Nielegalne kopiowanie baz danych - jaka ochrona prawna w Polsce?

Bezprawne skopiowanie firmowej bazy danych - listy klientów, cenników, danych technicznych czy rejestru kontrahentów - może jednocześnie naruszać kilka niezależnych reżimów prawnych. W Polsce bazy danych chroni przede wszystkim ustawa z dnia 27 lipca 2001 r. o ochronie baz danych, która przyznaje producentowi tzw. prawo sui generis. Bazy o indywidualnym, twórczym charakterze mogą być dodatkowo chronione jako utwór na gruncie ustawy o prawie autorskim i prawach pokrewnych. Jeżeli skopiowanie wiązało się z bezprawnym dostępem do systemu lub danych, w grę wchodzą przestępstwa przeciwko ochronie informacji z Kodeksu karnego. Gdy bazę wyniósł lub wykorzystał pracownik albo kontrahent, może to być naruszenie tajemnicy przedsiębiorstwa. A jeśli baza zawiera dane osobowe, dochodzą obowiązki i odpowiedzialność wynikające z RODO. Poniżej wyjaśniamy te ścieżki w przystępny sposób. Tekst ma charakter informacyjny i nie zastępuje porady prawnej w konkretnej sprawie.

Jak prawo chroni bazy danych - prawo sui generis i prawo autorskie

Producentowi bazy danych, który poniósł istotny - co do jakości lub ilości - nakład inwestycyjny na sporządzenie, weryfikację lub prezentację jej zawartości, przysługuje prawo sui generis (art. 6 ustawy o ochronie baz danych). Jest to wyłączne i zbywalne prawo pobierania danych oraz ich wtórnego wykorzystania w całości lub w istotnej części. Producentem jest osoba lub jednostka, która ponosi ryzyko nakładu inwestycyjnego - nie musi być twórcą danych. Ochrona sui generis trwa co do zasady piętnaście lat liczonych od roku następującego po roku sporządzenia bazy (art. 10), a istotne zmiany i nowe nakłady mogą rozpoczynać bieg ochrony na nowo. Ochrona ta nie jest nieograniczona. Ustawa dopuszcza pewne dozwolone formy korzystania (art. 8), na przykład na własny użytek z bazy nieelektronicznej czy w celu ilustracji w nauczaniu lub badaniach z podaniem źródła. Co istotne, prawo sui generis chroni nakład na zgromadzenie i prezentację danych, a nie same dane jako takie - pobranie nieistotnej części bazy albo korzystanie z ogólnodostępnych informacji nie zawsze będzie naruszeniem. Granica między dozwolonym korzystaniem a bezprawnym pobieraniem istotnej części bywa sporna i zależy od okoliczności. Niezależnie od prawa sui generis, baza danych o charakterze twórczym - gdy dobór, układ lub zestawienie jej elementów ma indywidualny charakter - może być chroniona jako utwór prawem autorskim. Ochrona autorska dotyczy wtedy struktury bazy, a nie jej zawartości. W praktyce ta sama baza może korzystać równolegle z obu reżimów, a kwalifikacja prawna zależy od jej charakteru i sposobu naruszenia.

Odpowiedzialność karna - przestępstwa przeciwko ochronie informacji

Jeżeli skopiowanie bazy wiązało się z bezprawnym uzyskaniem dostępu do danych lub systemu, czyn może wyczerpywać znamiona przestępstw z rozdziału XXXIII Kodeksu karnego. Najważniejsze z nich to: - art. 267 k.k. - bezprawne uzyskanie informacji nieprzeznaczonej dla sprawcy, w tym przez przełamanie albo ominięcie zabezpieczeń, a także bezprawne uzyskanie dostępu do całości lub części systemu informatycznego oraz ujawnienie tak uzyskanej informacji; przestępstwo zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2; - art. 268 i 268a k.k. - bezprawne niszczenie, uszkadzanie, usuwanie lub zmiana danych oraz istotne utrudnianie dostępu do nich lub zakłócanie ich przetwarzania (art. 268a zagrożony karą pozbawienia wolności do lat 3, a w typie kwalifikowanym - wyrządzenie znacznej szkody majątkowej - od 3 miesięcy do 5 lat); - art. 269a k.k. - istotne zakłócenie pracy systemu informatycznego lub sieci, zagrożone karą pozbawienia wolności od 3 miesięcy do 5 lat; - art. 269b k.k. - bezprawne wytwarzanie, pozyskiwanie lub udostępnianie programów, haseł i kodów dostępu służących do popełnienia powyższych czynów. Istotna jest kwestia trybu ścigania. Przestępstwa z art. 267, art. 268 (w odpowiednich typach) i art. 268a k.k. są co do zasady ścigane na wniosek pokrzywdzonego - oznacza to, że bez złożenia wniosku organy ścigania nie prowadzą postępowania z urzędu. To pokrzywdzony decyduje o uruchomieniu drogi karnej. Warto odróżnić te przestępstwa od sankcji z samej ustawy o ochronie baz danych. Bezprawne pobieranie danych lub wtórne ich wykorzystanie w istotnej części, dokonane w celu osiągnięcia korzyści majątkowej (art. 12 ustawy o ochronie baz danych), jest wykroczeniem zagrożonym karą grzywny - a nie przestępstwem. Kwalifikacja zależy więc od tego, w jaki sposób doszło do uzyskania i wykorzystania bazy.

Kopiowanie przez pracownika a tajemnica przedsiębiorstwa

Jeżeli bazę skopiował lub wykorzystał pracownik, współpracownik albo kontrahent związany obowiązkiem poufności, w grę wchodzi ochrona tajemnicy przedsiębiorstwa. Zgodnie z art. 11 ustawy o zwalczaniu nieuczciwej konkurencji czynem nieuczciwej konkurencji jest bezprawne pozyskanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa. Tajemnicą są informacje o wartości gospodarczej, które nie są powszechnie znane ani łatwo dostępne, a uprawniony podjął - przy zachowaniu należytej staranności - działania w celu utrzymania ich w poufności (np. klauzule poufności, ograniczenia dostępu, polityki bezpieczeństwa). Lista klientów czy szczegółowy cennik mogą spełniać te przesłanki, o ile firma realnie je chroniła. Naruszenie tajemnicy przedsiębiorstwa może rodzić odpowiedzialność cywilną (art. 18 ustawy - m.in. żądanie zaniechania, usunięcia skutków, naprawienia szkody, wydania bezpodstawnie uzyskanych korzyści) oraz - w określonych przypadkach - odpowiedzialność karną. Art. 23 ustawy o zwalczaniu nieuczciwej konkurencji przewiduje, że ujawnienie lub wykorzystanie cudzej tajemnicy przedsiębiorstwa wbrew obowiązkowi, wyrządzające poważną szkodę przedsiębiorcy, jest przestępstwem zagrożonym grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Ściganie czynów z tej ustawy następuje na wniosek pokrzywdzonego. Niezależnie od tego pracownik może ponosić odpowiedzialność pracowniczą i kontraktową za naruszenie obowiązków.

Jakie roszczenia ma poszkodowany przedsiębiorca

Zakres roszczeń zależy od podstawy ochrony, ale schemat jest zbliżony. Na gruncie ustawy o ochronie baz danych producent może żądać m.in. zaniechania naruszeń, usunięcia ich skutków, naprawienia szkody na zasadach ogólnych oraz wydania uzyskanych korzyści (art. 11 ustawy). Podobny katalog przewiduje art. 18 ustawy o zwalczaniu nieuczciwej konkurencji w sprawach o naruszenie tajemnicy przedsiębiorstwa. Gdy baza jest utworem, wchodzą w grę roszczenia z prawa autorskiego. W praktyce pierwszym krokiem bywa zabezpieczenie dowodów (logi dostępu, korespondencja, zrzuty ekranu, ślady eksportu danych) oraz wezwanie do zaniechania naruszeń i zwrotu lub zniszczenia bezprawnie pozyskanych danych. Możliwe jest też wystąpienie do sądu o zabezpieczenie roszczeń jeszcze przed pełnym procesem. Jeżeli doszło do bezprawnego dostępu do systemu, równolegle do drogi cywilnej można złożyć zawiadomienie o możliwości popełnienia przestępstwa - pamiętając, że część czynów ścigana jest na wniosek pokrzywdzonego. Wybór i kolejność kroków zależą od ustaleń faktycznych i celów przedsiębiorcy, dlatego strategię warto skonsultować z prawnikiem.

RODO - gdy baza zawiera dane osobowe

Jeżeli baza zawiera dane osobowe (np. dane klientów lub pracowników), administrator danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania (art. 32 RODO). Bezprawne skopiowanie takich danych może stanowić naruszenie ochrony danych osobowych. W takim przypadku administrator co do zasady zgłasza naruszenie organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) bez zbędnej zwłoki, a gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób - zawiadamia również osoby, których dane dotyczą. Niedopełnienie obowiązków z RODO może wiązać się z odpowiedzialnością administracyjną. Wątek RODO jest niezależny od ochrony samej bazy jako zbioru i może wystąpić równolegle z roszczeniami z prawa sui generis czy tajemnicy przedsiębiorstwa.

Jak ograniczyć ryzyko - środki organizacyjne i techniczne

Najlepszą ochroną jest prewencja, która jednocześnie buduje materiał dowodowy na wypadek sporu. W praktyce pomagają: kontrola dostępu oparta na rolach (zasada wiedzy koniecznej), uwierzytelnianie wieloskładnikowe, szyfrowanie danych wrażliwych, rejestrowanie i monitorowanie dostępu (logi), ograniczanie eksportu i kopiowania danych oraz jasne procedury obsługi informacji. Po stronie prawnej warto zadbać o klauzule poufności w umowach z pracownikami i kontrahentami, zakazy konkurencji tam, gdzie są dopuszczalne, oraz wyraźne oznaczenie informacji jako poufnych. Te działania mają podwójne znaczenie: realnie utrudniają nadużycia, a zarazem wykazują, że przedsiębiorca podjął należyte starania o utrzymanie poufności - co jest przesłanką ochrony tajemnicy przedsiębiorstwa. Dobre logi i polityki bezpieczeństwa zwiększają też szanse na skuteczne dochodzenie roszczeń.