Nieustanny rozwój nowych technologii, coraz większa popularność pracy zdalnej czy przenoszenie znacznej liczby baz danych na nośniki cyfrowe – wszystko to sprawia, że ochrona danych w formie cyfrowej, w szczególności danych osobowych, nabiera coraz większego znaczenia, zwłaszcza w przemyśle. Cyberprzestępcy często posługują się nowymi sposobami kradzieży danych. Liczne, powstałe w ostatnich latach i wciąż rozwijane metody hakerskie jednoznacznie wskazują na ogromne znaczenie dostępu do danych przechowywanych w formie cyfrowej. Warto jednak wiedzieć, że hakerzy nie są bezkarni. Ochrony przed podejmowanymi przez nich działaniami można dochodzić zarówno na drodze karnej, jak i cywilnej.
Atak hakerski stanowi przestępstwo
Działania podejmowane przez hakerów, tj. bezprawne uzyskane informacji, niszczenie, uszkadzanie, usuwanie lub utrudnianie dostępu do danych informatycznych, zakłócanie prac systemów komputerowych, wytwarzanie określonych programów komputerowych, stanowią przestępstwa uregulowane w Kodeksie karnym.
Nie wszyscy mają też świadomość tego, że przestępstwem jest również wytwarzanie programów komputerowych przystosowanych do popełniania przestępstw hakerskich, a także sprzedaż haseł komputerowych i kodów dostępów umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym.
W zależności od rodzaju podjętych czynności i ich skutków za ataki hakerskie grozi – jak stanowi Kodeks karny – do trzech lat więzienia. Jeśli w wyniku takiego ataku wyrządzi się „znaczną szkodę majątkową”, kara wzrasta do pięciu lat pozbawienia wolności. W przypadku gdy atak dotyczy instytucji państwowych, kara może wzrosnąć nawet do ośmiu lat pozbawienia wolności.
Oznacza to, że w przypadku ataku hakerskiego w firmie można rozważyć złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa do prokuratury. Niektóre przestępstwa tego typu są ścigane na wniosek pokrzywdzonego, co oznacza, że prokuratura rozpocznie dochodzenie tylko w przypadku złożenia stosownego wniosku przez pokrzywdzonego.
Odpowiedzialność na gruncie prawa cywilnego
Oprócz odpowiedzialności karnej hakerzy mogą ponosić za swoje czyny odpowiedzialność cywilnoprawną. Jeśli haker swoimi działaniami, np. niszcząc dane, wyrządził firmie szkodę, poszkodowana spółka może żądać odszkodowania. W przypadku ataków hakerskich często niemożliwe jest naprawienie szkody poprzez przywrócenie stanu poprzedniego (mającego miejsce przed atakiem), dlatego najczęściej w takich jedynym racjonalnym żądaniem będzie żądanie zapłaty odszkodowania pieniężnego za poniesione szkody lub utracone korzyści. Nie można także wykluczać możliwości pociągnięcia hakera do odpowiedzialności na podstawie przepisów o tzw. bezpodstawnym wzbogaceniu. Będzie tak w przypadku, gdy wskutek podjętych działań haker uzyskał korzyść majątkową (np. sprzedał wykradzione dane podmiotowi trzeciemu). W takim przypadku poszkodowana firma może domagać się zwrotu wartości uzyskanych korzyści (tj. kwoty uzyskanej z tytułu sprzedaży nielegalnie pozyskanych informacji).
Jak z wilka nie stać się owcą…
Nie wszyscy wiedzą o tym, że w przypadku ataku hakerskiego odpowiedzialność może ponosić także… sama poszkodowana firma. Będzie tak, gdy na skutek ataku nastąpił wyciek danych osobowych, a firma, której dotyczył atak, jest tzw. administratorem tych danych w rozumieniu tzw. unijnego rozporządzenia o ochronie danych osobowych (RODO).
Przetwarzanie danych osobowych jest ściśle związane z nowoczesnym przemysłem. Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (dotyczą tylko ludzi, a nie innych podmiotów, np. osób prawnych). Administrator jest odpowiedzialny za to, by dane osobowe były przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tych ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
W przypadku udanego ataku hakerskiego, na skutek którego nastąpił wyciek danych osobowych, każda osoba, która poniosła szkodę majątkową lub niemajątkową (np. pracownik firmy), ma prawo żądać od administratora odszkodowania za poniesioną szkodę. Administrator (czyli poszkodowana firma) może jednak uwolnić się od odpowiedzialności poprzez wykazanie, że nie ponosi winy za zdarzenie skutkujące powstaniem szkody, np. udowadniając, że sprostał swoim obowiązkom w zakresie zapewnienia bezpieczeństwa i ochrony przetwarzania danych osobowych. Dlatego tak ważne jest wdrożenie w firmie odpowiednich procedur ochrony danych osobowych.
Na administratorze ciążą również obowiązki informacyjne w przypadku wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych. Jeśli takie naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych, należy zgłosić naruszenie do organu ochrony danych – Prezesa Urzędu Ochrony Danych Osobowych. Gdy ryzyko naruszenia praw i wolności osób fizycznych jest wysokie, należy zawiadomić bez zbędnej zwłoki osobę, której dane dotyczą, o naruszeniu.
Dlaczego tak ważna jest skuteczna ochrona danych?
W ostatnich latach znacznie wzrosła rola skutecznej ochrony przed atakami hakerskimi nakierowanymi na uzyskanie dostępu do przetwarzanych danych, w szczególności danych osobowych. Wynika to m.in. z chęci uniknięcia roszczeń odszkodowawczych przez administratorów ze strony osób, których dane osobowe zostały naruszone. W przypadku skutecznej ochrony danych osobowych w przemyśle przedsiębiorca często może również domagać się ochrony prawnej, jeśli natomiast nie jest w stanie zapewnić wystarczającej ochrony danych, może być podwójnie stratny – nie dość, że cenne dane wpadną w niepowołane ręce, to w dodatku istnieje możliwość ubiegania się o odszkodowanie przez osoby, których dane zostały wykradzione.
artykuł ukazał się w nr 4/2022 „Nowoczesny Przemysł”
Autorzy:
Agnieszka Zwierzyńska – adwokat, senior associate w kancelarii Łaszczuk i Wspólnicy. Specjalizuje się w prawie nowych technologii oraz ochrony prywatności, a także prawie własności intelektualnej. Od ponad 15 lat doradza polskim i międzynarodowym przedsiębiorcom m.in. z branży IT, e-commerce, wydawniczej, edukacyjnej i farmaceutycznej w zakresie umów przenoszących prawa autorskie i licencyjnych, wdrożeniowych oraz innych umów w obszarze własności intelektualnej.