Bez kategorii

Jakie są moje obowiązki jako przedsiębiorcy wobec policji lub prokuratury w przypadku prowadzenia postępowania dotyczącego cyberprzestępstw?

Judyta Kasperkiewicz

W przypadku postępowań dotyczących cyberprzestępstw Twoje obowiązki wobec policji lub prokuratury jako przedsiębiorcy mogą obejmować różne działania, w zależności od roli, jaką w sprawie zajmujesz (np. pokrzywdzony, świadek). Przedstawiam poniżej kluczowe obowiązki przedsiębiorców związane z prowadzonymi przez organy ścigania postępowaniami: 

Obowiązek zgłoszenia przestępstwa (jeśli jesteś pokrzywdzonym)

Zgłoszenie incydentu

Jako przedsiębiorca, szczególnie jeśli cyberatak dotknął Twoje systemy IT, masz prawo, a często również obowiązek zgłoszenia przestępstwa do organów ścigania. Z art. 304 Kodeksu postępowania karnego wynika, że każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję.

Szczegóły zgłoszenia

W zgłoszeniu warto uwzględnić:

  • Datę i godzinę incydentu.
  • Opis okoliczności zdarzenia (np. rodzaj ataku: ransomware, phishing, DDoS).Zakres szkód (np. utrata danych, wyciek informacji).
  • Dane kontaktowe osób odpowiedzialnych za systemy IT w Twojej firmie.

Udostępnienie dowodów

Zabezpieczenie danych

Masz obowiązek zabezpieczyć dowody związane z incydentem, np.:

  • Logi z serwerów i systemów IT.
  • Kopie zapasowe systemów i baz danych.
  • Maile, pliki lub inne materiały wskazujące na przebieg ataku.

Przekazanie dowodów

Na wezwanie policji lub prokuratury musisz przekazać zgromadzone dowody. Ważne jest, aby nie modyfikować ich, aby nie mogły zostać podważone w toku postępowania.

Obowiązek współpracy z organami ścigania

Dostarczanie informacji

Organy ścigania mogą wezwać Cię do udzielenia dodatkowych informacji związanych z prowadzonym postępowaniem, np.:

  • Informacji o używanych systemach i ich zabezpieczeniac
  • Listy użytkowników, którzy mogli mieć dostęp do zaatakowanych systemów.
  • Szczegółów na temat zabezpieczeń i procedur bezpieczeństwa.

Obecność na przesłuchaniu

Na przesłuchanie możesz zostać wezwany jako świadek lub pokrzywdzony w celu złożenia zeznań, ewentualnie jako pokrzywdzony wniosku o ściganie. 

Ochrona danych osobowych (RODO)

Powiadomienie o wycieku danych

Jeśli incydent związany jest z naruszeniem ochrony danych osobowych (np. wyciekiem danych klientów), masz obowiązek:

  • Zgłosić naruszenie do organu nadzorczego (w Polsce: Prezes UODO) nie później niż w ciągu 72 godzin od wykrycia incydentu (art. 33 ust. 1 Rozporządzenia RODO).
  • Powiadomić osoby, których dane zostały naruszone, o wycieku (jeśli incydent niesie wysokie ryzyko dla ich praw i wolności).

Przestrzeganie przepisów prawa telekomunikacyjnego (jeśli jesteś dostawcą usług)

Jeśli jesteś dostawcą usług internetowych lub telekomunikacyjnych, Twoje obowiązki mogą obejmować:

  • Udostępnianie logów z działalności użytkowników (zgodnie z przepisami).
  • Współpracę w ustalania sprawców cyberprzestępstwa.
  • Informowanie klientów o naruszeniach, jeśli incydent mógł wpłynąć na ich dane.

Wdrożenie działań naprawczych

Usunięcie skutków ataku

Po zabezpieczeniu dowodów powinieneś wdrożyć działania zmierzające do przywrócenia funkcjonowania systemów IT, np. przywrócenie danych z kopii zapasowej.

Audyt powłamaniowy

Warto przeprowadzić szczegółowy audyt, aby wykryć luki bezpieczeństwa, które umożliwiły atak i zabezpieczyć się w przyszłości przed podobnymi zagrożeniami.

Poufność i ochrona śledztwa

Nieujawnianie informacji

Jeśli bierzesz udział w postępowaniu jako świadek lub poszkodowany, masz obowiązek nieujawniania szczegółów śledztwa osobom trzecim. Naruszenie tego obowiązku może skutkować odpowiedzialnością karną lub cywilną.

Zgodnie z art. 241 Kodeksu karnego, kto bez zezwolenia rozpowszechnia publicznie wiadomości z postępowania przygotowawczego, zanim zostały ujawnione w postępowaniu sądowym podlega karze.  

Zapewnienie dostępu do systemów (jeśli wymagane)

Jeśli organy ścigania wystąpią z odpowiednim postanowieniem o żądaniu wydania rzeczy, możesz być zobowiązany do:

  • Umożliwienia dostępu do Twoich systemów informatycznych w celu przeprowadzenia oględzin.
  • Przekazania nośników danych, które mogą być dowodem w sprawie.

Zgłoszenie CERT lub innego odpowiedniego organu

CERT Polska

W przypadku poważnych incydentów warto (lub czasem jest to obowiązkowe) zgłosić sprawę do CERT Polska, który wspiera przedsiębiorców w zakresie cyberbezpieczeństwa i reagowania na incydenty.

Zapobieganie podobnym incydentom w przyszłości

Wdrożenie procedur bezpieczeństwa

Po incydencie należy zaktualizować polityki bezpieczeństwa, w tym przede wszystkim zwiększyć poziom zabezpieczeń systemów IT, przeprowadzić szkolenia dla pracowników w zakresie cyberbezpieczeństwa, wdrożyć lepsze mechanizmy monitorowania i wykrywania zagrożeń.

Podsumowanie 

Wszystkie te działania wymagają zarówno współpracy z organami ścigania, jak i wdrożenia odpowiednich procedur wewnętrznych. W przypadku wątpliwości zawsze warto skonsultować się z prawnikiem lub specjalistą ds. cyberbezpieczeństwa, aby mieć pewność, że działania podejmowane są zgodnie z obowiązującymi przepisami.

Stan prawny na dzień: 28 stycznia 2025 roku

Zdjęcie: freepik.com

Dodaj komentarz