Nielegalne pozyskanie danych z systemu informatycznego — jakie są linie obrony?

Nielegalne pozyskiwanie danych z systemów teleinformatycznych — niezależnie od tego, czy chodzi o system zarządzania lotniskiem, szpitalem, bankiem czy zwykłą firmą — ma w polskim prawie dwa odrębne wymiary. Pierwszy to odpowiedzialność karna osoby, która uzyskuje bezprawny dostęp do informacji lub systemu. Drugi to odpowiedzialność administratora danych (podmiotu, który dane przetwarza) na gruncie RODO, czyli rozporządzenia (UE) 2016/679, oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Te dwa reżimy działają niezależnie: ta sama sytuacja faktyczna może prowadzić jednocześnie do postępowania karnego wobec sprawcy i postępowania administracyjnego przed Prezesem UODO wobec administratora. Dlatego linia obrony zależy przede wszystkim od tego, po której stronie sporu się występuje. Poniższy tekst ma charakter wyłącznie informacyjny i nie stanowi porady prawnej — każda sprawa wymaga indywidualnej analizy adwokata lub radcy prawnego na podstawie pełnego stanu faktycznego i akt.

Odpowiedzialność karna za bezprawny dostęp do danych

Podstawowym przepisem jest art. 267 Kodeksu karnego. Zgodnie z § 1 ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej — otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej albo przełamując lub omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie — podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego (§ 2), kto w celu zdobycia informacji zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem (§ 3), a także kto tak uzyskaną informację ujawnia innej osobie (§ 4). Kluczowe z perspektywy obrony jest to, że ściganie tych czynów następuje na wniosek pokrzywdzonego (§ 5) — bez takiego wniosku postępowanie nie może się toczyć. Przepis ten nie funkcjonuje w próżni. Z bezprawnym dostępem często łączą się czyny opisane w kolejnych artykułach rozdziału XXXIII Kodeksu karnego (przestępstwa przeciwko ochronie informacji): art. 268 KK (niszczenie lub utrudnianie zapoznania się z informacją osobie uprawnionej), art. 268a KK (niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo zakłócanie ich przetwarzania — zagrożone karą pozbawienia wolności do lat 3, a w razie wyrządzenia znacznej szkody majątkowej od 3 miesięcy do 5 lat), oraz art. 269a KK (zakłócanie pracy systemu informatycznego, teleinformatycznego lub sieci — od 3 miesięcy do 5 lat). Warto też pamiętać o art. 269c KK, który wyłącza odpowiedzialność osób działających wyłącznie w celu zabezpieczenia systemu lub wykrycia podatności, jeżeli niezwłocznie powiadomią dysponenta systemu i nie naruszą interesu publicznego ani prywatnego oraz nie wyrządzą szkody (tzw. klauzula dla badaczy bezpieczeństwa). Dobór kwalifikacji prawnej w konkretnej sprawie należy do organów ścigania i sądu.

Linie obrony osoby oskarżonej

Czyn z art. 267 KK jest przestępstwem umyślnym, a jego znamiona są precyzyjne — i to właśnie wokół nich koncentruje się obrona. Typowe kierunki to: - Brak bezprawności dostępu. Wykazanie, że dostęp mieścił się w zakresie udzielonego uprawnienia (np. wynikał z obowiązków służbowych, posiadanych poświadczeń, umowy lub zgody dysponenta systemu). Jeśli sprawca był uprawniony do wejścia do systemu, znamię „bez uprawnienia” nie jest spełnione. - Brak przełamania lub ominięcia zabezpieczenia (przy zarzucie z § 1). Jeżeli informacja nie była objęta szczególnym zabezpieczeniem albo dostęp nie wymagał jego pokonania, kwalifikacja z § 1 może być wadliwa. - Brak umyślności lub świadomości. Wykazanie, że sprawca nie obejmował świadomością i wolą tego, że uzyskuje dostęp do informacji dla niego nieprzeznaczonej (np. dostęp przypadkowy, błąd konfiguracji uprawnień po stronie administratora). - Kwestionowanie dowodów cyfrowych. Podważanie integralności i wiarygodności logów, prawidłowości zabezpieczenia nośników i zachowania łańcucha dowodowego (chain of custody) oraz — co bywa kluczowe — przypisania działania konkretnej osobie, a nie tylko kontu czy adresowi IP. - Aspekt proceduralny. Sprawdzenie, czy złożono skuteczny wniosek o ściganie przez pokrzywdzonego (§ 5) oraz czy nie nastąpiło przedawnienie karalności. Która z tych linii jest realna, zależy wyłącznie od materiału dowodowego i okoliczności sprawy — powyższa lista to katalog możliwości, a nie gwarancja rozstrzygnięcia.

Perspektywa administratora danych i RODO

Gdy do wycieku lub nieuprawnionego dostępu dochodzi w systemie administratora, odrębnym zagadnieniem jest jego odpowiedzialność na gruncie RODO. Tu obrona ma charakter wykazania zgodności z prawem i należytej staranności, a nie kwestionowania znamion przestępstwa. W praktyce administrator powinien być w stanie udowodnić: - zgodność z prawem przetwarzania — wskazanie właściwej podstawy z art. 6 RODO (np. wykonanie umowy, obowiązek prawny, prawnie uzasadniony interes, zgoda); - wdrożenie odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka (art. 32 RODO) — to często oś sporu po incydencie bezpieczeństwa; - wyznaczenie inspektora ochrony danych tam, gdzie jest to obowiązkowe (art. 37 RODO — m.in. organy publiczne oraz podmioty prowadzące przetwarzanie na dużą skalę lub regularne, systematyczne monitorowanie); - rozliczalność (art. 5 ust. 2 RODO) — prowadzenie dokumentacji, rejestru czynności przetwarzania, polityk retencji oraz prawidłowe zgłoszenie naruszenia organowi nadzorczemu (co do zasady w ciągu 72 godzin — art. 33 RODO) i, gdy trzeba, zawiadomienie osób, których dane dotyczą (art. 34 RODO). Wysokość ewentualnej kary nie jest jednolita — RODO przewiduje dwa pułapy (art. 83). Za naruszenie obowiązków administratora i podmiotu przetwarzającego, w tym dotyczących bezpieczeństwa przetwarzania z art. 32, grozi administracyjna kara pieniężna do 10 mln euro, a w przypadku przedsiębiorstwa do 2% całkowitego rocznego światowego obrotu (kwota wyższa). Wyższy pułap — do 20 mln euro lub do 4% obrotu — zarezerwowany jest m.in. dla naruszeń podstawowych zasad przetwarzania i przesłanek legalności (art. 5, 6, 9 RODO). To istotne rozróżnienie: samo uchybienie w środkach bezpieczeństwa zwykle mieści się w niższym przedziale. Kary w Polsce nakłada Prezes Urzędu Ochrony Danych Osobowych, kierując się kryteriami skuteczności, proporcjonalności i odstraszania. Niezależnie od kary administracyjnej osobom poszkodowanym przysługuje roszczenie odszkodowawcze na drodze cywilnej (art. 82 RODO).

Podsumowanie

Nieuprawniony dostęp do danych w systemie informatycznym rozpatruje się w polskim prawie na dwóch torach. Wobec sprawcy zastosowanie ma przede wszystkim art. 267 KK (wraz z powiązanymi art. 268, 268a i 269a KK), a obrona skupia się na znamionach czynu i na rzetelności dowodów cyfrowych; warto pamiętać, że ściganie wymaga wniosku pokrzywdzonego. Wobec administratora ocena toczy się na gruncie RODO i dotyczy zgodności z prawem przetwarzania oraz adekwatności zabezpieczeń, a sankcje administracyjne — różne dla różnych typów naruszeń — nakłada Prezes UODO. Z uwagi na złożoność i silne uzależnienie od stanu faktycznego, w realnej sprawie niezbędna jest konsultacja z prawnikiem; niniejszy materiał nie zastępuje porady prawnej.