O niszczeniu baz danych z perspektywy prawnej
Przestępstwo z art. 268a Kodeksu karnego jest nazywane przestępstwem niszczenia baz danych. Ochronie podlega bezpieczeństwo danych informatycznych, które obejmuje ich poufność, integralność i dostępność.
Art. 268a § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych, albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 268 Kodeksu karnego chroni zapis informacji, natomiast art. 268a Kodeksu karnego odnosi się do danych informatycznych. Zgodnie z definicją zawartą w Konwencji o cyberprzestępczości „dane informatyczne to dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”.
Ochronie podlegają jedynie dane informatyczne zapisane w formie elektronicznej.
Kim jest sprawca przestępstwa niszczenia baz danych i jak się zachowuje?
Niszczenie baz danych odbywa się poprzez działanie i może zostać dokonane przez każdego, natomiast przez zaniechanie jedynie przez osobę odpowiedzialną za bezpieczeństwo bazy danych.
Przestępstwo polega na zniszczeniu, uszkodzeniu, usunięciu, zmianie i utrudnieniu dostępu do danych informatycznych, zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, będących następstwem działania sprawcy, niezależnie od samego działania lub zaniechania.
Nie dochodzi do popełnienia przestępstwa, jeśli doszło do uzupełnienia danych, które nie wpłynęły na ich sens, np. dopisanie nieistotnej treści do kodu źródłowego. Samo uzyskanie dostępu do systemu bez uszkodzenia danych nie może skutkować przypisaniem omawianego przestępstwa. W takim przypadku przypisać można przestępstwo z art. 267 § 2 Kodeksu karnego.
Rozstrzygając o przypisaniu sprawstwa, należy wziąć pod uwagę, czy działanie sprawcy wpłynęło w jakikolwiek sposób na procesy zachodzące w systemach informatycznych, czyli należy ocenić, czy stopień społecznej szkodliwości czynu jest wyższy niż znikomy.
Jaka kara grozi za niszczenie baz danych?
Za niszczenie baz danych z § 1 grozi kara pozbawienia wolności od 1 miesiąca do 3 lat. W przypadku § 2 przewiduje się karę od 3 miesięcy do 5 lat pozbawienia wolności.
Przestępstwo to jest ścigane na wniosek pokrzywdzonego.
Kiedy dochodzi do popełnienia przestępstwa z art. 268a, a kiedy z art. 268 Kodeksu karnego?
W wielu przypadkach trzeba będzie wybrać, czy zastosować art. 268a, czy art. 268. Jeśli zachowanie sprawcy dotyczy danych informatycznych, które mają cechy informacji, należy zastosować art. 268 Kodeksu karnego, a w przypadku danych informatycznych właściwy będzie art. 268a Kodeksu karnego (lex specialis).
Kiedy może dojść do wyrządzenia znacznej szkody majątkowej wskazanej w § 2 art. 268a Kodeksu karnego?
Przestępstwo określone w art. 268a § 2 Kodeksu karnego charakteryzuje się skutkiem w postaci powstania znacznej szkody majątkowej. Wartość takiej szkody przekracza 200 000 zł (art. 115 § 5 Kodeksu karnego).
Przykłady orzecznictwa dotyczącego przestępstwa niszczenia baz danych:
„W dniu 25 września 2019 r. w miejscu dotychczas nieustalonym, a ujawnionym w L. woj. (…), poprzez wykorzystanie adresu e-mail (…), nadanego mu w trakcie zatrudnienia w firmie Centrum (…) z siedzibą w W. na ul. (…) z G. (…), należącej do G. P., nie będąc już w niej zatrudnionym, uzyskał bez uprawnień dostęp do internetowego profilu w serwisie (…) o nazwie „. (…).PL”, należącego do wymienionej firmy, a następnie usunął ww. profil wraz z znajdującymi się tam danymi informatycznymi, czym działał na szkodę G. P., Centrum (…) z siedzibą w W., na ul. (…) z G. (…), tj. czyn z art. 268a § 1 Kodeksu karnego (wyrok Sądu Rejonowego w Legionowie z dnia 6.10.2020 r., sygn. akt II K 1222/19);”
„W okresie od września 2013 r. do 3 lutego 2015 r., prowadząc działalność gospodarczą pod nazwą (…) świadcząc usługi wdrożenia systemu księgowo-kadrowego C. (…) na rzecz firmy Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…), pomimo zerwania współpracy i wezwania do zwrotu haseł, odmówił przekazania danych dostępowych do funkcji administratora systemu C. (…), ograniczając prawa użytkownika do legalnie zakupionego programu, co w istotnym stopniu zakłóciło automatyczne przetwarzanie danych, uniemożliwiając firmie Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…) pełne korzystanie z programu, tym samym działając na szkodę tej firmy i powodując straty w wysokości nie mniejszej niż 50 000 zł, tj. czyn z art. 268a § 1 Kodeksu karnego w związku z art. 12 Kodeksu karnego” (wyrok Sądu Rejonowego w Kaliszu z dnia 31.08.2020 r., sygn. akt II K 357/18).
Co o niszczeniu baz danych mówi Sąd Najwyższy?
W wyroku z dnia 30 września 2015 r. (II K 115/15) Sąd Najwyższy uznał, że:
„Przepis art. 268a Kodeksu karnego penalizuje dwa rodzaje zakazanego zachowania sprawcy. Pierwszym z nich jest niszczenie, uszkadzanie, usuwanie, zmiana oraz utrudnianie dostępu do danych informatycznych. Drugi rodzaj zachowania godzi w proces prawidłowego automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych w stopniu istotnym. Zachowanie to może polegać na zakłócaniu lub uniemożliwianiu działania procesu. Pojęcie zakłócenia automatycznego przetwarzania, przekazywania lub gromadzenia danych informatycznych obejmuje wszelkie czynności oddziałujące na te procesy, których skutkiem jest ich nieprawidłowy przebieg, spowolnienie, a także zniekształcenie czy modyfikacja przetwarzanych, przekazywanych lub gromadzonych danych. Uniemożliwienie natomiast oznacza zatrzymanie tych procesów lub niemożność ich podjęcia.
Dane informatyczne, o których mowa w przepisie art. 268a Kodeksu karnego, to zapis określonej informacji przechowywanej na dysku komputera lub na innym komputerowym nośniku informacji”.
Cyberlaw by Judyta 