Jeśli Twoje dane, systemy informatyczne lub urządzenia zostały objęte postępowaniem karnym, kluczowe jest przestrzeganie prawa oraz ochrona interesów Twojej firmy. Poniżej znajdziesz zagadnienia, o których warto pamiętać w takiej sytuacji:
Otrzymanie informacji od organów ścigania
Zapoznanie się z postanowieniem / wezwaniem
Jeśli policja lub prokuratura kontaktuje się w sprawie Twoich danych lub systemów, dokładnie przeanalizuj dokumenty, które otrzymasz, np.:
- Nakaz przeszukania lub postanowienie o zabezpieczenia dowodów.
- Postanowienie o żądaniu wydania rzeczy lub żądanie przekazania informacji lub danych.
Sprawdź zakres żądania
Upewnij się, że wezwanie dotyczy danych/systemów bezpośrednio powiązanych ze sprawą. Organy ścigania nie mogą wymagać dostępu do danych wykraczających poza ich uprawnienia.
Pamiętaj, że zgodnie z art. 15 Kodeksu postępowania karnego, osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.
Zabezpieczenie danych przed zmianami
Nie modyfikuj danych
Jeśli Twoje dane lub systemy są objęte śledztwem lub dochodzeniem, masz obowiązek zabezpieczyć je w stanie nienaruszonym. Każda zmiana (nawet przypadkowa) może być interpretowana jako próba zatarcia śladów lub utrudniania śledztwa.
Utwórz kopie zapasowe
Przed przekazaniem danych organom ścigania wykonaj kopię zapasową dla swojej firmy, jeśli jest to możliwe (chyba że zakazano tego wprost w postanowieniu).
Współpraca z organami ścigania
Przekazanie wymaganych informacji
Na żądanie policji lub prokuratury musisz przekazać dane, do których dostęp określono w postanowieniu o żądaniu wydania rzeczy, w tym:
- Logi systemowe.
- Konkretne pliki lub bazy danych.
- Inne informacje wskazane w nakazie.
Zapewnienie dostępu do systemów
Jeśli organy ścigania chcą przeprowadzić oględziny lub analizę na miejscu (w Twojej siedzibie), musisz umożliwić im dostęp do infrastruktury IT zgodnie z zakresem ich uprawnień.
Zachowanie poufności
Nieujawnianie szczegółów
Jesteś zobowiązany do zachowania poufności działań organów ścigania, chyba że masz inne wytyczne (np. powiadomienie klientów o wycieku danych w przypadku RODO).
Pamiętaj, że zgodnie z art. 241 Kodeksu karnego, kto bez zezwolenia rozpowszechnia publicznie wiadomości z postępowania przygotowawczego, zanim zostały ujawnione w postępowaniu sądowym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Ograniczenie dostępu
Upewnij się, że tylko osoby bezpośrednio zaangażowane w sprawę mają dostęp do informacji o śledztwie.
Weryfikacja zgodności z prawem
Skonsultuj się z prawnikiem
Warto zweryfikować, czy działania organów ścigania są zgodne z prawem. Na przykład:
- Czy nakaz przeszukania lub zabezpieczenia danych spełnia wymogi formalne?
- Czy organy nie wymagają danych wykraczających poza ich uprawnienia?
Odwołanie od nadmiernych żądań
Jeśli uważasz, że żądanie jest zbyt szerokie lub narusza Twoje prawa, prawnik może złożyć zażalenie na takie postanowienie.
Minimalizacja wpływu na działalność firmy
Zapewnienie ciągłości działania
Jeśli zabezpieczenie danych lub systemów może wpłynąć na Twoją działalność operacyjną (np. wyłączenie serwerów, utrata dostępu do danych), poinformuj organy ścigania o konsekwencjach i spróbuj uzgodnić alternatywne rozwiązania, takie jak:
- Udostępnienie kopii danych zamiast oryginałów.
- Przeprowadzenie analiz poza godzinami pracy firmy.
Planowanie operacji awaryjnych
Warto przygotować alternatywny plan działania, jeśli kluczowe systemy lub urządzenia zostaną przez organy ścigania zabezpieczone.
Audyt wewnętrzny po zakończeniu działań
Sprawdzenie systemów po analizie
Po zakończeniu działań organów ścigania upewnij się, że wszystkie systemy zostały przywrócone do pierwotnego stanu, a dane nie zostały uszkodzone lub zmodyfikowane.
Przywrócenie bezpieczeństwa
Przeprowadź kontrolę bezpieczeństwa, aby upewnić się, że działania śledczych nie naraziły Twoich systemów na dodatkowe ryzyko.
Ochrona danych osobowych (RODO)
Jeśli dane osobowe zostały przekazane w toku śledztwa, skonsultuj się z prawnikiem lub Inspektorem Ochrony Danych, aby upewnić się, czy konieczne jest powiadomienie osób, których dane dotyczą.
Zapobieganie przyszłym incydentom
Wdrożenie procedur zgodności
Zadbaj o poprawienie procedur wewnętrznych, aby uniknąć podobnych sytuacji w przyszłości. Możesz rozważyć:
- Lepsze zabezpieczenie danych i systemów.
- Aktualizację polityki przechowywania logów i informacji wrażliwych.
- Szkolenia dla pracowników z zakresu ochrony danych i procedur współpracy z organami ścigania.
Kluczowa wskazówka
Zawsze działaj zgodnie z prawem, ale nie bój się chronić interesów swojej firmy.
Konsultacja z prawnikiem lub ekspertem ds. cyberbezpieczeństwa jest kluczowa, aby upewnić się, że Twoje działania są zgodne z przepisami i nie narażają firmy na dodatkowe ryzyko.
Stan prawny na dzień: 30 stycznia 2025 roku
Zdjęcie: freepik.com
Cyberlaw by Judyta 