Nielegalne pozyskiwanie danych z systemów teleinformatycznych — odpowiedzialność prawna w Polsce
Prawo karne · 2 min czytania · Redakcja zaufanyprawnik.pl
Nielegalne pozyskiwanie danych z systemów teleinformatycznych — także tych obsługujących infrastrukturę krytyczną, jak sieci transportowe — jest w Polsce czynem zabronionym. Podstawowe znaczenie mają tu przepisy Kodeksu karnego o przestępstwach przeciwko ochronie informacji oraz regulacje administracyjne dotyczące cyberbezpieczeństwa. Niniejszy materiał ma charakter ogólny i opisuje krajowe ramy prawne; nie jest to gotowa 'strategia obrony', ponieważ każdą sprawę ocenia się indywidualnie.
Przestępstwa przeciwko ochronie informacji w Kodeksie karnym
Kluczowy jest art. 267 k.k., który penalizuje bezprawne uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, w tym przełamanie lub ominięcie zabezpieczeń (tzw. hacking) oraz bezprawny dostęp do systemu informatycznego. Kolejne przepisy dotyczą: niszczenia lub zmiany danych (art. 268 i 268a k.k.), zakłócania pracy systemów (art. 269 i 269a k.k.) oraz wytwarzania i udostępniania tzw. narzędzi hakerskich (art. 269b k.k.). Czyny te są zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności, a typy kwalifikowane (np. dotyczące systemów o szczególnym znaczeniu) przewidują surowszą odpowiedzialność.
Cyberbezpieczeństwo infrastruktury — obowiązki administracyjne
Operatorzy usług kluczowych, w tym podmioty z sektora transportu, podlegają ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Nakłada ona m.in. obowiązek zarządzania ryzykiem, wdrażania zabezpieczeń, monitorowania zdarzeń oraz zgłaszania incydentów do właściwego CSIRT. Naruszenie tych obowiązków może skutkować administracyjnymi karami pieniężnymi. To odrębna płaszczyzna od odpowiedzialności karnej sprawcy ataku i dotyczy raczej zaniedbań po stronie podmiotu chroniącego dane.
Ochrona danych osobowych i RODO
Jeżeli pozyskane dane obejmują dane osobowe, w grę wchodzi również reżim RODO (rozporządzenie 2016/679) i polska ustawa o ochronie danych osobowych. Administrator danych może ponieść administracyjną karę pieniężną nakładaną przez Prezesa UODO, a poszkodowane osoby mogą dochodzić odszkodowania na drodze cywilnej. Należy odróżnić odpowiedzialność sprawcy ataku (karną) od odpowiedzialności administratora za niewystarczające zabezpieczenia (administracyjną i cywilną).
Najczęstsze pytania
Jaki przepis karze za włamanie do systemu informatycznego?
Podstawą jest art. 267 Kodeksu karnego, który penalizuje bezprawne uzyskanie dostępu do informacji lub systemu, w tym przez przełamanie zabezpieczeń. Dalsze przepisy (art. 268–269b k.k.) dotyczą niszczenia danych, zakłócania systemów i narzędzi hakerskich.
Czy 'Computer Fraud and Abuse Act' obowiązuje w Polsce?
Nie. To ustawa amerykańska. W Polsce nielegalny dostęp do danych i systemów reguluje Kodeks karny (art. 267 i nast.), a obowiązki ochronne — ustawa o krajowym systemie cyberbezpieczeństwa oraz RODO.
Jakie kary grożą firmie za naruszenie ochrony danych?
Administrator danych może ponieść administracyjną karę pieniężną nakładaną przez Prezesa UODO na podstawie RODO, a osoby poszkodowane mogą dochodzić odszkodowania w postępowaniu cywilnym. To odpowiedzialność odrębna od karnej odpowiedzialności sprawcy ataku.
Kto ma obowiązek zgłaszać incydenty cyberbezpieczeństwa?
Operatorzy usług kluczowych i inne podmioty wskazane w ustawie z 2018 r. o krajowym systemie cyberbezpieczeństwa mają obowiązek zarządzania ryzykiem i zgłaszania incydentów do właściwego zespołu CSIRT.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę