Czy włamanie do systemu energetycznego jest przestępstwem?

Tak. Nieuprawnione uzyskanie dostępu do informacji lub systemu informatycznego przez przełamanie albo ominięcie zabezpieczeń to przestępstwo z art. 267 KK, zagrożone grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2. Zakłócanie pracy systemu czy niszczenie danych może podlegać dalszym przepisom (art. 268a, 269a KK).

Jaka kara grozi firmie za wyciek danych z RODO?

Administracyjna kara pieniężna może w najcięższych przypadkach wynieść do 20 mln euro lub do 4 proc. rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 RODO). O wysokości decyduje organ nadzorczy, biorąc pod uwagę m.in. wagę naruszenia, wdrożone zabezpieczenia i współpracę administratora.

Czy wyciek danych trzeba zgłaszać?

Co do zasady tak. Naruszenie ochrony danych osobowych administrator zgłasza Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia (art. 33 RODO). Gdy naruszenie powoduje wysokie ryzyko dla praw i wolności osób, należy zawiadomić również te osoby (art. 34 RODO).

Jak chronić dane w systemach zarządzania energią i jaka jest odpowiedzialność za ich nielegalne pozyskanie?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Systemy zarządzania energią (EMS) przetwarzają duże ilości danych operacyjnych, a często także danych osobowych - profili zużycia powiązanych z konkretnymi gospodarstwami czy firmami. Nieuprawniony dostęp do takich danych nie jest tylko incydentem technicznym. Rodzi on odpowiedzialność na dwóch płaszczyznach: karną wobec sprawcy włamania oraz administracyjną i cywilną wobec administratora, który nie zabezpieczył danych zgodnie z RODO. Poniżej porządkujemy, jak ograniczyć ryzyko i jakie konsekwencje grożą za naruszenia.

Odpowiedzialność karna za nieuprawniony dostęp

Polski Kodeks karny penalizuje tzw. hacking. Zgodnie z art. 267 KK, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, m.in. przełamując lub omijając zabezpieczenia elektroniczne, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Karalne jest też zakładanie lub posługiwanie się urządzeniami podsłuchowymi oraz uzyskiwanie dostępu do całości lub części systemu informatycznego. Przestępstwa te są zasadniczo ścigane na wniosek pokrzywdzonego. W grę mogą wchodzić również art. 268 i 268a KK (niszczenie lub utrudnianie dostępu do danych) oraz art. 269a KK (zakłócanie pracy systemu).

Obowiązki administratora danych według RODO

Gdy w EMS przetwarzane są dane osobowe, administrator musi spełnić wymogi RODO. Artykuł 32 RODO nakazuje wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo - w praktyce m.in. szyfrowanie danych w spoczynku i w przesyle, kontrolę dostępu opartą na rolach, uwierzytelnianie wieloskładnikowe oraz zasadę minimalizacji danych (art. 5 ust. 1 lit. c). Naruszenie ochrony danych co do zasady trzeba zgłosić Prezesowi UODO w ciągu 72 godzin (art. 33 RODO), a w razie wysokiego ryzyka - także osobom, których dane dotyczą (art. 34).

Sankcje administracyjne i roszczenia cywilne

Za naruszenie RODO grożą administracyjne kary pieniężne. W najpoważniejszych przypadkach mogą one sięgnąć 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku - zależnie od tego, która kwota jest wyższa (art. 83 ust. 5 RODO). Niezależnie od kary nałożonej przez organ, osoba, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia, może dochodzić odszkodowania na podstawie art. 82 RODO. Dla firmy realne bywają też straty reputacyjne i utrata zaufania kontrahentów.

Najczęstsze pytania

Czy włamanie do systemu energetycznego jest przestępstwem?
Tak. Nieuprawnione uzyskanie dostępu do informacji lub systemu informatycznego przez przełamanie albo ominięcie zabezpieczeń to przestępstwo z art. 267 KK, zagrożone grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2. Zakłócanie pracy systemu czy niszczenie danych może podlegać dalszym przepisom (art. 268a, 269a KK).
Jaka kara grozi firmie za wyciek danych z RODO?
Administracyjna kara pieniężna może w najcięższych przypadkach wynieść do 20 mln euro lub do 4 proc. rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 RODO). O wysokości decyduje organ nadzorczy, biorąc pod uwagę m.in. wagę naruszenia, wdrożone zabezpieczenia i współpracę administratora.
Czy wyciek danych trzeba zgłaszać?
Co do zasady tak. Naruszenie ochrony danych osobowych administrator zgłasza Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia (art. 33 RODO). Gdy naruszenie powoduje wysokie ryzyko dla praw i wolności osób, należy zawiadomić również te osoby (art. 34 RODO).

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę