Nielegalne pozyskiwanie danych (art. 267 KK): odpowiedzialność, obrona i RODO

Sprawy o nielegalne pozyskiwanie danych z systemów informatycznych łączą prawo karne, regulacje o ochronie danych osobowych i wiedzę techniczną. Zarzut może dotyczyć zarówno klasycznego włamania do cudzej skrzynki e-mail, jak i pobrania bazy klientów przez odchodzącego pracownika czy przechwycenia transmisji w sieci. W polskim porządku prawnym sednem odpowiedzialności karnej jest art. 267 Kodeksu karnego, a obok niego stoją przepisy o ochronie systemów i danych (art. 268–269b KK) oraz odpowiedzialność administracyjna i cywilna z RODO. Ten artykuł wyjaśnia, kiedy uzyskanie informacji jest przestępstwem, jakie kary grożą, jak wygląda rola obrońcy oraz na czym opiera się skuteczna linia obrony — z uwzględnieniem dopuszczalności dowodów cyfrowych i tajemnicy obrończej w polskim procesie karnym.

Kiedy uzyskanie danych jest przestępstwem – art. 267 KK

Zgodnie z art. 267 § 1 KK karze podlega ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie. Art. 267 § 2 KK rozszerza odpowiedzialność na uzyskanie bez uprawnienia dostępu do całości lub części systemu informatycznego (samo nieuprawnione wejście do systemu, niezależnie od pobrania danych). Art. 267 § 3 KK penalizuje zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym lub innym sprzętem albo oprogramowaniem w celu uzyskania informacji nieprzeznaczonej dla sprawcy. Art. 267 § 4 KK karze ujawnienie innej osobie informacji uzyskanej w wyżej opisany sposób. Za wszystkie te czyny grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do 2 lat. Co istotne — ściganie następuje na wniosek pokrzywdzonego (art. 267 § 5 KK).

Powiązane przestępstwa: niszczenie danych, sabotaż i narzędzia hakerskie

Pozyskanie danych rzadko występuje samodzielnie — często towarzyszą mu inne czyny stypizowane w rozdziale XXXIII Kodeksu karnego. Art. 268 KK chroni przed niszczeniem, uszkadzaniem lub czynieniem niedostępnym zapisu istotnej informacji (z surowszym typem w § 2, gdy dotyczy zapisu na nośniku informatycznym). Art. 268a KK karze niszczenie, usuwanie lub utrudnianie dostępu do danych informatycznych oraz zakłócanie ich przetwarzania. Art. 269 KK dotyczy sabotażu komputerowego wymierzonego w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji. Art. 269a KK penalizuje zakłócanie pracy systemu lub sieci (np. ataki DDoS), a art. 269b KK — wytwarzanie, pozyskiwanie i udostępnianie tzw. narzędzi hakerskich oraz haseł i kodów dostępu umożliwiających popełnienie powyższych przestępstw. Prawidłowe ustalenie, który przepis faktycznie pasuje do zarzucanego zachowania, jest jednym z pierwszych zadań obrońcy, bo od kwalifikacji zależą znamiona, które musi udowodnić oskarżyciel.

Granica między legalnym a nielegalnym dostępem

Kluczowym znamieniem art. 267 KK jest brak uprawnienia oraz, w § 1, przełamanie lub ominięcie zabezpieczenia. To rozróżnienie ma ogromne znaczenie praktyczne. Pracownik, który w ramach swoich obowiązków i nadanych uprawnień korzysta z firmowego systemu, nie popełnia przestępstwa hackingu — choć może odpowiadać za inne czyny, jeśli wykorzysta dane do celów niezgodnych z przeznaczeniem (np. skopiuje bazę klientów dla konkurencji, co może być czynem nieuczciwej konkurencji, naruszeniem tajemnicy przedsiębiorstwa, a w pewnych sytuacjach przestępstwem z art. 266 lub 268a KK). Z kolei wejście na konto byłego pracodawcy po cofnięciu uprawnień, zgadnięcie cudzego hasła czy wykorzystanie luki w systemie spełnia znamię nieuprawnionego dostępu. Granicę wyznaczają zatem zakres udzielonego upoważnienia oraz istnienie i charakter zabezpieczenia. To właśnie wokół tych okoliczności toczy się większość sporów dowodowych w tego typu sprawach.

Odpowiedzialność z RODO obok odpowiedzialności karnej

Nielegalne pozyskanie danych osobowych może rodzić odpowiedzialność równoległą do karnej — administracyjną na gruncie RODO. Przetwarzanie danych musi mieć podstawę prawną z art. 6 RODO (a dla danych szczególnych kategorii — z art. 9), zgodnie z zasadami z art. 5 RODO (m.in. legalności, minimalizacji i integralności). Naruszenie tych zasad może skutkować administracyjną karą pieniężną nakładaną przez Prezesa Urzędu Ochrony Danych Osobowych; art. 83 RODO przewiduje dwa progi maksymalne — do 10 mln euro lub 2% rocznego światowego obrotu oraz do 20 mln euro lub 4% obrotu, w zależności od rodzaju naruszenia. Polska ustawa z 10 maja 2018 r. o ochronie danych osobowych zawiera ponadto przepisy karne (art. 107–108) za przetwarzanie danych bez podstawy oraz za udaremnianie kontroli. Niezależnie od tego osoba poszkodowana naruszeniem może dochodzić odszkodowania na podstawie art. 82 RODO. Te ścieżki mogą biec równolegle do procesu karnego z art. 267 KK.

Rola obrońcy: dopuszczalność dowodów cyfrowych

Centralnym polem działania obrońcy jest legalność i wiarygodność dowodów cyfrowych. Polski proces karny nie zna sztywnej amerykańskiej doktryny owoców zatrutego drzewa, ale art. 168a KPK wyłącza możliwość uznania dowodu za niedopuszczalny wyłącznie dlatego, że został uzyskany z naruszeniem przepisów postępowania lub za pomocą czynu zabronionego — z istotnym zastrzeżeniem dotyczącym dowodów uzyskanych przez funkcjonariusza w związku z określonymi przestępstwami. Obrońca bada więc, czy przeszukanie i zatrzymanie nośników (art. 217, 219 i nast. KPK) odbyło się na podstawie prawidłowego postanowienia i z zachowaniem procedury, czy zabezpieczono integralność danych (suma kontrolna, dokumentacja łańcucha dowodowego), oraz czy treści objęte tajemnicą zostały prawidłowo wyłączone. Każde uchybienie w pozyskaniu lub zabezpieczeniu materiału może osłabić jego wartość dowodową i stać się podstawą wniosków obrony.

Tajemnica obrończa i adwokacka w sprawach o dane

W sprawach dotyczących danych szczególnego znaczenia nabiera ochrona tajemnicy zawodowej. Tajemnica obrończa jest w polskim prawie bezwzględna: zgodnie z art. 178 pkt 1 KPK nie wolno przesłuchiwać jako świadka obrońcy co do faktów, o których dowiedział się udzielając porady prawnej lub prowadząc sprawę. Tajemnica adwokacka i radcowska (poza obrończą) jest chroniona względnie — sąd może zwolnić z niej tylko wyjątkowo, gdy jest to niezbędne dla dobra wymiaru sprawiedliwości, a okoliczności nie można ustalić inaczej (art. 180 § 2 KPK). Materiały objęte tajemnicą obrończą podlegają niezwłocznemu zwrotowi i nie mogą być wykorzystane jako dowód. Dla klienta oznacza to, że szczera komunikacja z obrońcą jest chroniona; dla obrońcy — obowiązek czujności, by w toku czynności procesowych (np. oględzin nośników) nie doszło do nieuprawnionego ujawnienia treści objętych tajemnicą.

Linia obrony i współpraca z biegłym informatykiem

Skuteczna obrona w sprawie z art. 267 KK opiera się na kilku osiach. Po pierwsze — strona podmiotowa: przestępstwo jest umyślne, a w § 1 wymaga przełamania lub ominięcia zabezpieczenia; brak zabezpieczenia albo działanie w granicach uprawnień wyłącza znamię czynu. Po drugie — kwestionowanie identyfikacji sprawcy: sam adres IP czy logowanie z danego urządzenia nie zawsze przesądzają, kto faktycznie dokonał dostępu, dlatego cenna jest opinia biegłego z zakresu informatyki śledczej. Po trzecie — wniosek o ściganie: jeśli pokrzywdzony go nie złożył lub cofnął w terminie, postępowanie nie może się toczyć (art. 267 § 5 KK). Współpraca z biegłym pozwala zweryfikować, czy metoda zabezpieczenia danych przez organy ścigania zachowała ich integralność, czy logi nie były modyfikowane oraz czy przedstawione przez oskarżenie wnioski techniczne są uprawnione. Obrońca może też wykazywać brak zamiaru lub działanie w usprawiedliwionym błędzie co do zakresu uprawnień.