Ile czasu firma ma na zgłoszenie naruszenia danych po ataku hakerskim?

Zgodnie z art. 33 RODO administrator powinien zgłosić naruszenie ochrony danych Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli zgłoszenie nastąpi później, należy dołączyć wyjaśnienie przyczyn opóźnienia.

Jaka kara grozi hakerowi za włamanie do systemu informatycznego?

Za uzyskanie bez uprawnienia dostępu do informacji przez przełamanie zabezpieczeń (art. 267 KK) grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Surowsze kary przewidziano za sabotaż komputerowy danych istotnych dla bezpieczeństwa państwa (art. 269 KK), gdzie kara sięga 8 lat pozbawienia wolności.

Czy pracownik może odpowiadać za doprowadzenie do naruszenia danych?

Tak, w określonych sytuacjach. Jeżeli pracownik umyślnie naruszył przepisy o ochronie informacji, może odpowiadać karnie (np. z art. 267 KK), a wobec pracodawcy ponosi odpowiedzialność na zasadach przewidzianych w Kodeksie pracy, ograniczoną co do wysokości przy winie nieumyślnej. To jednak administrator danych odpowiada wobec organu nadzorczego i osób poszkodowanych.

Co grozi za atak hakerski i jakie są jego skutki prawne?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Atak hakerski wywołuje skutki na dwóch płaszczyznach prawnych. Z jednej strony rodzi odpowiedzialność karną sprawcy, ujętą w Kodeksie karnym w przepisach o przestępstwach przeciwko ochronie informacji (art. 267-269b). Z drugiej obciąża obowiązkami organizację, która padła ofiarą włamania, zwłaszcza gdy doszło do naruszenia ochrony danych osobowych. Zrozumienie obu wymiarów pozwala uniknąć kar i właściwie zareagować po incydencie.

Odpowiedzialność karna sprawcy ataku

Najczęściej stosowanym przepisem jest art. 267 Kodeksu karnego, który penalizuje uzyskanie bez uprawnienia dostępu do informacji nieprzeznaczonej dla sprawcy, w tym przez przełamanie zabezpieczeń (tzw. hacking). Czyn ten zagrożony jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 268 i 268a KK chronią integralność i dostępność danych (m.in. ich niszczenie, uszkadzanie lub zakłócanie przetwarzania), a art. 269 KK dotyczy sabotażu komputerowego wymierzonego w dane o szczególnym znaczeniu dla obronności lub bezpieczeństwa państwa i przewiduje karę od 6 miesięcy do 8 lat pozbawienia wolności. Z kolei art. 269a i 269b KK obejmują zakłócanie pracy systemów oraz wytwarzanie i udostępnianie tzw. narzędzi hakerskich. Ściganie podstawowych czynów z art. 267 KK następuje na wniosek pokrzywdzonego.

Obowiązki firmy po naruszeniu danych osobowych

Jeżeli skutkiem ataku jest naruszenie ochrony danych osobowych, administrator danych ma obowiązki wynikające z RODO (rozporządzenie 2016/679). Zgodnie z art. 33 RODO naruszenie należy zgłosić Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób. Gdy ryzyko jest wysokie, art. 34 RODO nakłada obowiązek zawiadomienia także osób, których dane dotyczą. Administrator musi ponadto prowadzić wewnętrzny rejestr naruszeń. Za uchybienia grożą administracyjne kary pieniężne sięgające w najpoważniejszych przypadkach 20 mln euro lub 4% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.

Roszczenia cywilne osób poszkodowanych

Niezależnie od sankcji karnych i administracyjnych poszkodowani mogą dochodzić odszkodowania. Podstawą jest art. 82 RODO, który daje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów o ochronie danych, prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Roszczenia cywilne mogą też wynikać z ogólnych przepisów Kodeksu cywilnego o czynach niedozwolonych (art. 415 i nast.) oraz o ochronie dóbr osobistych (art. 23 i 24 KC). Skuteczne dochodzenie roszczeń wymaga zwykle wykazania szkody oraz związku przyczynowego między incydentem a poniesioną stratą, dlatego kluczowe jest staranne dokumentowanie kosztów i następstw naruszenia.

Najczęstsze pytania

Ile czasu firma ma na zgłoszenie naruszenia danych po ataku hakerskim?
Zgodnie z art. 33 RODO administrator powinien zgłosić naruszenie ochrony danych Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli zgłoszenie nastąpi później, należy dołączyć wyjaśnienie przyczyn opóźnienia.
Jaka kara grozi hakerowi za włamanie do systemu informatycznego?
Za uzyskanie bez uprawnienia dostępu do informacji przez przełamanie zabezpieczeń (art. 267 KK) grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Surowsze kary przewidziano za sabotaż komputerowy danych istotnych dla bezpieczeństwa państwa (art. 269 KK), gdzie kara sięga 8 lat pozbawienia wolności.
Czy pracownik może odpowiadać za doprowadzenie do naruszenia danych?
Tak, w określonych sytuacjach. Jeżeli pracownik umyślnie naruszył przepisy o ochronie informacji, może odpowiadać karnie (np. z art. 267 KK), a wobec pracodawcy ponosi odpowiedzialność na zasadach przewidzianych w Kodeksie pracy, ograniczoną co do wysokości przy winie nieumyślnej. To jednak administrator danych odpowiada wobec organu nadzorczego i osób poszkodowanych.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę