Jestem adwokatką, blogerką i podróżniczką. Prowadzę dwa blogi prawnicze: "Angielskie Prawo dla Polaków" (od 2014 roku) oraz "Cyberlaw by Judyta" – blog o cyberprzestępczości, prawie własności intelektualnej i prawie nowych technologii.
Udzielam porad prawnych w ramach prowadzonej przeze mnie kancelarii EPOQUE Kancelaria Adwokacka. Obsługuję klientów zarówno w kraju, jak i za granicą. Kontakt: judyta.kasperkiewicz@adwokatura.pl.
Specjalizuję się w prawie i nowych technologiach, zarówno w aspekcie zawodowym, jak i naukowym. Główne obszary moich zainteresowań to:
1) prawo karne i cyberprzestępczość (przestępczość karnogospodarcza i karnoskarbowa, oszustwa komputerowe, phishing, hacking, ransomware, cyberstalking, cyberbullying, przestępstwa kryptowalutowe i inne),
2) prawo nowych technologii (e-commerce, startupy, FinTech, RegTech,
3) prawo własności intelektualnej (znaki towarowe, wzory przemysłowe, doradztwo dla branży kreatywnej, w tym oferującej odzież, perfumy i biżuterię)
Chociaż terminy serwerownia i centrum danych (data center) są czasem używane zamiennie, mają różne znaczenia i skalę działania.
Serwerownia
Serwerownia to pomieszczenie lub niewielka infrastruktura, w której znajdują się serwery i urządzenia sieciowe. Jest ona zazwyczaj częścią większej organizacji (np. firmy, uczelni, instytucji).
Cechy serwerowni:
Lokalna skala – obsługuje jedną organizację, np. firmę czy instytucję.
Mniejsza infrastruktura – zwykle od kilku do kilkudziesięciu serwerów.
Brak usług komercyjnych – serwerownia nie oferuje publicznych usług hostingowych.
Przykłady serwerowni:
Serwerownia w firmie obsługująca systemy księgowe i e-mail.
Serwerownia na uczelni przechowująca dane studentów.
Centrum Danych (Data Center)
Centrum danych to duża, profesjonalna infrastruktura, która może obsługiwać wiele organizacji i klientów na całym świecie.
Cechy centrum danych:
Duża skala – może zajmować całe budynki i przechowywać setki tysięcy serwerów.
Zaawansowana infrastruktura – redundantne systemy chłodzenia, zasilania, ochrony przeciwpożarowej.
Dostępność 24/7 – zapewnia ciągłość działania dla wielu klientów.
Usługi w chmurze – oferuje hosting, przechowywanie danych, obliczenia w chmurze.
Przykłady centrów danych:
Google Data Centers – obsługuje Google Search, YouTube, Gmail.
Amazon AWS Data Centers – zapewnia moc obliczeniową dla milionów klientów.
Equinix Data Centers – globalny dostawca kolokacji i chmury.
Podsumowanie
Serwerownia to lokalne rozwiązanie dla firm i instytucji, a centrum danych to profesjonalna infrastruktura obsługująca miliony użytkowników i globalne usługi.
Autonomiczne samochody to jedna z licznych technologii, której wprowadzenie rodzi liczne wyzwania prawne. Wątpliwości regulacyjne dotyczą odpowiedzialności za wypadki, standardów bezpieczeństwa, ochrony danych oraz kwestii etycznych.
Poziomy autonomii a regulacje
SAE (Society of Automotive Engineers) definiuje 6 poziomów autonomii (0-5):
Poziom 0 – brak automatyzacji.
Poziom 1-2 – systemy wspomagające kierowcę (np. tempomat adaptacyjny, asystent pasa ruchu, systemy Tesli).
Poziom 3 – samochód może samodzielnie prowadzić w określonych warunkach, ale kierowca musi być gotowy do przejęcia kontroli.
Poziom 4 – pełna autonomia w określonych warunkach (np. w miastach z odpowiednią infrastrukturą).
Poziom 5 – pełna autonomia w każdych warunkach, brak potrzeby interwencji człowieka.
Obowiązujące prawo zazwyczaj pozwala na testowanie poziomu 3-4, a poziom 5 nie jest jeszcze w pełni uregulowany.
Odpowiedzialność prawna w razie wypadku
Jednym z największych wyzwań jest określenie kto ponosi odpowiedzialność za wypadki z udziałem autonomicznych samochodów. Istnieją różne modele odpowiedzialności:
Aktualne podejście prawne w różnych krajach
USA
Regulacje różnią się między stanami (np. Kalifornia wymaga testów bezpieczeństwa).
Wypadki analizowane są indywidualnie – może odpowiadać producent lub użytkownik.
UE
W 2022 r. Unia Europejska dopuściła jazdę autonomiczną poziomu 3 (np. Mercedes-Benz S-Class Drive Pilot).
Planowane są zmiany w prawie, by odpowiedzialność ponosił producent, a nie kierowca.
Polska – brak dedykowanych regulacji – obecnie autonomiczne pojazdy wymagają obecności kierowcy.
Modele odpowiedzialności:
Tradycyjny model – kierowca nadal odpowiada za pojazd (jak w obecnych systemach wspomagających).
Odpowiedzialność producenta – gdy samochód działa w pełni autonomicznie (np. Tesla w trybie FSD).
Nowe systemy ubezpieczeniowe – np. specjalne polisy pokrywające wypadki spowodowane przez AI.
Etyka i decyzje podejmowane przez AI
Kogo „powinien” chronić autonomiczny pojazd w sytuacji kolizji?
Czy algorytmy mogą być „stronnicze” i faworyzować określone grupy ludzi?
Kto odpowiada za błędy sztucznej inteligencji?
Niektóre kraje (np. Niemcy) stworzyły kodeks etyczny, który mówi, że autonomiczne pojazdy nie mogą podejmować decyzji na podstawie wieku, płci czy statusu społecznego ofiar. Dodatkowo w razie zagrożenia wypadkiem, dokonując wyboru mają stosować hierarchię, w której bezpieczeństwo ludzi będzie się plasowało najwyższej, a następnie zwierząt i mienia.
Prywatność i ochrona danych
Autonomiczne pojazdy zbierają ogromne ilości danych (GPS, monitoring kierowcy, rejestracja trasy). W UE obowiązuje RODO, które wymaga jasnych zasad przechowywania i przetwarzania danych.
Kluczowe wyzwania prawne
Odpowiedzialność prawna – kto ponosi konsekwencje wypadków?
Standaryzacja regulacji – różnice między krajami utrudniają rozwój technologii.
Retencja danych to zasady i praktyki dotyczące przechowywania i usuwania danych przez organizacje, firmy oraz instytucje państwowe. Prawo reguluje i określa, jak długo i w jakim celu można przechowywać określone dane, a także jakie obowiązki mają podmioty przetwarzające informacje.
Kluczowe aspekty prawne retencji danych
1) Retencja danych osobowych (RODO/GDPR)
Unia Europejska (RODO – GDPR):
Zasada ograniczenia przechowywania – dane osobowe nie mogą być przechowywane dłużej, niż jest to niezbędne do celów, dla których zostały zebrane.
Użytkownicy mają prawo do żądania usunięcia danych („prawo do bycia zapomnianym”).
Firmy muszą określać okresy przechowywania danych i informować o nich użytkowników.
2) Retencja danych telekomunikacyjnych i internetowych
W UE (Dyrektywa o retencji danych – uchylona w 2014 r.)
Wymagała od operatorów telekomunikacyjnych przechowywania metadanych (np. historia połączeń, IP) przez 6-24 miesiące dla celów ścigania przestępstw. Została uchylona przez Trybunał Sprawiedliwości UE z powodu naruszenia prywatności
Polska (Prawo telekomunikacyjne, ustawa o policji)
Operatorzy muszą przechowywać dane o połączeniach (metadane) przez 12 miesięcy i udostępniać je służbom na żądanie. Istnieją kontrowersje dotyczące nadmiernej inwigilacji obywateli.
3) Retencja w sektorze finansowym i biznesowym
Banki i instytucje finansowe muszą przechowywać dokumentację klientów i transakcji przez określony czas (np. 5-10 lat zgodnie z przepisami o przeciwdziałaniu praniu pieniędzy – AML).
Pracodawcy muszą przechowywać dokumenty pracownicze (np. umowy, listy płac) przez 50 lat (dla umów sprzed 2019) lub 10 lat (dla nowych umów).
4) Retencja danych w chmurze i big data
Przepisy wymagają, aby dane przechowywane w chmurze były odpowiednio chronione i nie przechowywane dłużej, niż to konieczne. Firmy muszą określać politykę retencji danych, czyli zasady ich przechowywania i usuwania.
Największe wyzwania prawne retencji danych
Równowaga między prywatnością a bezpieczeństwem publicznym.
Wpływ big data i AI na długoterminowe przechowywanie danych.
Kwestia jurysdykcji – gdzie dane są przechowywane (np. USA vs. UE).
Dyrektor szkoły rozpoznając wniosek rodzica musi mieć na uwadze przepisy RODO, ponieważ nagrania monitoringu mogą zawierać wizerunki innych uczniów, a to oznacza przetwarzanie ich danych osobowych. Jednak rodzic ma prawo do ochrony interesów swojego dziecka, zwłaszcza jeśli było uczestnikiem incydentu.
Co mówi prawo?
Monitoring w szkołach
Zgodnie z art. 108a Prawa oświatowego, szkoły mogą stosować monitoring wizyjny, ale nie mogą go wykorzystywać do stałego kontrolowania zachowań uczniów.
RODO a dostęp do nagrań
RODO faktycznie chroni wizerunek innych osób. Szkoła może udostępnić nagranie, ale musi anonimizować wizerunki pozostałych uczestników, np. poprzez rozmycie twarzy.
Prawo do informacji
Zgodnie z art. 15 RODO, jako przedstawiciel ustawowy dziecka masz prawo do informacji o przetwarzaniu jego danych osobowych, co może obejmować wgląd w nagranie.
Obowiązki szkoły
Szkoła może odmówić dostępu do surowego nagrania, ale powinna je przeanalizować i udostępnić wyjaśnienie lub wybrane fragmenty po anonimizacji innych osób.
Co można zrobić?
Złożyć pisemny wniosek o udostępnienie nagrania, powołując się na interes dziecka i możliwość anonimizacji nagrania.
Zażądać sporządzenia opisu zdarzenia na podstawie nagrania.
Zgłosić skargę do UODO (Urząd Ochrony Danych Osobowych), jeśli uważasz, że szkoła bezpodstawnie odmawia dostępu.
Podsumowując, dyrektor reprezentujący szkołę powinien znaleźć rozwiązanie i udostępnić nagranie, np. poprzez anonimizację nagrania lub przedstawienie jego treści w innej formie.
Jeśli incydent dotyczył Twojego dziecka, masz prawo domagać się informacji o zdarzeniu.
Jeśli chcesz zamontować kamery na swojej działce, musisz przestrzegać przepisów dotyczących ochrony prywatności (RODO) oraz Kodeksu cywilnego.
Gdzie można montować monitoring na działce?
Można monitorować (nagrywać):
Swój dom, ogród, podjazd, garaż,
Własny teren, na którym masz prawo przebywać,
Obszar publiczny (np. chodnik) tylko w minimalnym zakresie, jeśli to konieczne do ochrony mienia.
Nie można monitorować (nagrywać):
Sąsiednich posesji bez zgody właścicieli,
Wspólnych terenów (np. osiedlowego parkingu, jeśli nie masz zgody wspólnoty mieszkaniowej),
Wnętrza budynków sąsiadów lub ich prywatnej przestrzeni,
Miejsc, które naruszają prywatność innych (np. okien sąsiadów, basenów, altanek).
Czy trzeba zgłaszać monitoring?
Dla osób prywatnych (na własnym terenie) – nie trzeba zgłaszać monitoringu do urzędów.
Jeśli monitoring obejmuje osoby trzecie (np. klientów, pracowników, wspólne tereny) – może podlegać RODO i wymaga spełnienia dodatkowych obowiązków (np. informowania o nagrywaniu).
Jeśli kamera obejmuje cudzą posesję, sąsiad może żądać jej usunięcia – sądy uznają takie przypadki za naruszenie prywatności (art. 23 i 24 Kodeksu cywilnego).
Czy trzeba oznaczyć monitoring?
Jeśli monitoring nagrywa tylko Twój teren, nie ma takiego obowiązku.
Jeśli nagrywasz przestrzeń publiczną lub osoby trzecie – warto umieścić tabliczkę „Obiekt monitorowany”, aby uniknąć konfliktów prawnych.
Co z przechowywaniem nagrań?
Dla celów prywatnych – możesz przechowywać nagrania bez limitu, ale nie możesz ich udostępniać publicznie.
W firmach lub wspólnotach mieszkaniowych – nagrania powinny być usuwane po maks. 3 miesiącach (chyba że dotyczą przestępstwa).
Co zrobić, jeśli sąsiad monitoruje Twoją posesję?
Masz prawo do ochrony prywatności! Możesz:
Porozmawiać z sąsiadem i poprosić o zmianę ustawienia kamery.
Wezwać policję lub zgłosić naruszenie do UODO, jeśli kamera ewidentnie narusza Twoją prywatność.
Złożyć pozew cywilny (np. o naruszenie dóbr osobistych).
Podsumowanie
Możesz nagrywać swoją działkę, ale nie cudzą własność.
Jeśli kamera obejmuje przestrzeń publiczną, musi być to uzasadnione ochroną mienia.
Nagrywanie sąsiada bez jego zgody może być naruszeniem prywatności.
W firmach i wspólnotach obowiązują przepisy RODO dotyczące przechowywania nagrań.
Najlepiej ustawić kamery tak, aby obejmowały tylko Twój teren – to rozwiązuje większość problemów.
Wraz z rosnącą liczbą obiektów wynoszonych w przestrzeń kosmiczną wzrasta ryzyko ich powrotu na Ziemię w sposób niekontrolowany.
Regulacja międzynarodowa o odpowiedzialności za szkody kosmiczne
Konwencja o międzynarodowej odpowiedzialności za szkody wyrządzone przez obiekty kosmiczne z 1972 roku (tzw. Konwencja o odpowiedzialności za szkody kosmiczne) reguluje odpowiedzialność państw za szkody wyrządzone przez ich obiekty kosmiczne. Konwencja weszła w życie co do Polski (Polskiej Rzeczypospolitej Ludowej) 25 stycznia 1973 roku. W kontekście obiektów wracających na Ziemię kluczowe są następujące zasady:
Odpowiedzialność absolutna
Zgodnie z art. II konwencji, państwo odpowiada absolutnie za szkody wyrządzone na powierzchni Ziemi lub statkom powietrznym w locie przez jego obiekt kosmiczny. Oznacza to, że nie musi być dowiedzione zaniedbanie czy wina – wystarczy sam fakt wyrządzenia szkody.
Odpowiedzialność za szkody w przestrzeni kosmicznej
Jeśli szkoda została wyrządzona innemu obiektowi kosmicznemu lub osobom w przestrzeni kosmicznej, państwo odpowiada na zasadzie winy (art. III).
Państwo odpowiedzialne
Odpowiedzialność ponosi:
Państwo, które wystrzeliło obiekt kosmiczny,
Państwo, z którego terytorium lub obiektu wystrzelono obiekt,
Państwo, które współuczestniczyło w wystrzeleniu (art. I).
Procedura dochodzenia roszczeń
Roszczenia o odszkodowanie powinny być zgłoszone drogą dyplomatyczną przez państwo poszkodowane do państwa odpowiedzialnego w ciągu roku od zdarzenia (art. IX-X).
Brak limitu odszkodowania – Konwencja nie przewiduje maksymalnej kwoty odszkodowania, a jego wysokość powinna być ustalona w drodze negocjacji między państwami.
Najbardziej znany przypadek wypłaty odszkodowania
Przykładem zastosowania konwencji było odszkodowanie wypłacone przez ZSRR Kanadzie w 1981 roku za szkody wyrządzone przez spadający satelitę Kosmos 954, który rozpadł się nad terytorium Kanady, rozrzucając radioaktywne szczątki. Zapłacono Kanadzie jedynie 10% jej wydatków na poszukiwania i usuwania szczątków satelitów.
Podsumowanie
Konwencja o odpowiedzialności za szkody kosmiczne odgrywa kluczową rolę w regulowaniu skutków powrotu obiektów kosmicznych na Ziemię. W dobie rosnącej liczby startów rakiet i misji kosmicznych jej znaczenie jest coraz większe, zwłaszcza w kontekście ryzyka niekontrolowanych upadków satelitów i innych fragmentów sprzętu kosmicznego.
Czy według Was obecne regulacje są wystarczające w kontekście rosnącego ruchu kosmicznego? 🚀🔍
Przesyłanie skanu dowodu osobistego na platformy internetowe zawsze wiąże się z pewnym ryzykiem, dlatego warto zachować ostrożność. Przed przesłaniem tak wrażliwych danych warto sprawdzić kilka kwestii:
Polityka prywatności i regulamin – Upewnij się, że portal jasno określa, w jaki sposób przechowuje i zabezpiecza Twoje dane oraz kto ma do nich dostęp.
Bezpieczeństwo transmisji – Sprawdź, czy strona korzysta z szyfrowania SSL (powinna zaczynać się od „https://”).
Cel weryfikacji – Dowiedz się, czy portal umożliwia zamazanie niektórych danych (np. numeru PESEL), jeśli nie są one wymagane do weryfikacji.
Alternatywne metody weryfikacji – Niektóre serwisy pozwalają na weryfikację przez bankowość elektroniczną zamiast skanu dowodu.
Ostrzeżenia UODO – Urząd Ochrony Danych Osobowych zaleca ostrożność w przesyłaniu skanów dowodów online, ponieważ ich przechwycenie może prowadzić do kradzieży tożsamości.
Jeśli zdecydujesz się przesłać skan, warto dodać znak wodny z informacją o celu użycia (np. „Tylko do weryfikacji na ……”), co utrudni ewentualne nieautoryzowane wykorzystanie dokumentu.
Podsumowując: jeśli portal ma dobre opinie, stosuje zabezpieczenia i jasno określa, jak przetwarza Twoje dane, ryzyko jest mniejsze, ale zawsze warto zachować ostrożność.
Współpraca różnych państw w zakresie cyberprzestępczości przynosi liczne korzyści, ale nie jest pozbawiona wyzwań i problemów, które mogą wpływać na jej efektywność. Oto główne problemy, które można dostrzec na przykładzie Polski i Stanów Zjednoczonych:
Różnice w regulacjach prawnych
Ochrona danych osobowych (RODO vs. CLOUD Act)
Problem: Polska jako państwo członkowskie UE, musi przestrzegać RODO, które nakłada ścisłe zasady dotyczące ochrony danych osobowych. Jednocześnie USA korzysta z CLOUD Act, który umożliwia dostęp do danych przechowywanych przez amerykańskie firmy IT, nawet jeśli dane te znajdują się w UE.
Konflikt: RODO wymaga zgody użytkownika lub krajowych organów na przekazywanie danych poza UE, co może być sprzeczne z amerykańskimi żądaniami dostępu do danych.
Efekt: Opóźnienia w dostępie do dowodów cyfrowych lub ryzyko naruszenia przepisów UE.
Różne podejście do prywatności
USA ma bardziej liberalne podejście do monitorowania danych w imię bezpieczeństwa narodowego, co budzi obawy w krajach UE, w tym w Polsce, o nadmierne ingerencje w prywatność obywateli.
Trudności proceduralne
Czasochłonność procedur MLAT
Problem: Procedury wzajemnej pomocy prawnej (MLAT) są biurokratyczne i czasochłonne, co jest nieefektywne w dynamicznych sytuacjach, takich jak ataki ransomware czy włamania do systemów IT.
Efekt: Cyberprzestępcy mogą ukrywać swoją działalność, zanim dowody zostaną zebrane, a ich działania mogą eskalować.
Brak jednolitych procedur
Polska i USA, mimo współpracy, wciąż nie mają zharmonizowanych procedur, które umożliwiałyby szybką wymianę informacji lub dowodów w postępowaniach karnych. Brakuje również uproszczonych mechanizmów dla przypadków nagłych.
Jurysdykcja nad danymi
Geograficzne rozproszenie danych
W epoce chmury obliczeniowej dane często są przechowywane w różnych lokalizacjach, co prowadzi do problemów z ustaleniem, które przepisy prawne mają zastosowanie.
Efekt: Opóźnienia w śledztwach i trudności w uzyskaniu dostępu do kluczowych danych.
Konflikty kompetencji
Gdy Polska prowadzi śledztwo, a dane znajdują się na serwerach w USA (lub odwrotnie), może dochodzić do sporów o to, który kraj ma prawo do dostępu do tych danych i ich wykorzystania.
Braki techniczne i zasobowe
Niedobory w Polsce
Polska, mimo utworzenia CBZC, wciąż ma ograniczone zasoby ludzkie i technologiczne w porównaniu do USA.
Efekt: Trudności w równorzędnej współpracy w skomplikowanych śledztwach wymagających zaawansowanej analizy danych lub szybkiej reakcji na incydenty.
Nierówności w dostępnych narzędziach
Amerykańskie służby mają dostęp do bardziej zaawansowanych technologii analitycznych, sztucznej inteligencji i systemów monitorowania, co może prowadzić do asymetrii w działaniach.
Ataki z terytoriów państw trzecich
Cyberprzestępcy z Rosji, Chin i innych państw
Wielu cyberprzestępców, którzy atakują Polskę i USA, działa z krajów, które nie współpracują w zwalczaniu cyberprzestępczości (np. Rosja, Korea Północna, Chiny).
Problem: Brak możliwości skutecznego ścigania sprawców z tych terytoriów, mimo współpracy polsko-amerykańskiej.
Wykorzystywanie państw „przechowalni” danych
Cyberprzestępcy często wykorzystują serwery w państwach, które są mniej zaawansowane technologicznie i nie mają silnych systemów współpracy prawnej.
Koordynacja międzynarodowa
Złożoność operacji wielostronnych: Operacje przeciwko globalnym grupom cyberprzestępczym, takim jak REvil czy Emotet, wymagają współpracy wielu państw jednocześnie. Problemy z koordynacją działań, np. z synchronizacją czasu ataków na infrastrukturę przestępców czy z podziałem odpowiedzialności za dalsze śledztwa.
Wyzwania językowe i kulturowe: Różnice językowe, proceduralne i kulturowe między służbami Polski i USA mogą prowadzić do nieporozumień lub opóźnień w komunikacji.
Wzrost zagrożeń związanych z AI i technologiami przyszłości
Narzędzia cyberprzestępców: Cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję i zaawansowane technologie (np. deepfake) do oszustw, co utrudnia śledztwa. Polska może nie mieć takich samych możliwości jak USA w przeciwdziałaniu takim zagrożeniom.
Rozwój technologii szyfrujących: Przestępcy korzystają z zaawansowanych systemów szyfrujących, co utrudnia dostęp do ich komunikacji lub danych nawet w przypadku międzynarodowej współpracy.
Współpraca z sektorem prywatnym
Brak wystarczającej koordynacji: Firmy technologiczne w USA, takie jak Google, Meta czy Amazon, mają kluczowe znaczenie dla śledztw, ale współpraca z nimi bywa trudna. Problemem są różnice w przepisach i wewnętrznych politykach korporacji mogą opóźniać przekazywanie danych.
Zaufanie firm do organów ścigania: W Polsce firmy mogą mieć obawy co do przekazywania danych ze względu na obostrzenia RODO, a w USA niektóre korporacje stawiają własne interesy nad współpracą z rządami.
Podsumowanie
Główne problemy we współpracy Polski i USA w zakresie cyberprzestępczości wynikają z różnic w przepisach prawnych, trudności proceduralnych, wyzwań technicznych oraz dynamicznego rozwoju zagrożeń cybernetycznych. Chociaż współpraca przynosi pozytywne efekty, dalszy jej rozwój wymaga:
Uproszczenia procedur prawnych (np. MLAT).
Harmonizacji przepisów dotyczących ochrony danych.
Rozwoju zasobów technologicznych i ludzkich w Polsce.
Zacieśnienia współpracy z sektorem prywatnym oraz w ramach organizacji wielostronnych, takich jak NATO i UE.
Współpraca między Polską a Stanami Zjednoczonymi w zakresie zwalczania cyberprzestępczości odbywa się w ramach dwustronnych umów, międzynarodowych konwencji oraz współpracy instytucji zajmujących się cyberbezpieczeństwem. Wynika ona z rosnącej skali cyberzagrożeń, takich jak ataki ransomware, hacking, oszustwa internetowe, czy działalność w darknecie, która wymaga szybkiej wymiany informacji i wspólnych działań.
Podstawy prawne współpracy Polska-USA
a) Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno Polska, jak i USA są stronami Konwencji Budapeszteńskiej, która jest podstawą międzynarodowej współpracy w walce z cyberprzestępczością. Dzięki Konwencji doszło do:
ustalenia zasad wymiany informacji w celu zabezpieczania dowodów elektronicznych;
uzgodnienia zasad wzajemnej pomocy w dochodzeniach, takich jak identyfikacja sprawców czy neutralizacja infrastruktur wykorzystywanych w atakach.
b) Dwustronne umowy o pomocy prawnej (MLAT)
Polska i USA współpracują na podstawie umowy o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaty). MLAT reguluje wymianę dowodów w postępowaniach karnych, w tym danych cyfrowych przechowywanych na zagranicznych serwerach. Dzięki MLAT Polska może uzyskać dostęp do danych przechowywanych przez amerykańskie firmy IT, takie jak Google, Microsoft czy Meta (Facebook), co jest kluczowe w wielu sprawach.
c) CLOUD Act (Clarifying Lawful Overseas Use of Data)
CLOUD Act umożliwia amerykańskim władzom przekazywanie danych przechowywanych przez amerykańskich dostawców usług chmurowych na potrzeby śledztw prowadzonych przez Polskę.
Współpraca na podstawie CLOUD Act jest szczególnie ważna w sprawach związanych z danymi przechowywanymi w chmurze.
Główne instytucje współpracujące
W Polsce:
a) Polska Policja (Centralne Biuro Zwalczania Cyberprzestępczości – CBZC)
CBZC, utworzone w 2022 roku, odpowiada za zwalczanie cyberprzestępczości na poziomie krajowym i międzynarodowym. CBZC ściśle współpracuje z amerykańskimi służbami, np. FBI, w sprawach takich jak ataki ransomware czy przestępstwa w darknecie.
b) CERT POLSKA
CERT Polska jest kluczowym ośrodkiem w wymianie informacji o zagrożeniach cybernetycznych i współpracy z międzynarodowymi partnerami, w tym amerykańskimi CERT-ami.
W USA:
Federal Bureau of Investigation (FBI): FBI prowadzi współpracę z Polską w ramach globalnych operacji przeciwko cyberprzestępcom, m.in. poprzez swój Cyber Division.
U.S. Secret Service (USSS): USSS, oprócz ochrony kluczowych osób w państwie, zajmuje się cyberprzestępstwami finansowymi i wspiera polskie organy ścigania w wykrywaniu oszustw.
CISA (Cybersecurity and Infrastructure Security Agency): CISA współpracuje z Polską w zakresie analizy zagrożeń cybernetycznych i ochrony infrastruktury krytycznej.
Formy współpracy Polska-USA w walce z cyberprzestępczością
a) Wymiana informacji
Polska i USA korzystają z mechanizmów takich jak 24/7 Network, koordynowanego przez Interpol, który pozwala na szybkie przekazywanie informacji o zagrożeniach i przestępstwach w cyberprzestrzeni.
b) Wspólne operacje międzynarodowe
Polska i USA uczestniczyły we wspólnych operacjach przeciwko grupom ransomware i dark web:
Emotet (2021): Polska odegrała kluczową rolę w likwidacji jednej z największych sieci botnetów, współpracując z Europolem, FBI i innymi krajami.
Hydra Market: Polska współpracowała z USA przy zamknięciu jednego z największych rynków w darknecie.
Zabezpieczanie dowodów elektronicznych
Współpraca w zakresie dostępu do danych przechowywanych na serwerach amerykańskich firm, np. Google, Amazon czy Facebook. Polska policja korzysta z procedur MLAT oraz CLOUD Act, by skutecznie uzyskać dane niezbędne do śledztw.
d) Szkolenia i wymiana doświadczeń
Polskie służby, takie jak CBZC, uczestniczą w szkoleniach organizowanych przez FBI i inne amerykańskie agencje. Wymiana doświadczeń obejmuje techniki śledcze, analizy zagrożeń cybernetycznych oraz strategie zwalczania ransomware i phishingu.
Przykłady współpracy Polska-USA
a) Ataki ransomware na polskie firmy
W 2021 roku Polska i USA wspólnie badały sprawy ataków ransomware, takich jak atak na polskie instytucje medyczne i samorządowe, gdzie zaangażowane były grupy cyberprzestępcze z Rosji. FBI dostarczyło dane techniczne dotyczące infrastruktury wykorzystywanej do ataków, co pomogło w ich neutralizacji.
b) Operacje przeciwko grupom hackingowym
Polska i USA współpracowały w zwalczaniu grup hakerskich takich jak REvil, które prowadziły ataki na międzynarodowe korporacje i instytucje publiczne.
Wyzwania w współpracy Polska-USA
a) Różnice w przepisach prawnych
Polska musi przestrzegać przepisów RODO, co czasem utrudnia szybkie przekazywanie danych do USA. CLOUD Act w USA budzi kontrowersje w Europie, ponieważ umożliwia dostęp do danych bez zgody kraju, w którym są one przechowywane.
b) Jurysdykcja nad danymi: Współpraca bywa trudna, gdy dane są przechowywane w chmurze w wielu lokalizacjach, co komplikuje ustalenie, które prawo ma zastosowanie.
c) Brak jednolitych procedur: Procedury MLAT są czasochłonne, co opóźnia działania w dynamicznych sytuacjach, takich jak ataki ransomware.
Perspektywy rozwoju współpracy Polska-USA
a) Usprawnienie procedur prawnych: Polska i USA pracują nad uproszczeniem procedur wymiany danych i dowodów w sprawach cyberprzestępczości.
b) Większe zaangażowanie w NATO: W ramach NATO Polska i USA rozwijają współpracę w zakresie cyberobrony, co obejmuje wspólne ćwiczenia i wymianę informacji o zagrożeniach.
c) Rozwój technologii i narzędzi analitycznych: Wspólne inwestycje w technologie do analizy zagrożeń, takich jak systemy SI (sztucznej inteligencji), które wspierają identyfikację zagrożeń i śledzenie przestępców.
Podsumowanie
Współpraca między Polską a USA w zakresie cyberprzestępczości jest kluczowa dla skutecznego zwalczania globalnych zagrożeń. Opiera się na solidnych fundamentach prawnych, takich jak Konwencja Budapeszteńska i CLOUD Act, oraz na ścisłej koordynacji instytucji, takich jak CBZC i FBI. Pomimo wyzwań, takich jak różnice w regulacjach, współpraca ta przynosi wymierne efekty i jest stale rozwijana.
Współpraca międzynarodowa między Unią Europejską (UE) a Stanami Zjednoczonymi (USA) w zakresie zwalczania cyberprzestępczości opiera się na różnych instrumentach prawnych wspierających wymianę informacji i wspólne działania. Efektywna współpraca jest kluczowa, ponieważ cyberprzestępcy często działają w różnych jurysdykcjach, wykorzystując różnice w przepisach.
Podstawy prawne współpracy między UE a USA
a)Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno USA, jak i wiele krajów UE (które są sygnatariuszami Konwencji) opierają swoje działania na wspólnych standardach prawnych, określonych w tej umowie. Dzięki Konwencji zharmonizowano definicje cyberprzestępstw, takich jak hacking, ransomware czy oszustwa internetowe; ułatwiono wymianę dowodów cyfrowych i informacji między krajami; przewidziano współpracę przy dochodzeniach transgranicznych.
b) Umowy o wzajemnej pomocy prawnej (Mutual Legal Assistants Treaties, MLAT)
Umowa MLAT między USA a UE reguluje formalne procedury wymiany dowodów, takich jak logi serwerowe, dane użytkowników czy korespondencja e-mail. MLAT pozwala na uzyskanie dostępu do dowodów znajdujących się na serwerach w innym kraju, ale procedura ta może być czasochłonna.
c) CLOUD Act (USA, 2018)
Ustawa CLOUD Act umożliwia organom ścigania w USA dostęp do danych przechowywanych przez amerykańskich dostawców usług IT, nawet jeśli serwery znajdują się poza granicami USA. UE i USA współpracują w oparciu o CLOUD Act w przypadkach, gdy dane są potrzebne w dochodzeniach dotyczących cyberprzestępstw.
d) Umowa między UE a USA w sprawie danych pasażerów (PNR)
Umowa dotycząca wymiany danych pasażerów samolotów pomaga w identyfikowaniu potencjalnych cyberprzestępców lub ich powiązań z innymi grupami przestępczymi.
Główne instytucje i platformy współpracy
a) Europol i FBI
Europol, poprzez Europejskie Centrum ds. Cyberprzestępczości (EC3), współpracuje z FBI i innymi agencjami USA w sprawach związanych z cyberprzestępczością. Wspólne działania obejmują operacje przeciwko grupom zajmującym się ransomware, takim jak REvil czy DarkSide; likwidacja nielegalnych rynków w darknecie (np. Hydra, Silk Road); koordynacja przy zwalczaniu botnetów.
b) Interpol i Departament Sprawiedliwości USA
Interpol działa jako pośrednik między Europą i USA, umożliwiając szybką wymianę informacji o przestępstwach, takich jak ataki DDoS, phishing czy oszustwa finansowe.
c) Programy wymiany danych między CERT/CSIRT
Computer Emergency Response Teams (CERT) z UE i USA współpracują w zakresie wymiany informacji o nowych zagrożeniach, złośliwym oprogramowaniu czy podatnościach w systemach IT.
Współpraca CERT-ów jest szczególnie intensywna w przypadku krytycznych incydentów, takich jak globalne ataki ransomware (np. WannaCry).
d) Joint Cybercrime Action Taskforce (J-CAT)
Europol powołał J-CAT jako stały zespół do zwalczania cyberprzestępczości, w skład którego wchodzą przedstawiciele USA, FBI oraz innych krajów partnerskich.
Celem J-CAT jest koordynacja śledztw wielonarodowych w sprawach cyberprzestępstw.
Przykłady współpracy w praktyce
a) Operacje przeciw ransomware
REvil: USA i UE współpracowały w celu rozbicia grupy REvil, która atakowała firmy na całym świecie, żądając okupu za odszyfrowanie danych. Dzięki koordynacji FBI, Europolu i międzynarodowych CERT-ów udało się zneutralizować część infrastruktury grupy.
b) Likwidacja botnetów
Emotet: Europol, FBI i inne agencje wspólnie przeprowadziły operację zniszczenia jednego z największych botnetów, używanych do rozprzestrzeniania złośliwego oprogramowania.
c) Zwalczanie cyberprzestępczości w darknecie
Zamknięcie Silk Road i Hydra Market to przykłady operacji, w których Europol, FBI i inne agencje współpracowały w celu wyeliminowania platform handlu narkotykami, bronią i danymi w darknecie.
Wyzwania we współpracy UE-USA
a) Różnice w przepisach prawnych: UE ma bardziej restrykcyjne przepisy dotyczące ochrony danych (np. RODO), co czasem utrudnia szybkie przekazywanie informacji do USA. Przepisy takie jak CLOUD Act budzą kontrowersje w Europie ze względu na potencjalne konflikty z RODO.
b) Jurysdykcja nad danymi w chmurze: Spory dotyczące dostępu do danych przechowywanych na serwerach w różnych lokalizacjach (np. przypadek Microsoft vs. USA).
c) Czasochłonność procedur formalnych: MLAT i inne tradycyjne mechanizmy pomocy prawnej są czasochłonne, co jest problemem w szybko zmieniającym się środowisku cyberprzestępczym.
Cyberlaw by Judyta 