Wyciek tajemnicy przedsiębiorstwa dziś jest o wiele łatwiejszy niż wyniesienia segregatora z biura. Obecnie ma postać kilku kliknięć – zalogowanie, pobranie plików, eksport bazy klientów – coraz bliżej mu przestępstwa komputerowego. Tym bardziej, gdy istotą jest samo uzyskanie dostępu do informacji nieprzeznaczonych dla danej osoby. Jakie kary grożą za oba te przestępstwa? Kiedy jedno zdarzenie może „uruchomić” oba reżimy odpowiedzialności? Zapraszam do lektury.

Autor bloga:
Maciej Lipiński
radca prawny

+48 502 125 029
m.lipinski@lipinskiwalczak.pl

Czym jest przestępstwo komputerowe art. 266 i 267 k.k.?

Art. 266 k.k. wskazuje, że przestępstwem komputerowym jest ujawnienie lub wykorzystanie informacji, z którą ktoś zapoznał się w związku z wykonywaną pracą/funkcją – wbrew ustawie albo przyjętemu zobowiązaniu. Art. 267 Kodeksu karnego chroni tajemnicę komunikacji i zapewniając prawną ochronę informacji przed nieuprawnionym dostępem. Przepis penalizuje nie tylko „hakerskie włamania”, ale też sytuacje bardziej „codzienne” jak otwarcie cudzej korespondencji, wejście na czyjeś konto, podłączenie się do sieci w sposób bezprawny, czy ujawnienie zdobytej w ten sposób informacji.

Poszczególne paragrafy art. 267 k.k. obejmują różne rodzaje działań:

Przestępstwo komputerowe art. 267 k.k. § 1 – opisuje nieuprawniony dostęp do informacji „nieprzeznaczonej” dla danego użytkownika. To klasyczny wariant, w którym ktoś bez uprawnienia uzyskuje dostęp do informacji, np.: otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej, przełamując albo omijając zabezpieczenia (elektroniczne/informatyczne i inne).  W praktyce przestępstwo komputerowe w rozumieniu paragrafu 1 to czytanie cudzych maili, wiadomości, korespondencji, uzyskanie dostępu do danych zabezpieczonych hasłem itp.

Przestępstwo komputerowe art. 267 k.k. § 2 – opisuje, jak rozumieć powinniśmy nieuprawniony dostęp do systemu informatycznego. Sednem nie jest „konkretna informacja”, tylko samo wejście do całości lub części systemu informatycznego bez prawa (np. konto, panel, CRM, system firmowy, skrzynka). To ważne, bo czasem już samo zalogowanie się „do środka” wypełnia znamiona przestępstwa komputerowego — nawet jeśli sprawca niczego nie skopiuje.

Przestępstwo komputerowe art. 267 k.k. § 3 – dotyczy zakładania/posługiwania się urządzeniem lub oprogramowaniem (w celu uzyskania informacji). Przepis obejmuje sytuacje, gdy ktoś w celu zdobycia informacji zakłada lub używa np.: urządzenia podsłuchowego, urządzenia wizualnego, innego urządzenia lub oprogramowania służącego do takiego pozyskania. Podsłuch brzmi poważnie, ale mowa tu także o „narzędziach” do podglądania takich jak programy do zdalnego pulpitu użyte po to, by zdobyć cudze informacje.

Przestępstwo komputerowe art. 267 k.k. § 4 – penalizuje ujawnienie informacji zdobytej bezprawnie. Nawet jeśli ktoś sam nie „włamywał się”, może odpowiadać, gdy ujawnia innej osobie informację uzyskaną w sposób opisany w § 1–3.

Przestępstwo komputerowe a naruszenie tajemnicy przedsiębiorstwa

Przywołany powyżej art. 267 k.k. dotyczy przede wszystkim sposobu wejścia w posiadanie informacji. Z kolei „tajemnica przedsiębiorstwa” odnosi się do cechy tej informacji. Jeśli zatem pozyskana poprzez przestępstwo komputerowe informacja ma wartość gospodarczą, nie jest powszechnie znana/łatwo dostępna w branży i jest realnie chroniona (przez NDA, ograniczenia uprawnień, procedury, zabezpieczenia), to może równolegle wchodzić w grę odpowiedzialność z przepisów o naruszeniu tajemnicy przedsiębiorstwa (np. z art. 23 u.z.n.k.), nawet gdy sprawca miał legalny dostęp, który nadużył.

Przestępstwo komputerowe – przykłady z życia firmy

Przykłady z życia, czyli przestępstwa komputerowe, w ramach których dochodzi do wycieku tajemnicy przedsiębiorstwa, które mogą zdążyć się w każdej firmie. Jak widzicie nie ma w tym zestawieniu żadnych filmowych fajerwerków, a stawka i tak jest bardzo wysoka.

Wejście na konto e-mail / social media / chmurę kolegi z pracy – pracownik A zna (albo podpatrzył, albo dostał „na chwilę”) hasło do skrzynki e-mail lub dysku w chmurze pracownika B. Loguje się po godzinach z prywatnego laptopa lub na komputerze w firmie i forward maili, pobiera pliki, robi screeny, odzyskuje hasła do innych systemów. Jednym słowem, pracownik A uzyskuje nieuprawniony dostęp co ma znamiona przestępstwa komputerowego.

Były pracownik loguje się do firmowego systemu po zakończeniu współpracy – po rozwiązaniu umowy z pracownikiem konto nie zostało od razu wyłączone (albo pracownik ma nadal aktywny token, dostęp do VPN, zapamiętane hasło w przeglądarce). Pracownik loguje się do poczty firmowej, CRM, systemu księgowego lub systemu obsługi pacjentów/klientów i pobiera dane „na wszelki wypadek”, „bo mogą się przydać”. Mogą to być kompletne bazy klientów, polityka cenowa, listy dostawców i wynegocjowane stawki, umowy, terminy, procedury, harmonogramy. W takich sytuacjach często były pracownik zakłada lub już ma działalność konkurencyjną i używa tych danych do kontaktu z klientami.

Zaglądanie do części systemu, która nie jest dla danej osoby – czyli klasyczne przekroczenie uprawnień. Pracownik ma legalny dostęp do systemu, ale tylko w zakresie swojej roli. Mimo to wchodzi do modułów, do których nie ma uprawnień (albo omija ograniczenia przez błąd konfiguracji, link do „ukrytej” zakładki, manipulację parametrami URL, użycie konta kolegi, sesję na niezablokowanym komputerze). Do tego zwykle kopiuje dane. Działanie takie jest traktowane jak dostęp „bez uprawnienia” do części systemu/danych, który mieści się w definicji przestępstwa komputerowego.

Podpinanie się do firmowej sieci/zasobu wbrew zasadom – pracownik uzyskuje nieautoryzowany dostęp do sieci firmowej, zakłada konto VPN „na boku” albo używa cudzych danych do VPN, podłącza się do wewnętrznego Wi-Fi bez zgody, mapuje udział sieciowy (np. \serwer\dzial\projekty) mimo braku uprawnień. Zagrożone wyciekiem są w tym scenariuszu wszystkie pliki, ewentualny wyciek może być masowy i trudny do oszacowania. Stąd czyn taki jest karany.

Co grozi za przestępstwo komputerowe?

Kary za przestępstwo komputerowe zależą od tego, o jaki „czyn/działanie” chodzi. Za nieuprawniony dostęp / „włamanie” (np. wejście na cudzą pocztę, konto w chmurze, CRM) grozi odpowiedzialność art. 267 k.k., a więc grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat. Z kolei za oszustwo komputerowe (manipulacja danymi/programem w celu osiągnięcia korzyści)– art. 287 k.k.: zasadniczo od 3 miesięcy do 5 lat.

Co grozi za ujawnienie tajemnicy przedsiębiorstwa?

Za ujawnienie tajemnicy przedsiębiorstwa mogą grozić konsekwencje na kilku „torach” – cywilnym, karnym i pracowniczym – zależnie od tego kto, jak i w jakich okolicznościach ujawnił informację.

Odpowiedzialność karna najczęściej wymierzana jest z art. 23 ustawy o zwalczaniu nieuczciwej konkurencji (u.z.n.k.). W myśl tego przepisu, za ujawnienie/wykorzystanie/pozyskanie cudzej tajemnicy przedsiębiorstwa (w warunkach wskazanych w przepisie) grozi grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat.

Do tego dochodzi odpowiedzialność cywilna, która często najbardziej „kosztowna” finansowo. Jeżeli informacja spełnia definicję tajemnicy przedsiębiorstwa z art. 11 u.z.n.k. (ma wartość gospodarczą, nie jest powszechnie znana i firma realnie dbała o poufność), firma może dochodzić roszczeń cywilnych typowych dla czynów nieuczciwej konkurencji – np. zakazu dalszych naruszeń, usunięcia skutków, odszkodowania, wydania korzyści czy publikacji oświadczenia (zakres roszczeń zależy od podstawy i stanu faktycznego).

Na koniec, pozostaje tez odpowiedzialność pracownicza na kanwie art. 100 § 2 pkt 4 Kodeksu pracy. Pracownik ma bowiem obowiązek dbać o dobro zakładu pracy oraz chronić jego mienie i zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę. Kopiowanie danych ze służbowego komputera na prywatny nośnik, bez zgody i wiedzy pracodawcy, może być potraktowane jako naruszenie art. 100 § 2 pkt 4 Kodeksu pracy., a także jako ciężkie naruszenie podstawowych obowiązków pracowniczych (art. 52 Kodeksu pracy), które grozi zwolnieniem dyscyplinarnym.

Kim jestem?

Maciej Lipiński

Jestem radcą prawnym i wieloletnim praktykiem z tematyki nieuczciwej konkurencji. Niezależnie od tego, czy jesteś pokrzywdzony czy pozwanym, oferujemy Ci profesjonalne doradztwo prawne oraz kompleksową reprezentację w procesach sądowych.

Tel.+48 502 125 029
Mail: m.lipinski@lipinskiwalczak.pl