technologiczne, organizacyjne lub inne mające wartość gospodarczą, które nie są powszechnie znane i co do których przedsiębiorca podjął działania w celu zachowania ich poufności (definicja w art. 11 ust. 2 UZNK). Brak takich działań ochronnych po stronie firmy bywa kluczowym argumentem obrony - jeśli informacja nie była realnie chroniona, trudno mówić o tajemnicy przedsiębiorstwa.
Bezprawne uzyskanie informacji - art. 267 k.k.
Jeżeli sprawca nie miał legalnego dostępu do danych, lecz uzyskał je podstępnie lub z obejściem zabezpieczeń, w grę wchodzi art. 267 k.k. Karze podlega ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, m.in. otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej albo przełamując lub omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenie (art. 267 § 1 k.k.). Tej samej karze podlega kto uzyskuje dostęp do systemu informatycznego lub jego części (§ 2) oraz kto za pomocą urządzenia podsłuchowego, wizualnego albo innego oprogramowania pozyskuje informację (§ 3). Grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Ujawnienie tak uzyskanej informacji innej osobie zaostrza ocenę czynu (§ 4). Tu również ściganie następuje na wniosek pokrzywdzonego. Praktyczny przykład: pracownik kopiujący bazę klientów, do której miał dostęp służbowo, działa raczej w polu art. 266 k.k. i art. 23 UZNK, natomiast osoba, która włamuje się do cudzej skrzynki czy systemu, by te dane pobrać, odpowiada z art. 267 k.k.
Dane osobowe i RODO - osobny reżim odpowiedzialności
Jeżeli wyniesione lub ujawnione dane firmowe obejmują dane osobowe (np. baza klientów, dane pracowników), powstaje równoległa odpowiedzialność na gruncie ochrony danych. Po stronie administratora i podmiotu przetwarzającego RODO przewiduje administracyjne kary pieniężne nakładane przez Prezesa UODO, sięgające w najpoważniejszych przypadkach 20 mln euro lub 4% rocznego obrotu (art. 83 RODO). Osobno polska ustawa z 10 maja 2018 r. o ochronie danych osobowych w art. 107 przewiduje odpowiedzialność karną osoby fizycznej, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do którego nie jest uprawniona - grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2, a w przypadku danych szczególnej kategorii (np. o zdrowiu, poglądach) do lat 3. Co istotne, te reżimy mogą się kumulować: za to samo zdarzenie firma może odpowiadać administracyjnie wobec UODO, a osoba, która wyniosła dane - karnie z k.k., z UZNK i z ustawy o ochronie danych osobowych. Dlatego ocena prawna zawsze zaczyna się od ustalenia, jakie dokładnie dane zostały ujawnione.
Odpowiedzialność pracownika - dyscyplinarna i cywilna
Najczęstszym sprawcą wyniesienia danych jest pracownik lub były pracownik. Niezależnie od odpowiedzialności karnej naraża się on na konsekwencje w stosunku pracy i odpowiedzialność cywilną. Ujawnienie tajemnicy pracodawcy lub informacji poufnych może stanowić ciężkie naruszenie podstawowych obowiązków pracowniczych i uzasadniać rozwiązanie umowy bez wypowiedzenia z winy pracownika (art. 52 § 1 pkt 1 Kodeksu pracy), bo obowiązek dbałości o dobro zakładu i zachowania poufności wynika z art. 100 § 2 pkt 4 i 5 k.p. Pracodawca może też dochodzić naprawienia szkody - na zasadach pracowniczej odpowiedzialności materialnej (z ograniczeniem do trzech pensji przy winie nieumyślnej, art. 119 k.p.) albo w pełnej wysokości, gdy szkodę wyrządzono umyślnie (art. 122 k.p.). Dodatkowo, jeśli strony zawarły umowę o zakazie konkurencji, jej naruszenie rodzi odpowiedzialność kontraktową. Te postępowania toczą się równolegle do ewentualnej sprawy karnej i wymagają osobnej linii obrony.
Linie obrony i rola adwokata
Skuteczna obrona zaczyna się od precyzyjnej kwalifikacji czynu, bo wymienione przepisy mają różne znamiona. Najczęstsze kierunki obrony to: po pierwsze, brak poufności informacji - jeśli dane były powszechnie znane lub firma nie podjęła działań chroniących ich tajemnicę (art. 11 ust. 2 UZNK), znamię tajemnicy przedsiębiorstwa nie zostaje spełnione. Po drugie, istnienie uprawnienia lub zgody na dostęp i wykorzystanie danych. Po trzecie, brak strony podmiotowej - przy art. 23 ust. 1 UZNK konieczna jest poważna szkoda przedsiębiorcy, której wykazanie obciąża oskarżyciela. Po czwarte, kwestia woli ścigania - przy art. 266 § 1 i art. 267 k.k. ściganie następuje na wniosek pokrzywdzonego, którego brak lub cofnięcie blokuje postępowanie. Adwokat analizuje też legalność dowodów, dba o prawa podejrzanego (w tym prawo do odmowy wyjaśnień), negocjuje rozwiązania kończące sprawę szybciej - dobrowolne poddanie się karze (art. 387 k.p.k.) lub skazanie bez rozprawy (art. 335 k.p.k.) - oraz koordynuje obronę karną z postępowaniem cywilnym i pracowniczym, by stanowiska nie były ze sobą sprzeczne.
Najczęstsze pytania
Co grozi pracownikowi za wyniesienie danych firmy?
Zależnie od rodzaju danych i sposobu działania może to być przestępstwo z art. 266 k.k. (naruszenie tajemnicy - do 2 lat), z art. 23 ustawy o zwalczaniu nieuczciwej konkurencji (naruszenie tajemnicy przedsiębiorstwa - do 2 lat) lub z art. 267 k.k. (bezprawne uzyskanie informacji - do 2 lat). Jeśli dane obejmują dane osobowe, dochodzi odpowiedzialność z art. 107 ustawy o ochronie danych osobowych. Niezależnie grożą konsekwencje pracownicze (zwolnienie dyscyplinarne, art. 52 k.p.) i cywilne.
Czym różni się art. 266 k.k. od art. 23 UZNK?
Art. 266 k.k. dotyczy ujawnienia lub wykorzystania informacji wbrew przepisom albo przyjętemu zobowiązaniu i jest przestępstwem formalnym - nie wymaga wykazania szkody. Art. 23 ust. 1 UZNK dotyczy ściśle tajemnicy przedsiębiorstwa i wymaga wyrządzenia poważnej szkody przedsiębiorcy. Te przepisy mogą się stosować równolegle do tego samego czynu, dlatego kwalifikacja prawna wymaga indywidualnej analizy stanu faktycznego.
Czy firma musi złożyć wniosek o ściganie?
Tak, w przypadku przestępstw z art. 266 § 1 k.k. oraz art. 267 k.k. ściganie następuje na wniosek pokrzywdzonego. Bez takiego wniosku organy nie prowadzą postępowania, a jego cofnięcie (za zgodą prokuratora lub sądu) może doprowadzić do umorzenia. Ma to istotne znaczenie dla obrony i dla ewentualnego porozumienia z pokrzywdzonym przedsiębiorcą.
Kiedy informacja jest tajemnicą przedsiębiorstwa?
Zgodnie z art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji tajemnicą przedsiębiorstwa są informacje techniczne, technologiczne, organizacyjne lub inne mające wartość gospodarczą, które jako całość nie są powszechnie znane ani łatwo dostępne, i co do których przedsiębiorca podjął - przy zachowaniu należytej staranności - działania w celu zachowania ich poufności. Jeśli firma takich działań nie podjęła (np. brak klauzul poufności, brak zabezpieczeń), informacja może nie być chroniona jako tajemnica przedsiębiorstwa.
Czy za wyciek danych osobowych odpowiada tylko firma?
Nie. Firma jako administrator może ponieść administracyjną karę pieniężną nakładaną przez Prezesa UODO na podstawie art. 83 RODO. Niezależnie osoba fizyczna, która bezprawnie przetwarza dane osobowe, może odpowiadać karnie z art. 107 ustawy o ochronie danych osobowych (do 2 lat, a przy danych szczególnej kategorii do 3 lat). Reżim administracyjny i karny działają równolegle wobec różnych podmiotów.
Czy warto skorzystać z pomocy adwokata na wczesnym etapie?
Tak. Sprawy o nieuprawnione udostępnianie danych są wielowątkowe - łączą prawo karne, prawo nieuczciwej konkurencji, ochronę danych osobowych i prawo pracy. Wczesna pomoc adwokata pozwala prawidłowo zakwalifikować czyn, zabezpieczyć dowody, uniknąć niekorzystnych wyjaśnień i skoordynować obronę we wszystkich równoległych postępowaniach. Najwięcej można zdziałać jeszcze w postępowaniu przygotowawczym, przed pierwszym przesłuchaniem.
Powiązane poradniki
- Szpiegostwo przemysłowe w polskim prawie: zarzuty, obrona i odpowiedzialność (art. 23 uznk, art. 267 KK)
- Nielegalne pozyskiwanie informacji gospodarczych (szpiegostwo gospodarcze): odpowiedzialność karna i obrona w Polsce
- Hacking i włamanie do systemu (art. 267 k.k.) - linie obrony, kary i rola adwokata
- Nielegalne pozyskiwanie danych z rejestrów publicznych - obrona prawna (RODO i art. 107 UODO)
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę