Okres dostosowania do nowych wymogów zakończy się 25 maja 2018 roku

Jakie przepisy regulują ochronę cybertreści i danych osobowych?

W Polsce w dalszym ciągu nie mamy aktu prawnego, który w sposób kompleksowy regulowałby zagadnienia związane z bezpieczeństwem cyberprzestrzeni. Przepisy mające na celu zapewnienie poufności, integralności i dostępności danych oraz informacji gromadzonych i przetwarzanych w systemach informatycznych ulokowane są w kilku ustawach. Wśród nich zasadnicze znaczenie ma ustawa z 6 czerwca 1997 r - Kodeks karny (t.j. Dz.U. z 1997 r. nr 88, poz. 553 ze zm.). Przewiduje on kary za podstawowe kategorie cyberprzestępstw, takie jak: bezprawny dostęp do systemów informatycznych, szpiegostwo komputerowe, sabotaż i wymuszenia komputerowe oraz przestępstwa przeciwko ochronie informacji w systemach informatycznych, np. niszczenie i usuwanie danych lub zakłócanie pracy systemu komputerowego.

Jaka odpowiedzialność karna grozi osobom, które popełniają cyberprzestępstwa na tym tle?

Najbardziej dotkliwą sankcję przewidziano dla przypadków uszkadzania lub niszczenia danych informatycznych, które mają szczególne znaczenie dla funkcjonowania administracji rządowej, instytucji państwowych albo samorządu terytorialnego. W tej sytuacji sprawcy przestępstwa grozi kara nawet do 8 lat pozbawienia wolności. Jeśli chcielibyśmy podać uśrednioną górną granicę kar przewidzianych za pozostałe czyny cyberprzestępstw, to można powiedzieć, że oscyluje ona w przedziale 2-3 lat pozbawienia wolności. Oczywiście w określonych przypadkach wymiar kary może być wyższy, np. w sytuacji, w której z popełnieniem przestępstwa wiąże się wyrządzenie znacznej szkody majątkowej. Warto przy tym pamiętać, że większość cyberprzestępstw charakteryzuje tzw. publicznoskargowy i wnioskowy model ściągania, czyli wszczęcie postępowania przez policję lub prokuraturę następuje na wniosek pokrzywdzonego.

Czy są też bardziej szczegółowe regulacje?

Mówiąc o cyberprzestępstwach oraz bezpieczeństwie systemów informatycznych, nie sposób nie wspomnieć o szczególnej kategorii informacji, jaką są dane osobowe, a więc informacje dotyczące osoby zidentyfikowanej lub możliwej do zidentyfikowania. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135 ze zm.), a w szczególności jedno z rozporządzeń wykonawczych zawierają wytyczne dotyczące zabezpieczenia danych osobowych, jak również systemów informatycznych, w których dane te są przetwarzane. Fakt ten wymaga wyraźnego pokreślenia, gdyż obok ustawy o ochronie informacji niejawnych oraz jednego z rozporządzeń do ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne jest to bodaj jedyna regulacja prawna, która określa ogólne zasady zabezpieczenia systemów informatycznych. W dobie społeczeństwa informacyjnego przepisy o takim charakterze wydają się wręcz konieczne. Jeśli chodzi więc o zapewnienie bezpieczeństwa danych osobowych oraz systemów i sieci informatycznych, w których są one przetwarzane, zasadnicze znaczenie mają dwa artykuły ostatniego rozdziału ustawy, które przewidują odpowiedzialność karną za naruszenie bezpieczeństwa danych. Co ciekawe, odmiennie od wyżej wspomnianych przepisów kodeksu karnego. Na gruncie ustawy o ochronie danych osobowych odpowiedzialności podlega administrator danych, a więc podmiot, który jest właścicielem danych i powinien zapewnić odpowiednie środki ich bezpieczeństwa. Zgodnie z ustawą administrator, który naruszył obowiązek zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem podlegać może karze do 2 lat pozbawienia wolności. Przepisy kodeksu karnego będą więc miały zasadnicze znaczenie w odniesieniu do osób, które dopuszczają się cyberprzestępstw, zaś przepisy ustawy o ochronie danych osobowych znajdą zastosowanie do osób odpowiedzialnych za odpowiednie zabezpieczenie danych osobowych.

Jak wygląda ochrona cybertreści i danych osobowych w innych państwach? Które, spośród stosowanych w nich rozwiązań, sprawdzają się najlepiej? Na jakich rozwiązaniach powinna się wzorować polska administracja?

Na tle innych państw UE brak w Polsce jednego aktu prawnego poświęconego kwestiom cyberbezpieczeństwa nie jest niczym niezwykłym. Podobna sytuacja ma miejsce w takich państwach jak Niemcy, Francja czy Holandia. Przypomnijmy, że nie tak dawno, bo w grudniu 2015 r. został uzgodniony ostateczny tekst tzw. dyrektywy NIS. Akt ten oczekuje obecnie na drugie czytanie w Parlamencie Europejskim i można się spodziewać, że w połowie 2016 r. zostanie przyjęty. Jego zasadniczym celem jest zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii Europejskiej zarówno w odniesieniu do operatorów infrastruktury krytycznej (np. energetyka, transport, bankowość, opieka zdrowotna), jak i organów administracji publicznej. W odrębnym rozdziale dyrektywa reguluje m.in. zagadnienie bezpieczeństwa systemów informatycznych organów administracji publicznej. Można więc oczekiwać, że wejście w życie tego aktu będzie sygnałem dla polskiej administracji publicznej do intensyfikacji prac nad cyberbezpieczeństwem. Nieco odmiennie wygląda kwestia ochrony danych osobowych. Te, na poziomie UE były dotychczas chronione na podstawie lokalnych przepisów państw członkowskich, ale pewne minimum w tym zakresie wyznaczała dyrektywa 95/46/WE. Sytuacja zmieniła się całkowicie z chwilą przyjęcia kilka tygodni temu unijnego rozporządzenia w sprawie ochrony danych osobowych, które znajdzie bezpośrednie zastosowanie we wszystkich krajach UE. Samo rozporządzenie nie ustanawia konkretnych wymogów w zakresie zabezpieczenia danych osobowych oraz systemów informatycznych, w których są one przetwarzane, ale z drugiej strony przewiduje bardzo surowe sankcje za niewłaściwe zabezpieczenie danych. Przepisy tego aktu będą musiały być stosowane również przez organy administracji publicznej. Podmioty przetwarzające dane będą miały czas do 25 maja 2018 r., kiedy zakończy się okres dostosowania do nowych wymogów. Od tego dnia, pod groźbą surowych sankcji, w tym finansowych (do wysokości 4 proc. światowego obrotu w poprzednim roku kalendarzowym) przepisy rozporządzenia będą musiały być bezwzględnie przestrzegane.

@RY1@i02/2016/097/i02.2016.097.18300300f.802.jpg@RY2@

Łukasz Czynienik radca prawny w DLA Piper Wiater sp. k.

Rozmawiał Paweł Sikora