Nielegalne pozyskiwanie danych z systemów transportowych - jak wygląda obrona?
RODO i dane osobowe · 7 min czytania · Redakcja zaufanyprawnik.pl
Systemy zarządzania transportem, spedycją i logistyką (TMS) przetwarzają dane o dużej wartości: informacje o przesyłkach i ładunkach, dane kontrahentów, kierowców i przewoźników, harmonogramy oraz dane lokalizacyjne pojazdów. Gdy ktoś uzyskuje do nich dostęp bez uprawnienia, w grę wchodzi zarówno odpowiedzialność karna, jak i administracyjna. W polskim porządku prawnym takie sytuacje ocenia się przede wszystkim przez przepisy Kodeksu karnego o przestępstwach przeciwko ochronie informacji oraz przez RODO i ustawę o ochronie danych osobowych. Nie stosuje się tu regulacji amerykańskich (np. CFAA, HIPAA czy uprawnień FTC), które bywają błędnie przywoływane w tłumaczonych lub generowanych automatycznie materiałach. Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej - ocena konkretnej sprawy zawsze wymaga indywidualnej analizy przez prawnika.
Polskie ramy prawne - art. 267 KK i RODO
Nieuprawniony dostęp do informacji (potocznie nazywany hackingiem) penalizuje art. 267 Kodeksu karnego. Zgodnie z art. 267 § 1 KK, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej - otwierając zamkniętą korespondencję, podłączając się do sieci telekomunikacyjnej albo przełamując lub omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie - podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 267 § 2 KK przewiduje tę samą karę dla osoby, która bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Art. 267 § 3 KK obejmuje posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu bezprawnego pozyskania informacji, a art. 267 § 4 KK - ujawnienie innej osobie informacji uzyskanej w sposób opisany w § 1-3. Co istotne dla obrony, zgodnie z art. 267 § 5 KK ściganie tych przestępstw następuje na wniosek pokrzywdzonego. Równolegle, jeżeli pozyskane dane są danymi osobowymi, zastosowanie ma RODO (rozporządzenie 2016/679) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych. Administrator danych odpowiada za zapewnienie odpowiedniego bezpieczeństwa przetwarzania (art. 32 RODO), a za naruszenia przepisów grożą administracyjne kary pieniężne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO). To dwa odrębne tory odpowiedzialności: karny - dotyczący sprawcy nieuprawnionego dostępu, oraz administracyjny - dotyczący administratora, który nie zabezpieczył danych należycie. Mogą się one toczyć niezależnie od siebie, a obok nich możliwa jest też odpowiedzialność cywilna (odszkodowawcza) wobec osób, których dane dotyczą (art. 82 RODO).
Powiązane przepisy karne - niszczenie danych i narzędzia hakerskie
Sam dostęp to nie jedyna możliwa kwalifikacja. Jeżeli sprawca nie tylko podgląda dane, lecz je niszczy, usuwa, zmienia albo utrudnia do nich dostęp - lub w istotny sposób zakłóca automatyczne przetwarzanie, gromadzenie czy przekazywanie danych - może odpowiadać z art. 268a Kodeksu karnego (kara pozbawienia wolności do lat 3, a w typie kwalifikowanym, gdy czyn wyrządza znaczną szkodę majątkową - od 3 miesięcy do 5 lat; ściganie również na wniosek pokrzywdzonego). Z kolei art. 269b KK penalizuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia określonych przestępstw, a także haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp - z karą od 3 miesięcy do 5 lat pozbawienia wolności. Przepis ten zawiera istotny wyjątek (art. 269b § 1a KK): nie popełnia tego przestępstwa osoba działająca wyłącznie w celu zabezpieczenia systemu informatycznego albo opracowania metod takiego zabezpieczenia, co ma znaczenie m.in. dla testerów bezpieczeństwa działających w ramach umowy. Dobór właściwej kwalifikacji prawnej zależy od ustalonego stanu faktycznego i bywa jednym z pierwszych pól sporu w postępowaniu. Na marginesie warto odnotować, że trwają prace legislacyjne dostosowujące polskie przepisy do unijnej dyrektywy 2013/40/UE w sprawie ataków na systemy informatyczne; mogą one w przyszłości zmienić zakres i tryb ścigania niektórych z tych czynów. Do czasu wejścia zmian w życie obowiązuje stan opisany powyżej - aktualny status nowelizacji warto sprawdzić u prawnika.
Kary administracyjne UODO za naruszenia RODO
Na gruncie RODO Prezes UODO może nałożyć administracyjną karę pieniężną. Art. 83 RODO przewiduje dwa pułapy maksymalne, w zależności od rodzaju naruszenia: niższy - do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (np. za naruszenie obowiązków administratora i podmiotu przetwarzającego, w tym z zakresu bezpieczeństwa z art. 32 RODO), oraz wyższy - do 20 mln euro lub do 4% obrotu (m.in. za naruszenie podstawowych zasad przetwarzania czy niezastosowanie się do nakazu organu). W obu przypadkach stosuje się kwotę wyższą. Kara musi być skuteczna, proporcjonalna i odstraszająca, a przy ustalaniu jej wysokości organ bierze pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych, umyślność lub niedbalstwo, podjęte działania minimalizujące szkodę oraz stopień współpracy z organem. Są to kary unijne, nie amerykańskie - artykuł nie podaje konkretnej kwoty dla pojedynczej sprawy, ponieważ jej wysokość zawsze ustala się indywidualnie.
Obowiązki zgłoszeniowe po incydencie
Jeżeli doszło do naruszenia ochrony danych osobowych, administrator co do zasady ma obowiązek zgłosić je Prezesowi UODO bez zbędnej zwłoki - w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Zgłoszenie nie jest wymagane tylko wtedy, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych; zgłoszenie po upływie 72 godzin powinno zawierać wyjaśnienie przyczyn opóźnienia. Jeżeli naruszenie może powodować wysokie ryzyko dla praw lub wolności osób, których dane dotyczą, administrator zawiadamia również te osoby (art. 34 RODO). Podmiot przetwarzający, który stwierdzi naruszenie, ma obowiązek niezwłocznie zawiadomić administratora. Niezależnie od zgłoszenia, każde naruszenie należy odpowiednio udokumentować wewnętrznie. Terminowe i rzetelne wykonanie tych obowiązków bywa istotne także z perspektywy późniejszej oceny działań administratora przez organ nadzorczy.
Środki ograniczania ryzyka
Niezależnie od ewentualnej obrony, organizacje korzystające z systemów transportowych i logistycznych powinny minimalizować ryzyko incydentu: stosować szyfrowanie danych w spoczynku i w transmisji, kontrolę dostępu opartą na zasadzie minimalnych uprawnień, uwierzytelnianie wieloskładnikowe, segmentację sieci, regularne aktualizacje oprogramowania, kopie zapasowe oraz okresowe audyty i testy bezpieczeństwa. Istotne jest też szkolenie pracowników i podwykonawców - błąd ludzki oraz phishing pozostają częstymi przyczynami incydentów. Dobrą praktyką jest również ścisłe uregulowanie dostępu kontrahentów i integracji zewnętrznych (API) w umowach powierzenia przetwarzania. Działania te nie tylko ograniczają ryzyko wycieku, lecz także mogą stanowić dowód należytej staranności administratora (wdrożenia odpowiednich środków technicznych i organizacyjnych w rozumieniu art. 32 RODO) w razie postępowania przed UODO.
Jak wygląda obrona w razie zarzutu
Przy zarzucie nieuprawnionego dostępu do danych obrona koncentruje się zwykle na dwóch polach: kwestionowaniu znamion czynu (np. z art. 267 KK) oraz wykazaniu zgodności działań z prawem. Linia obrony może wskazywać, że dostęp był uprawniony (wynikał z umowy, upoważnienia służbowego lub zakresu obowiązków), że nie doszło do przełamania ani ominięcia zabezpieczenia (np. dane nie były w ogóle zabezpieczone albo udostępniono je dobrowolnie), że informacja nie była dla danej osoby nieprzeznaczona, albo że brak było wymaganego zamiaru. Znaczenie ma też prawidłowość zgromadzenia dowodów cyfrowych i to, czy w sprawie złożono skuteczny wniosek o ściganie - bez niego, przy czynach ściganych na wniosek (art. 267 § 5 i art. 268a § 3 KK), postępowanie co do zasady nie może się toczyć. W razie incydentu warto niezwłocznie skonsultować się z prawnikiem, zabezpieczyć dowody cyfrowe (logi dostępu, korespondencję, zrzuty konfiguracji) z zachowaniem ich integralności i - jeżeli doszło do naruszenia ochrony danych osobowych - dopełnić obowiązków zgłoszeniowych wobec UODO oraz, gdy to konieczne, osób, których dane dotyczą. Z perspektywy administratora wykazanie proaktywnej zgodności, współpracy z organem i szybkiego ograniczenia skutków incydentu może być brane pod uwagę przy wymiarze kary administracyjnej. Każda sprawa jest jednak inna, a powyższe kierunki obrony nie gwarantują żadnego konkretnego rozstrzygnięcia - mają charakter ogólnoinformacyjny.
Najczęstsze pytania
Jaki przepis karze nieuprawniony dostęp do danych w Polsce?
Przede wszystkim art. 267 Kodeksu karnego (tzw. hacking). Za bezprawne uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy - przez przełamanie lub ominięcie zabezpieczenia (§ 1) albo za nieuprawniony dostęp do systemu informatycznego (§ 2) - grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Przestępstwo to ścigane jest na wniosek pokrzywdzonego (art. 267 § 5 KK).
Czy zniszczenie lub zablokowanie danych to ten sam czyn co dostęp do nich?
Nie. Sam nieuprawniony dostęp ocenia się głównie przez art. 267 KK, natomiast niszczenie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych - przez art. 268a KK (kara do 3 lat pozbawienia wolności, a przy znacznej szkodzie majątkowej od 3 miesięcy do 5 lat; ściganie na wniosek). Wytwarzanie lub udostępnianie narzędzi i haseł służących do takich czynów obejmuje art. 269b KK.
Jaka kara grozi firmie za wyciek danych osobowych?
Na gruncie RODO Prezes UODO może nałożyć administracyjną karę pieniężną. Art. 83 RODO przewiduje dwa pułapy: do 10 mln euro lub 2% rocznego światowego obrotu oraz - dla cięższych naruszeń - do 20 mln euro lub 4% obrotu (stosuje się kwotę wyższą). Konkretna wysokość zależy m.in. od wagi naruszenia, liczby poszkodowanych i staranności administratora. Są to kary unijne, nie amerykańskie, a kwota w danej sprawie zawsze ustalana jest indywidualnie.
W jakim terminie trzeba zgłosić naruszenie ochrony danych?
Co do zasady bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, administrator zgłasza je Prezesowi UODO (art. 33 RODO). Obowiązek odpada, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób. Jeżeli naruszenie powoduje wysokie ryzyko dla tych osób, należy także je zawiadomić (art. 34 RODO).
Czy prokuratura ściga taki czyn z urzędu?
W odniesieniu do czynów z art. 267 KK oraz art. 268a KK ściganie następuje na wniosek pokrzywdzonego (art. 267 § 5 i art. 268a § 3 KK). Oznacza to, że bez skutecznie złożonego wniosku postępowanie co do zasady nie może się toczyć. Trwają jednak prace legislacyjne wdrażające dyrektywę 2013/40/UE, które w przyszłości mogą zmienić tryb ścigania - aktualny stan prawny warto zweryfikować z prawnikiem.
Powiązane poradniki
- Nielegalne pozyskiwanie informacji z systemów IT - odpowiedzialność karna i RODO
- Maksymalna kara za naruszenie RODO - ile wynosi i od czego zależy?
- Naruszenie bezpieczeństwa systemów komputerowych - prawnik, kary, obowiązki firmy
- Nielegalne pozyskanie danych z systemu informatycznego — jakie są linie obrony?
Podstawa prawna i źródła
- Ustawa - Kodeks karny, art. 267 (bezprawne uzyskanie informacji) - tekst jednolity Dz.U. 2025 poz. 383
- Kodeks karny, art. 268a (niszczenie danych informatycznych) i art. 269b (narzędzia hakerskie)
- Rozporządzenie (UE) 2016/679 (RODO) - art. 32-34 oraz art. 82-83
- Ustawa z 10 maja 2018 r. o ochronie danych osobowych
- UODO - W jakim terminie należy zgłosić naruszenie Prezesowi UODO
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę