Przestępstwa zagrażające infrastrukturze ochrony zdrowia - co mówi polskie prawo?
Prawo karne · 7 min czytania · Redakcja zaufanyprawnik.pl
System ochrony zdrowia - szpitale, stacje pogotowia ratunkowego, laboratoria i powiązane z nimi obiekty - należy do infrastruktury krytycznej państwa. Wynika to wprost z art. 3 pkt 2 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, który wśród systemów infrastruktury krytycznej wymienia system ochrony zdrowia. Polskie prawo nie ma jednego, odrębnego przepisu pod nazwą "przestępstwo przeciwko infrastrukturze zdrowotnej". Czyny godzące w takie obiekty kwalifikuje się natomiast na podstawie kilku różnych grup przepisów - w zależności od tego, na czym polega zagrożenie i kto jest jego sprawcą. Poniżej porządkujemy te podstawy prawne i wyraźnie oddzielamy je od siebie, ponieważ w nierzetelnych materiałach bywają one mylone. Artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej; kwalifikacja konkretnego czynu zawsze wymaga indywidualnej analizy stanu faktycznego.
Przestępstwa przeciwko bezpieczeństwu powszechnemu (art. 163-165 k.k.)
Czyny bezpośrednio zagrażające życiu lub zdrowiu wielu osób albo mieniu w wielkich rozmiarach reguluje rozdział XX Kodeksu karnego. Kto sprowadza zdarzenie powszechnie niebezpieczne - np. pożar, zawalenie się budowli, eksplozję materiałów wybuchowych lub łatwopalnych, rozprzestrzenianie się substancji trujących, duszących lub parzących - odpowiada z art. 163 § 1 k.k. i podlega karze pozbawienia wolności od roku do lat 10. Jeżeli sprawca działa nieumyślnie, zagrożenie jest niższe (art. 163 § 2 k.k.), a jeżeli następstwem czynu jest śmierć człowieka lub ciężki uszczerbek na zdrowiu wielu osób - znacznie surowsze (art. 163 § 3 k.k.). Samo sprowadzenie bezpośredniego niebezpieczeństwa takiego zdarzenia, jeszcze zanim ono nastąpi, jest karalne na podstawie art. 164 k.k. Z kolei art. 165 k.k. obejmuje sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób w inny sposób - w tym przez spowodowanie zagrożenia epidemiologicznego lub szerzenia się choroby zakaźnej, wyrabianie lub wprowadzanie do obrotu szkodliwych dla zdrowia substancji, uszkodzenie lub unieruchomienie urządzeń użyteczności publicznej albo zakłócenie automatycznego przetwarzania informacji. To właśnie te przepisy, a nie - jak sugerowały niektóre wcześniejsze materiały - art. 222 k.k. (dotyczący wyłącznie naruszenia nietykalności cielesnej funkcjonariusza publicznego), stanowią właściwą podstawę oceny ataków na placówki ochrony zdrowia i ich infrastrukturę.
Ataki na systemy informatyczne placówek (art. 267-269b k.k.)
Współczesne placówki ochrony zdrowia zależą od systemów teleinformatycznych - dokumentacji medycznej, rejestracji, aparatury diagnostycznej. Czyny wymierzone w te systemy ocenia się przede wszystkim na podstawie przepisów o przestępstwach przeciwko ochronie informacji (rozdział XXXIII Kodeksu karnego): bezprawne uzyskanie dostępu do informacji lub systemu (art. 267 k.k.), niszczenie lub zmiana danych (art. 268 i 268a k.k.), zakłócanie pracy systemu, np. atakiem typu ransomware (art. 269a k.k.), oraz wytwarzanie lub udostępnianie narzędzi do takich ataków (art. 269b k.k.). Jeżeli zakłócenie pracy systemów informatycznych sprowadza realne niebezpieczeństwo dla życia lub zdrowia wielu osób - na przykład paraliżuje funkcjonowanie szpitala - może dojść do zbiegu z art. 165 § 1 pkt 4 k.k. Niezależnie od odpowiedzialności karnej naruszenie bezpieczeństwa danych pacjentów rodzi obowiązki na gruncie RODO (rozporządzenie 2016/679) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, w tym obowiązek zgłoszenia naruszenia Prezesowi UODO.
Nadużycie władzy i korupcja w placówkach zdrowotnych (art. 228-231 k.k.)
Gdy zagrożenie pochodzi od osób pełniących funkcje publiczne lub zarządzających placówką, w grę wchodzą inne przepisy. Funkcjonariusz publiczny, który przekraczając swoje uprawnienia lub nie dopełniając obowiązków działa na szkodę interesu publicznego lub prywatnego, odpowiada z art. 231 § 1 k.k. (kara pozbawienia wolności do lat 3); jeżeli działa w celu osiągnięcia korzyści majątkowej lub osobistej, grozi mu kara surowsza - od roku do lat 10 (art. 231 § 2 k.k.). Samo przekroczenie uprawnień lub niedopełnienie obowiązków nie wystarcza - konieczne jest działanie na szkodę chronionego interesu. Korupcję bierną, czyli przyjęcie korzyści majątkowej lub osobistej (albo jej obietnicy) w związku z pełnieniem funkcji publicznej, opisuje art. 228 k.k.; korupcję czynną, czyli wręczenie albo obietnicę takiej korzyści - art. 229 k.k. Zagrożenie karą w typach podstawowych wynosi w obu przypadkach od 6 miesięcy do 8 lat pozbawienia wolności i rośnie m.in. przy korzyściach znacznej lub wielkiej wartości. Osoby zgłaszające takie nieprawidłowości mogą korzystać z ochrony przewidzianej w ustawie z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928), która weszła w życie 25 września 2024 r. i wdraża dyrektywę UE 2019/1937.
Prawa pacjentów i droga dochodzenia roszczeń
Pacjent poszkodowany w wyniku zaniedbania lub błędu medycznego może dochodzić odszkodowania i zadośćuczynienia na drodze cywilnej, niezależnie od ewentualnej odpowiedzialności karnej sprawcy. Podstawą jest odpowiedzialność deliktowa: zasada ogólna z art. 415 i nast. Kodeksu cywilnego (kto z winy swojej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia), zadośćuczynienie za uszkodzenie ciała lub rozstrój zdrowia z art. 445 k.c. oraz zadośćuczynienie za naruszenie dóbr osobistych z art. 448 k.c. Roszczenia majątkowe z tytułu czynu niedozwolonego przedawniają się co do zasady z upływem 3 lat od dnia, w którym poszkodowany dowiedział się albo mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia (art. 442[1] k.c.) - terminy te warto zweryfikować z prawnikiem w konkretnej sprawie. Podejrzenie przestępstwa zgłasza się do prokuratury lub na Policję (art. 304 Kodeksu postępowania karnego). Warto pamiętać, że nie każde niepowodzenie leczenia jest przestępstwem ani podstawą odpowiedzialności - kwalifikacja prawna wymaga indywidualnej oceny dokumentacji medycznej i zwykle opinii biegłego.
Podsumowanie
Polskie prawo chroni placówki ochrony zdrowia i ich pacjentów na kilku poziomach: bezpieczeństwo powszechne (art. 163-165 k.k.), bezpieczeństwo systemów informatycznych i danych (art. 267-269b k.k., RODO), uczciwość funkcjonowania instytucji publicznych (art. 228-231 k.k. oraz ochrona sygnalistów) i prawa majątkowe poszkodowanych (art. 415, 445, 448 k.c.). Dobór właściwej podstawy zależy od charakteru czynu i osoby sprawcy. Ze względu na złożoność tych spraw oraz konieczność oceny dowodów (w tym opinii biegłych) ustalenie kwalifikacji prawnej i strategii działania należy powierzyć prawnikowi specjalizującemu się w prawie karnym lub medycznym.
Najczęstsze pytania
Jaki przepis chroni szpitale przed atakami zagrażającymi życiu wielu osób?
Czyny takie jak pożar, eksplozja czy uwolnienie substancji niebezpiecznych kwalifikuje się jako przestępstwa przeciwko bezpieczeństwu powszechnemu z rozdziału XX Kodeksu karnego, przede wszystkim art. 163-165 k.k. Sprowadzenie zdarzenia powszechnie niebezpiecznego (art. 163 § 1 k.k.) zagrożone jest karą pozbawienia wolności od roku do lat 10, a samo sprowadzenie bezpośredniego niebezpieczeństwa takiego zdarzenia - na podstawie art. 164 k.k.
Czy cyberatak na system szpitala to przestępstwo?
Tak. Zakłócanie pracy systemu informatycznego (np. atak ransomware) jest karalne na podstawie art. 269a k.k., bezprawny dostęp do danych - art. 267 k.k., a niszczenie lub zmiana danych - art. 268 i 268a k.k. Jeżeli atak sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób, może dojść do zbiegu z art. 165 k.k. Naruszenie danych pacjentów rodzi też obowiązki na gruncie RODO.
Co grozi urzędnikowi za nadużycie władzy w placówce zdrowotnej?
Funkcjonariusz publiczny, który przekraczając uprawnienia lub nie dopełniając obowiązków działa na szkodę interesu publicznego lub prywatnego, odpowiada z art. 231 § 1 k.k. - grozi mu kara pozbawienia wolności do lat 3. Jeżeli działa w celu osiągnięcia korzyści majątkowej lub osobistej, kara jest surowsza i wynosi od roku do lat 10 (art. 231 § 2 k.k.).
Czy pacjent może uzyskać odszkodowanie za zaniedbanie w szpitalu?
Tak. Poszkodowany może dochodzić odszkodowania i zadośćuczynienia na drodze cywilnej na podstawie przepisów o odpowiedzialności deliktowej - art. 415 i nast. Kodeksu cywilnego, a w zakresie krzywdy art. 445 i 448 k.c. Postępowanie cywilne jest niezależne od ewentualnego procesu karnego. Roszczenia te co do zasady przedawniają się po 3 latach (art. 442[1] k.c.), dlatego termin warto zweryfikować z prawnikiem.
Czy osoba zgłaszająca nieprawidłowości w placówce zdrowotnej jest chroniona?
Tak. Osoby zgłaszające naruszenia prawa w środowisku zawodowym mogą korzystać z ochrony przewidzianej w ustawie z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928), która weszła w życie 25 września 2024 r. Ustawa zakazuje m.in. działań odwetowych wobec sygnalisty i wdraża dyrektywę UE 2019/1937.
Powiązane poradniki
- Przestępstwa przeciwko bezpieczeństwu powszechnemu (art. 163-172 KK) — kary i obrona
- Bezpieczeństwo w szkołach a prawo karne - kto odpowiada za zaniedbania?
- Przestępstwa przeciwko infrastrukturze energetycznej - jakie grożą konsekwencje?
- Nielegalne pozyskiwanie danych z systemów administracji publicznej - jaka obrona w procesie karnym?
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 163-165, 228, 229, 231, 267-269b)
- Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (art. 415, 442[1], 445, 448)
- Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (infrastruktura krytyczna - system ochrony zdrowia, art. 3)
- Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928)
- Przestępstwa przeciwko bezpieczeństwu powszechnemu (art. 163-172 k.k.) - statystyka Policji
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę