Przestępstwa komputerowe i cyberbezpieczeństwo - czym zajmuje się prawnik?

Przestępczość komputerowa obejmuje m.in. nieuprawniony dostęp do systemu (hacking), bezprawny podsłuch i przechwytywanie danych, niszczenie lub utrudnianie dostępu do informacji, zakłócanie pracy systemów, rozpowszechnianie tzw. narzędzi hakerskich oraz oszustwa popełniane za pomocą sieci. W polskim prawie zachowania te są opisane przede wszystkim w rozdziale XXXIII Kodeksu karnego (przestępstwa przeciwko ochronie informacji) oraz - w przypadku wyłudzeń - w przepisach o oszustwie. Niniejszy artykuł ma charakter wyłącznie informacyjny, opiera się na prawie polskim i nie stanowi porady prawnej; w konkretnej sprawie kwalifikacja czynu i tryb postępowania zależą od indywidualnych okoliczności i wymagają konsultacji z prawnikiem.

Podstawy prawne w polskim Kodeksie karnym

Najważniejsze przepisy to: - art. 267 k.k. - bezprawne uzyskanie informacji (tzw. hacking) oraz nielegalny podsłuch. § 1 dotyczy uzyskania dostępu do informacji nieprzeznaczonej dla sprawcy m.in. przez przełamanie lub ominięcie zabezpieczeń, § 2 - uzyskania dostępu do całości lub części systemu informatycznego, § 3 - posługiwania się urządzeniem podsłuchowym lub oprogramowaniem, a § 4 - ujawnienia tak uzyskanej informacji. Ściganie następuje na wniosek pokrzywdzonego (§ 5). - art. 268 k.k. - niszczenie, uszkadzanie, usuwanie lub zmiana zapisu istotnej informacji albo udaremnianie lub utrudnianie zapoznania się z nią osobie uprawnionej. - art. 268a k.k. - niszczenie, uszkadzanie, usuwanie, zmiana lub utrudnianie dostępu do danych informatycznych, a także zakłócanie ich automatycznego przetwarzania. - art. 269 k.k. - sabotaż wobec danych informatycznych o szczególnym znaczeniu (m.in. dla obronności, bezpieczeństwa w komunikacji czy funkcjonowania administracji). - art. 269a k.k. - istotne zakłócanie pracy systemu informatycznego lub sieci. - art. 269b k.k. - wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie tzw. narzędzi hakerskich oraz haseł i kodów dostępu (z wyłączeniem działań służących wyłącznie zabezpieczeniu systemu - § 1a). Oszustwo polegające na bezprawnym wpływaniu na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych albo na zmianie/usunięciu/wprowadzeniu nowego zapisu danych - w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody - to art. 287 k.k. (oszustwo komputerowe). Część tych czynów (m.in. z art. 267 oraz art. 268 i 268a) ściga się na wniosek pokrzywdzonego, co oznacza, że organy podejmują postępowanie dopiero po złożeniu odpowiedniego wniosku. Wysokość zagrożenia karą różni się w zależności od przepisu i typu czynu (np. od grzywny po pozbawienie wolności), dlatego dokładną sankcję w danej sprawie najlepiej ustalić z prawnikiem na podstawie aktualnego brzmienia ustawy.

Kradzież tożsamości i nękanie w sieci

Podszywanie się pod inną osobę i wykorzystanie jej wizerunku lub innych danych osobowych w celu wyrządzenia jej szkody majątkowej lub osobistej jest karalne na podstawie art. 190a § 2 k.k. - to przepis, który w praktyce odpowiada potocznej 'kradzieży tożsamości'. Uporczywe nękanie, także w internecie (cyberstalking), wzbudzające u pokrzywdzonego uzasadnione poczucie zagrożenia lub istotnie naruszające jego prywatność, opisuje art. 190a § 1 k.k. Ściganie czynów z art. 190a § 1 i § 2 następuje na wniosek pokrzywdzonego (§ 4). Jeśli sprawca wykorzysta cudze dane do wyłudzenia kredytu, zawarcia umowy czy doprowadzenia innej osoby do niekorzystnego rozporządzenia mieniem, w grę może wchodzić również oszustwo z art. 286 k.k., które co do zasady ściga się z urzędu (na wniosek tylko wtedy, gdy popełniono je na szkodę osoby najbliższej). Niezależnie od postępowania karnego pokrzywdzony może dochodzić ochrony dóbr osobistych oraz odszkodowania i zadośćuczynienia na drodze cywilnej.

Ochrona danych a odpowiedzialność firm

Obowiązki w zakresie bezpieczeństwa danych osobowych wynikają z RODO (rozporządzenie 2016/679) oraz polskiej ustawy z 10 maja 2018 r. o ochronie danych osobowych. Za naruszenia przepisów o ochronie danych administracyjne kary pieniężne nakłada Prezes Urzędu Ochrony Danych Osobowych (UODO) na zasadach z art. 83 RODO; rozporządzenie określa górne granice tych kar (w zależności od kategorii naruszenia - liczone w milionach euro albo jako procent rocznego obrotu przedsiębiorstwa), a organ ustala konkretną wysokość indywidualnie dla danej sprawy. Należy wyraźnie odróżnić tę odpowiedzialność administracyjną (kary nakładane na administratora lub podmiot przetwarzający dane) od odpowiedzialności karnej konkretnej osoby fizycznej, która dopuściła się czynu zabronionego opisanego w Kodeksie karnym. To dwie odrębne ścieżki, które mogą biec równolegle. Powoływanie się w polskim kontekście na regulacje zagraniczne (np. amerykańskie CCPA czy HIPAA) jest nieadekwatne - dla użytkownika i firmy w Polsce wiążące są RODO oraz prawo polskie.

Jak pomaga prawnik

Pokrzywdzonemu prawnik pomaga przede wszystkim zabezpieczyć dowody cyfrowe (np. korespondencję, logi, potwierdzenia transakcji), prawidłowo sformułować i złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa, a tam gdzie czyn ścigany jest na wniosek - złożyć stosowny wniosek o ściganie, a następnie dochodzić roszczeń cywilnych. Po stronie obrony prawnik analizuje legalność i kompletność pozyskania dowodów (w tym dowodów elektronicznych), bada związek między 'śladem cyfrowym' a faktycznym sprawstwem (sam adres IP czy konto nie przesądzają o tym, kto fizycznie działał) oraz może wnioskować o opinię biegłego z zakresu informatyki śledczej. Z uwagi na transgraniczny charakter wielu spraw internetowych istotna bywa również kwestia jurysdykcji i właściwości organów. W każdym przypadku zakres pomocy i ocenę szans zależy ustalić indywidualnie z prawnikiem - artykuł nie zastępuje porady prawnej i nie gwarantuje określonego wyniku sprawy.