Nielegalne pozyskiwanie danych telekomunikacyjnych – odpowiedzialność karna i obrona

Dane telekomunikacyjne to informacje o tym, kto, z kim, kiedy i jak długo się kontaktował, z jakiej lokalizacji łączył się telefon (tzw. dane o ruchu i lokalizacji), a w niektórych przypadkach także treść korespondencji. W polskim prawie są one objęte tajemnicą telekomunikacyjną i podlegają silnej ochronie. Ich pozyskanie z pominięciem prawnych procedur – przez włamanie do systemu, podsłuch, przekupienie pracownika operatora czy nieuprawnione skopiowanie billingów – stanowi przestępstwo. Najczęściej kwalifikuje się je z art. 267 Kodeksu karnego (bezprawny dostęp do informacji i podsłuch), a niekiedy z art. 268, 268a lub 269b KK oraz z przepisów o ochronie danych osobowych. Jednocześnie te same dane mogą być pozyskane całkowicie legalnie – przez sąd, prokuraturę, Policję czy służby na podstawie ustaw. Poniżej wyjaśniamy, gdzie przebiega granica między legalnym a bezprawnym dostępem, jakie grożą kary i jak wygląda obrona w takiej sprawie.

Co chroni tajemnica telekomunikacyjna

Tajemnica telekomunikacyjna obejmuje dane uczestników komunikacji, treść przekazów, dane o ruchu (kto z kim się łączył, kiedy, jak długo), dane o lokalizacji oraz dane o próbach nawiązania połączenia. Zasady jej ochrony reguluje obecnie ustawa z 12 lipca 2024 r. – Prawo komunikacji elektronicznej (która zastąpiła wcześniejsze Prawo telekomunikacyjne z 2004 r.). Operator nie może udostępniać tych danych dowolnym osobom – wolno mu to robić wyłącznie samemu abonentowi oraz uprawnionym organom państwa w trybie przewidzianym przepisami. Równolegle dane telekomunikacyjne, jeśli pozwalają zidentyfikować osobę fizyczną, są danymi osobowymi w rozumieniu RODO. Oznacza to, że ich bezprawne pozyskanie może rodzić jednocześnie odpowiedzialność karną oraz administracyjną i cywilną na gruncie ochrony danych osobowych.

Bezprawny dostęp i podsłuch – art. 267 Kodeksu karnego

Podstawowym przepisem jest art. 267 KK. Zgodnie z § 1 kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega ten, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego (§ 2). Paragraf 3 penalizuje zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu pozyskania informacji, do której sprawca nie jest uprawniony. Z kolei § 4 karze tego, kto pozyskaną w ten sposób informację ujawnia innej osobie. Ściganie tych czynów następuje na wniosek pokrzywdzonego (§ 5). Przykład: skopiowanie billingów byłej partnerki po zalogowaniu się na jej konto u operatora bez jej wiedzy może wyczerpać znamiona art. 267 § 1 lub § 2 KK.

Niszczenie i zmiana danych – art. 268, 268a i 269b KK

Bezprawne pozyskiwanie danych często idzie w parze z ingerencją w dane lub systemy. Art. 268 KK karze tego, kto nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub utrudnia osobie uprawnionej zapoznanie się z nią (do 2 lat, a gdy dotyczy zapisu na informatycznym nośniku danych – do 3 lat). Art. 268a KK obejmuje niszczenie, uszkadzanie, usuwanie, zmianę lub utrudnianie dostępu do danych informatycznych albo zakłócanie ich przetwarzania (do 3 lat, a w razie znacznej szkody majątkowej – od 3 miesięcy do 5 lat). Art. 269b KK penalizuje natomiast wytwarzanie, pozyskiwanie i udostępnianie tzw. narzędzi hakerskich – programów lub haseł komputerowych przystosowanych do popełnienia m.in. czynów z art. 267 § 3 KK. W praktyce zarzut z art. 267 KK bywa łączony z którymś z tych przepisów, co zmienia kwalifikację i wymiar kary.

Kiedy pozyskanie danych jest legalne

Nie każdy dostęp do danych telekomunikacyjnych jest przestępstwem. Uprawnione organy mogą je pozyskiwać w ściśle określonych procedurach. W procesie karnym kontrolę i utrwalanie treści rozmów (podsłuch procesowy) zarządza sąd na wniosek prokuratora – reguluje to art. 237 i nast. Kodeksu postępowania karnego; dotyczy to wyłącznie katalogu poważniejszych przestępstw. Dane o ruchu i lokalizacji (billingi) Policja i inne organy uzyskują w trybie art. 218 KPK oraz na podstawie przepisów ustaw o Policji, ABW, CBA i innych służbach, a kontrolę operacyjną zarządza sąd okręgowy. Sam abonent ma prawo dostępu do własnych danych u operatora. Granica jest więc jasna: legalny dostęp wymaga albo zgody osoby uprawnionej, albo podstawy ustawowej i właściwej decyzji organu. Krok praktyczny: jeśli to Ty jesteś oskarżony, kluczowe jest ustalenie, czy istniał tytuł prawny do uzyskania danych – brak takiej podstawy przesądza o bezprawności, ale jej istnienie wyłącza odpowiedzialność.

Odpowiedzialność na gruncie RODO i ustawy o ochronie danych

Bezprawne pozyskanie danych telekomunikacyjnych, które identyfikują konkretną osobę, narusza także przepisy o ochronie danych osobowych. RODO (rozporządzenie 2016/679) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych przewidują dotkliwe kary administracyjne nakładane przez Prezesa UODO oraz roszczenia cywilne osoby, której dane przetworzono bezprawnie – w tym zadośćuczynienie za naruszenie dóbr osobistych. Odrębnie ustawa o ochronie danych osobowych w art. 107 penalizuje przetwarzanie danych bez podstawy prawnej. Oznacza to, że ten sam czyn może uruchomić trzy ścieżki odpowiedzialności: karną (art. 267 i nast. KK), administracyjną (kara od UODO) oraz cywilną (powództwo poszkodowanego). Krok praktyczny: poszkodowany może równolegle złożyć zawiadomienie o przestępstwie, skargę do UODO i pozew cywilny – obrońca musi przygotować linię obrony na wszystkich tych płaszczyznach.

Kierunki obrony – co realnie bada adwokat

Obrona w sprawach o nielegalne pozyskiwanie danych telekomunikacyjnych opiera się na kilku osiach. Po pierwsze – znamiona czynu: czy oskarżony rzeczywiście przełamał lub ominął zabezpieczenie (art. 267 § 1 KK), czy też dane były dostępne bez żadnej bariery, co może wyłączyć karalność. Po drugie – uprawnienie: czy istniała podstawa prawna lub zgoda osoby uprawnionej. Po trzecie – legalność dowodów: czy materiały zgromadzono zgodnie z procedurą; dowody uzyskane z naruszeniem przepisów mogą podlegać zakwestionowaniu. Po czwarte – strona podmiotowa: art. 267 KK wymaga umyślności, więc znaczenie ma wykazanie braku zamiaru bezprawnego dostępu. Pomocne bywa zasięgnięcie opinii biegłego z informatyki śledczej, który oceni, czy zabezpieczenie faktycznie istniało i czy przypisywane logi rzeczywiście pochodzą od oskarżonego. Krok praktyczny: nie kasuj urządzeń ani korespondencji po wszczęciu sprawy i nie składaj wyjaśnień przed konsultacją z obrońcą – wczesna analiza materiału dowodowego często przesądza o wyniku.

Jak wybrać i jak działa obrońca w takiej sprawie

W sprawach dotyczących dowodów cyfrowych warto, aby obrońca rozumiał zarówno prawo karne, jak i specyfikę techniczną – logów połączeń, danych lokalizacyjnych BTS, śladów w systemach informatycznych. Adwokat lub radca prawny prowadzący obronę ma obowiązek zachowania tajemnicy zawodowej (regulowanej Prawem o adwokaturze oraz Zbiorem Zasad Etyki Adwokackiej), co chroni informacje przekazane przez klienta. Obowiązują go też reguły unikania konfliktu interesów. W toku sprawy obrońca składa wnioski dowodowe, kwestionuje opinie biegłych oskarżenia, może wnioskować o powołanie własnego biegłego oraz – przy czynach o niższym ciężarze i niekaralności sprawcy – o warunkowe umorzenie postępowania (art. 66–67 KK) albo o dobrowolne poddanie się karze (art. 387 KPK). Krok praktyczny: przed pierwszą czynnością z udziałem organów ścigania ustal z obrońcą zakres wypowiedzi i pamiętaj o prawie do odmowy składania wyjaśnień (art. 175 KPK).