Jestem adwokatką, blogerką i podróżniczką. Prowadzę dwa blogi prawnicze: "Angielskie Prawo dla Polaków" (od 2014 roku) oraz "Cyberlaw by Judyta" – blog o cyberprzestępczości, prawie własności intelektualnej i prawie nowych technologii.
Udzielam porad prawnych w ramach prowadzonej przeze mnie kancelarii EPOQUE Kancelaria Adwokacka. Obsługuję klientów zarówno w kraju, jak i za granicą. Kontakt: judyta.kasperkiewicz@adwokatura.pl.
Specjalizuję się w prawie i nowych technologiach, zarówno w aspekcie zawodowym, jak i naukowym. Główne obszary moich zainteresowań to:
1) prawo karne i cyberprzestępczość (przestępczość karnogospodarcza i karnoskarbowa, oszustwa komputerowe, phishing, hacking, ransomware, cyberstalking, cyberbullying, przestępstwa kryptowalutowe i inne),
2) prawo nowych technologii (e-commerce, startupy, FinTech, RegTech,
3) prawo własności intelektualnej (znaki towarowe, wzory przemysłowe, doradztwo dla branży kreatywnej, w tym oferującej odzież, perfumy i biżuterię)
Retencja danych to zasady i praktyki dotyczące przechowywania i usuwania danych przez organizacje, firmy oraz instytucje państwowe. Prawo reguluje i określa, jak długo i w jakim celu można przechowywać określone dane, a także jakie obowiązki mają podmioty przetwarzające informacje.
Kluczowe aspekty prawne retencji danych
1) Retencja danych osobowych (RODO/GDPR)
Unia Europejska (RODO – GDPR):
Zasada ograniczenia przechowywania – dane osobowe nie mogą być przechowywane dłużej, niż jest to niezbędne do celów, dla których zostały zebrane.
Użytkownicy mają prawo do żądania usunięcia danych („prawo do bycia zapomnianym”).
Firmy muszą określać okresy przechowywania danych i informować o nich użytkowników.
2) Retencja danych telekomunikacyjnych i internetowych
W UE (Dyrektywa o retencji danych – uchylona w 2014 r.)
Wymagała od operatorów telekomunikacyjnych przechowywania metadanych (np. historia połączeń, IP) przez 6-24 miesiące dla celów ścigania przestępstw. Została uchylona przez Trybunał Sprawiedliwości UE z powodu naruszenia prywatności
Polska (Prawo telekomunikacyjne, ustawa o policji)
Operatorzy muszą przechowywać dane o połączeniach (metadane) przez 12 miesięcy i udostępniać je służbom na żądanie. Istnieją kontrowersje dotyczące nadmiernej inwigilacji obywateli.
3) Retencja w sektorze finansowym i biznesowym
Banki i instytucje finansowe muszą przechowywać dokumentację klientów i transakcji przez określony czas (np. 5-10 lat zgodnie z przepisami o przeciwdziałaniu praniu pieniędzy – AML).
Pracodawcy muszą przechowywać dokumenty pracownicze (np. umowy, listy płac) przez 50 lat (dla umów sprzed 2019) lub 10 lat (dla nowych umów).
4) Retencja danych w chmurze i big data
Przepisy wymagają, aby dane przechowywane w chmurze były odpowiednio chronione i nie przechowywane dłużej, niż to konieczne. Firmy muszą określać politykę retencji danych, czyli zasady ich przechowywania i usuwania.
Największe wyzwania prawne retencji danych
Równowaga między prywatnością a bezpieczeństwem publicznym.
Wpływ big data i AI na długoterminowe przechowywanie danych.
Kwestia jurysdykcji – gdzie dane są przechowywane (np. USA vs. UE).
Dyrektor szkoły rozpoznając wniosek rodzica musi mieć na uwadze przepisy RODO, ponieważ nagrania monitoringu mogą zawierać wizerunki innych uczniów, a to oznacza przetwarzanie ich danych osobowych. Jednak rodzic ma prawo do ochrony interesów swojego dziecka, zwłaszcza jeśli było uczestnikiem incydentu.
Co mówi prawo?
Monitoring w szkołach
Zgodnie z art. 108a Prawa oświatowego, szkoły mogą stosować monitoring wizyjny, ale nie mogą go wykorzystywać do stałego kontrolowania zachowań uczniów.
RODO a dostęp do nagrań
RODO faktycznie chroni wizerunek innych osób. Szkoła może udostępnić nagranie, ale musi anonimizować wizerunki pozostałych uczestników, np. poprzez rozmycie twarzy.
Prawo do informacji
Zgodnie z art. 15 RODO, jako przedstawiciel ustawowy dziecka masz prawo do informacji o przetwarzaniu jego danych osobowych, co może obejmować wgląd w nagranie.
Obowiązki szkoły
Szkoła może odmówić dostępu do surowego nagrania, ale powinna je przeanalizować i udostępnić wyjaśnienie lub wybrane fragmenty po anonimizacji innych osób.
Co można zrobić?
Złożyć pisemny wniosek o udostępnienie nagrania, powołując się na interes dziecka i możliwość anonimizacji nagrania.
Zażądać sporządzenia opisu zdarzenia na podstawie nagrania.
Zgłosić skargę do UODO (Urząd Ochrony Danych Osobowych), jeśli uważasz, że szkoła bezpodstawnie odmawia dostępu.
Podsumowując, dyrektor reprezentujący szkołę powinien znaleźć rozwiązanie i udostępnić nagranie, np. poprzez anonimizację nagrania lub przedstawienie jego treści w innej formie.
Jeśli incydent dotyczył Twojego dziecka, masz prawo domagać się informacji o zdarzeniu.
Jeśli chcesz zamontować kamery na swojej działce, musisz przestrzegać przepisów dotyczących ochrony prywatności (RODO) oraz Kodeksu cywilnego.
Gdzie można montować monitoring na działce?
Można monitorować (nagrywać):
Swój dom, ogród, podjazd, garaż,
Własny teren, na którym masz prawo przebywać,
Obszar publiczny (np. chodnik) tylko w minimalnym zakresie, jeśli to konieczne do ochrony mienia.
Nie można monitorować (nagrywać):
Sąsiednich posesji bez zgody właścicieli,
Wspólnych terenów (np. osiedlowego parkingu, jeśli nie masz zgody wspólnoty mieszkaniowej),
Wnętrza budynków sąsiadów lub ich prywatnej przestrzeni,
Miejsc, które naruszają prywatność innych (np. okien sąsiadów, basenów, altanek).
Czy trzeba zgłaszać monitoring?
Dla osób prywatnych (na własnym terenie) – nie trzeba zgłaszać monitoringu do urzędów.
Jeśli monitoring obejmuje osoby trzecie (np. klientów, pracowników, wspólne tereny) – może podlegać RODO i wymaga spełnienia dodatkowych obowiązków (np. informowania o nagrywaniu).
Jeśli kamera obejmuje cudzą posesję, sąsiad może żądać jej usunięcia – sądy uznają takie przypadki za naruszenie prywatności (art. 23 i 24 Kodeksu cywilnego).
Czy trzeba oznaczyć monitoring?
Jeśli monitoring nagrywa tylko Twój teren, nie ma takiego obowiązku.
Jeśli nagrywasz przestrzeń publiczną lub osoby trzecie – warto umieścić tabliczkę „Obiekt monitorowany”, aby uniknąć konfliktów prawnych.
Co z przechowywaniem nagrań?
Dla celów prywatnych – możesz przechowywać nagrania bez limitu, ale nie możesz ich udostępniać publicznie.
W firmach lub wspólnotach mieszkaniowych – nagrania powinny być usuwane po maks. 3 miesiącach (chyba że dotyczą przestępstwa).
Co zrobić, jeśli sąsiad monitoruje Twoją posesję?
Masz prawo do ochrony prywatności! Możesz:
Porozmawiać z sąsiadem i poprosić o zmianę ustawienia kamery.
Wezwać policję lub zgłosić naruszenie do UODO, jeśli kamera ewidentnie narusza Twoją prywatność.
Złożyć pozew cywilny (np. o naruszenie dóbr osobistych).
Podsumowanie
Możesz nagrywać swoją działkę, ale nie cudzą własność.
Jeśli kamera obejmuje przestrzeń publiczną, musi być to uzasadnione ochroną mienia.
Nagrywanie sąsiada bez jego zgody może być naruszeniem prywatności.
W firmach i wspólnotach obowiązują przepisy RODO dotyczące przechowywania nagrań.
Najlepiej ustawić kamery tak, aby obejmowały tylko Twój teren – to rozwiązuje większość problemów.
Wraz z rosnącą liczbą obiektów wynoszonych w przestrzeń kosmiczną wzrasta ryzyko ich powrotu na Ziemię w sposób niekontrolowany.
Regulacja międzynarodowa o odpowiedzialności za szkody kosmiczne
Konwencja o międzynarodowej odpowiedzialności za szkody wyrządzone przez obiekty kosmiczne z 1972 roku (tzw. Konwencja o odpowiedzialności za szkody kosmiczne) reguluje odpowiedzialność państw za szkody wyrządzone przez ich obiekty kosmiczne. Konwencja weszła w życie co do Polski (Polskiej Rzeczypospolitej Ludowej) 25 stycznia 1973 roku. W kontekście obiektów wracających na Ziemię kluczowe są następujące zasady:
Odpowiedzialność absolutna
Zgodnie z art. II konwencji, państwo odpowiada absolutnie za szkody wyrządzone na powierzchni Ziemi lub statkom powietrznym w locie przez jego obiekt kosmiczny. Oznacza to, że nie musi być dowiedzione zaniedbanie czy wina – wystarczy sam fakt wyrządzenia szkody.
Odpowiedzialność za szkody w przestrzeni kosmicznej
Jeśli szkoda została wyrządzona innemu obiektowi kosmicznemu lub osobom w przestrzeni kosmicznej, państwo odpowiada na zasadzie winy (art. III).
Państwo odpowiedzialne
Odpowiedzialność ponosi:
Państwo, które wystrzeliło obiekt kosmiczny,
Państwo, z którego terytorium lub obiektu wystrzelono obiekt,
Państwo, które współuczestniczyło w wystrzeleniu (art. I).
Procedura dochodzenia roszczeń
Roszczenia o odszkodowanie powinny być zgłoszone drogą dyplomatyczną przez państwo poszkodowane do państwa odpowiedzialnego w ciągu roku od zdarzenia (art. IX-X).
Brak limitu odszkodowania – Konwencja nie przewiduje maksymalnej kwoty odszkodowania, a jego wysokość powinna być ustalona w drodze negocjacji między państwami.
Najbardziej znany przypadek wypłaty odszkodowania
Przykładem zastosowania konwencji było odszkodowanie wypłacone przez ZSRR Kanadzie w 1981 roku za szkody wyrządzone przez spadający satelitę Kosmos 954, który rozpadł się nad terytorium Kanady, rozrzucając radioaktywne szczątki. Zapłacono Kanadzie jedynie 10% jej wydatków na poszukiwania i usuwania szczątków satelitów.
Podsumowanie
Konwencja o odpowiedzialności za szkody kosmiczne odgrywa kluczową rolę w regulowaniu skutków powrotu obiektów kosmicznych na Ziemię. W dobie rosnącej liczby startów rakiet i misji kosmicznych jej znaczenie jest coraz większe, zwłaszcza w kontekście ryzyka niekontrolowanych upadków satelitów i innych fragmentów sprzętu kosmicznego.
Czy według Was obecne regulacje są wystarczające w kontekście rosnącego ruchu kosmicznego? 🚀🔍
Przesyłanie skanu dowodu osobistego na platformy internetowe zawsze wiąże się z pewnym ryzykiem, dlatego warto zachować ostrożność. Przed przesłaniem tak wrażliwych danych warto sprawdzić kilka kwestii:
Polityka prywatności i regulamin – Upewnij się, że portal jasno określa, w jaki sposób przechowuje i zabezpiecza Twoje dane oraz kto ma do nich dostęp.
Bezpieczeństwo transmisji – Sprawdź, czy strona korzysta z szyfrowania SSL (powinna zaczynać się od „https://”).
Cel weryfikacji – Dowiedz się, czy portal umożliwia zamazanie niektórych danych (np. numeru PESEL), jeśli nie są one wymagane do weryfikacji.
Alternatywne metody weryfikacji – Niektóre serwisy pozwalają na weryfikację przez bankowość elektroniczną zamiast skanu dowodu.
Ostrzeżenia UODO – Urząd Ochrony Danych Osobowych zaleca ostrożność w przesyłaniu skanów dowodów online, ponieważ ich przechwycenie może prowadzić do kradzieży tożsamości.
Jeśli zdecydujesz się przesłać skan, warto dodać znak wodny z informacją o celu użycia (np. „Tylko do weryfikacji na ……”), co utrudni ewentualne nieautoryzowane wykorzystanie dokumentu.
Podsumowując: jeśli portal ma dobre opinie, stosuje zabezpieczenia i jasno określa, jak przetwarza Twoje dane, ryzyko jest mniejsze, ale zawsze warto zachować ostrożność.
Współpraca różnych państw w zakresie cyberprzestępczości przynosi liczne korzyści, ale nie jest pozbawiona wyzwań i problemów, które mogą wpływać na jej efektywność. Oto główne problemy, które można dostrzec na przykładzie Polski i Stanów Zjednoczonych:
Różnice w regulacjach prawnych
Ochrona danych osobowych (RODO vs. CLOUD Act)
Problem: Polska jako państwo członkowskie UE, musi przestrzegać RODO, które nakłada ścisłe zasady dotyczące ochrony danych osobowych. Jednocześnie USA korzysta z CLOUD Act, który umożliwia dostęp do danych przechowywanych przez amerykańskie firmy IT, nawet jeśli dane te znajdują się w UE.
Konflikt: RODO wymaga zgody użytkownika lub krajowych organów na przekazywanie danych poza UE, co może być sprzeczne z amerykańskimi żądaniami dostępu do danych.
Efekt: Opóźnienia w dostępie do dowodów cyfrowych lub ryzyko naruszenia przepisów UE.
Różne podejście do prywatności
USA ma bardziej liberalne podejście do monitorowania danych w imię bezpieczeństwa narodowego, co budzi obawy w krajach UE, w tym w Polsce, o nadmierne ingerencje w prywatność obywateli.
Trudności proceduralne
Czasochłonność procedur MLAT
Problem: Procedury wzajemnej pomocy prawnej (MLAT) są biurokratyczne i czasochłonne, co jest nieefektywne w dynamicznych sytuacjach, takich jak ataki ransomware czy włamania do systemów IT.
Efekt: Cyberprzestępcy mogą ukrywać swoją działalność, zanim dowody zostaną zebrane, a ich działania mogą eskalować.
Brak jednolitych procedur
Polska i USA, mimo współpracy, wciąż nie mają zharmonizowanych procedur, które umożliwiałyby szybką wymianę informacji lub dowodów w postępowaniach karnych. Brakuje również uproszczonych mechanizmów dla przypadków nagłych.
Jurysdykcja nad danymi
Geograficzne rozproszenie danych
W epoce chmury obliczeniowej dane często są przechowywane w różnych lokalizacjach, co prowadzi do problemów z ustaleniem, które przepisy prawne mają zastosowanie.
Efekt: Opóźnienia w śledztwach i trudności w uzyskaniu dostępu do kluczowych danych.
Konflikty kompetencji
Gdy Polska prowadzi śledztwo, a dane znajdują się na serwerach w USA (lub odwrotnie), może dochodzić do sporów o to, który kraj ma prawo do dostępu do tych danych i ich wykorzystania.
Braki techniczne i zasobowe
Niedobory w Polsce
Polska, mimo utworzenia CBZC, wciąż ma ograniczone zasoby ludzkie i technologiczne w porównaniu do USA.
Efekt: Trudności w równorzędnej współpracy w skomplikowanych śledztwach wymagających zaawansowanej analizy danych lub szybkiej reakcji na incydenty.
Nierówności w dostępnych narzędziach
Amerykańskie służby mają dostęp do bardziej zaawansowanych technologii analitycznych, sztucznej inteligencji i systemów monitorowania, co może prowadzić do asymetrii w działaniach.
Ataki z terytoriów państw trzecich
Cyberprzestępcy z Rosji, Chin i innych państw
Wielu cyberprzestępców, którzy atakują Polskę i USA, działa z krajów, które nie współpracują w zwalczaniu cyberprzestępczości (np. Rosja, Korea Północna, Chiny).
Problem: Brak możliwości skutecznego ścigania sprawców z tych terytoriów, mimo współpracy polsko-amerykańskiej.
Wykorzystywanie państw „przechowalni” danych
Cyberprzestępcy często wykorzystują serwery w państwach, które są mniej zaawansowane technologicznie i nie mają silnych systemów współpracy prawnej.
Koordynacja międzynarodowa
Złożoność operacji wielostronnych: Operacje przeciwko globalnym grupom cyberprzestępczym, takim jak REvil czy Emotet, wymagają współpracy wielu państw jednocześnie. Problemy z koordynacją działań, np. z synchronizacją czasu ataków na infrastrukturę przestępców czy z podziałem odpowiedzialności za dalsze śledztwa.
Wyzwania językowe i kulturowe: Różnice językowe, proceduralne i kulturowe między służbami Polski i USA mogą prowadzić do nieporozumień lub opóźnień w komunikacji.
Wzrost zagrożeń związanych z AI i technologiami przyszłości
Narzędzia cyberprzestępców: Cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję i zaawansowane technologie (np. deepfake) do oszustw, co utrudnia śledztwa. Polska może nie mieć takich samych możliwości jak USA w przeciwdziałaniu takim zagrożeniom.
Rozwój technologii szyfrujących: Przestępcy korzystają z zaawansowanych systemów szyfrujących, co utrudnia dostęp do ich komunikacji lub danych nawet w przypadku międzynarodowej współpracy.
Współpraca z sektorem prywatnym
Brak wystarczającej koordynacji: Firmy technologiczne w USA, takie jak Google, Meta czy Amazon, mają kluczowe znaczenie dla śledztw, ale współpraca z nimi bywa trudna. Problemem są różnice w przepisach i wewnętrznych politykach korporacji mogą opóźniać przekazywanie danych.
Zaufanie firm do organów ścigania: W Polsce firmy mogą mieć obawy co do przekazywania danych ze względu na obostrzenia RODO, a w USA niektóre korporacje stawiają własne interesy nad współpracą z rządami.
Podsumowanie
Główne problemy we współpracy Polski i USA w zakresie cyberprzestępczości wynikają z różnic w przepisach prawnych, trudności proceduralnych, wyzwań technicznych oraz dynamicznego rozwoju zagrożeń cybernetycznych. Chociaż współpraca przynosi pozytywne efekty, dalszy jej rozwój wymaga:
Uproszczenia procedur prawnych (np. MLAT).
Harmonizacji przepisów dotyczących ochrony danych.
Rozwoju zasobów technologicznych i ludzkich w Polsce.
Zacieśnienia współpracy z sektorem prywatnym oraz w ramach organizacji wielostronnych, takich jak NATO i UE.
Współpraca między Polską a Stanami Zjednoczonymi w zakresie zwalczania cyberprzestępczości odbywa się w ramach dwustronnych umów, międzynarodowych konwencji oraz współpracy instytucji zajmujących się cyberbezpieczeństwem. Wynika ona z rosnącej skali cyberzagrożeń, takich jak ataki ransomware, hacking, oszustwa internetowe, czy działalność w darknecie, która wymaga szybkiej wymiany informacji i wspólnych działań.
Podstawy prawne współpracy Polska-USA
a) Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno Polska, jak i USA są stronami Konwencji Budapeszteńskiej, która jest podstawą międzynarodowej współpracy w walce z cyberprzestępczością. Dzięki Konwencji doszło do:
ustalenia zasad wymiany informacji w celu zabezpieczania dowodów elektronicznych;
uzgodnienia zasad wzajemnej pomocy w dochodzeniach, takich jak identyfikacja sprawców czy neutralizacja infrastruktur wykorzystywanych w atakach.
b) Dwustronne umowy o pomocy prawnej (MLAT)
Polska i USA współpracują na podstawie umowy o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaty). MLAT reguluje wymianę dowodów w postępowaniach karnych, w tym danych cyfrowych przechowywanych na zagranicznych serwerach. Dzięki MLAT Polska może uzyskać dostęp do danych przechowywanych przez amerykańskie firmy IT, takie jak Google, Microsoft czy Meta (Facebook), co jest kluczowe w wielu sprawach.
c) CLOUD Act (Clarifying Lawful Overseas Use of Data)
CLOUD Act umożliwia amerykańskim władzom przekazywanie danych przechowywanych przez amerykańskich dostawców usług chmurowych na potrzeby śledztw prowadzonych przez Polskę.
Współpraca na podstawie CLOUD Act jest szczególnie ważna w sprawach związanych z danymi przechowywanymi w chmurze.
Główne instytucje współpracujące
W Polsce:
a) Polska Policja (Centralne Biuro Zwalczania Cyberprzestępczości – CBZC)
CBZC, utworzone w 2022 roku, odpowiada za zwalczanie cyberprzestępczości na poziomie krajowym i międzynarodowym. CBZC ściśle współpracuje z amerykańskimi służbami, np. FBI, w sprawach takich jak ataki ransomware czy przestępstwa w darknecie.
b) CERT POLSKA
CERT Polska jest kluczowym ośrodkiem w wymianie informacji o zagrożeniach cybernetycznych i współpracy z międzynarodowymi partnerami, w tym amerykańskimi CERT-ami.
W USA:
Federal Bureau of Investigation (FBI): FBI prowadzi współpracę z Polską w ramach globalnych operacji przeciwko cyberprzestępcom, m.in. poprzez swój Cyber Division.
U.S. Secret Service (USSS): USSS, oprócz ochrony kluczowych osób w państwie, zajmuje się cyberprzestępstwami finansowymi i wspiera polskie organy ścigania w wykrywaniu oszustw.
CISA (Cybersecurity and Infrastructure Security Agency): CISA współpracuje z Polską w zakresie analizy zagrożeń cybernetycznych i ochrony infrastruktury krytycznej.
Formy współpracy Polska-USA w walce z cyberprzestępczością
a) Wymiana informacji
Polska i USA korzystają z mechanizmów takich jak 24/7 Network, koordynowanego przez Interpol, który pozwala na szybkie przekazywanie informacji o zagrożeniach i przestępstwach w cyberprzestrzeni.
b) Wspólne operacje międzynarodowe
Polska i USA uczestniczyły we wspólnych operacjach przeciwko grupom ransomware i dark web:
Emotet (2021): Polska odegrała kluczową rolę w likwidacji jednej z największych sieci botnetów, współpracując z Europolem, FBI i innymi krajami.
Hydra Market: Polska współpracowała z USA przy zamknięciu jednego z największych rynków w darknecie.
Zabezpieczanie dowodów elektronicznych
Współpraca w zakresie dostępu do danych przechowywanych na serwerach amerykańskich firm, np. Google, Amazon czy Facebook. Polska policja korzysta z procedur MLAT oraz CLOUD Act, by skutecznie uzyskać dane niezbędne do śledztw.
d) Szkolenia i wymiana doświadczeń
Polskie służby, takie jak CBZC, uczestniczą w szkoleniach organizowanych przez FBI i inne amerykańskie agencje. Wymiana doświadczeń obejmuje techniki śledcze, analizy zagrożeń cybernetycznych oraz strategie zwalczania ransomware i phishingu.
Przykłady współpracy Polska-USA
a) Ataki ransomware na polskie firmy
W 2021 roku Polska i USA wspólnie badały sprawy ataków ransomware, takich jak atak na polskie instytucje medyczne i samorządowe, gdzie zaangażowane były grupy cyberprzestępcze z Rosji. FBI dostarczyło dane techniczne dotyczące infrastruktury wykorzystywanej do ataków, co pomogło w ich neutralizacji.
b) Operacje przeciwko grupom hackingowym
Polska i USA współpracowały w zwalczaniu grup hakerskich takich jak REvil, które prowadziły ataki na międzynarodowe korporacje i instytucje publiczne.
Wyzwania w współpracy Polska-USA
a) Różnice w przepisach prawnych
Polska musi przestrzegać przepisów RODO, co czasem utrudnia szybkie przekazywanie danych do USA. CLOUD Act w USA budzi kontrowersje w Europie, ponieważ umożliwia dostęp do danych bez zgody kraju, w którym są one przechowywane.
b) Jurysdykcja nad danymi: Współpraca bywa trudna, gdy dane są przechowywane w chmurze w wielu lokalizacjach, co komplikuje ustalenie, które prawo ma zastosowanie.
c) Brak jednolitych procedur: Procedury MLAT są czasochłonne, co opóźnia działania w dynamicznych sytuacjach, takich jak ataki ransomware.
Perspektywy rozwoju współpracy Polska-USA
a) Usprawnienie procedur prawnych: Polska i USA pracują nad uproszczeniem procedur wymiany danych i dowodów w sprawach cyberprzestępczości.
b) Większe zaangażowanie w NATO: W ramach NATO Polska i USA rozwijają współpracę w zakresie cyberobrony, co obejmuje wspólne ćwiczenia i wymianę informacji o zagrożeniach.
c) Rozwój technologii i narzędzi analitycznych: Wspólne inwestycje w technologie do analizy zagrożeń, takich jak systemy SI (sztucznej inteligencji), które wspierają identyfikację zagrożeń i śledzenie przestępców.
Podsumowanie
Współpraca między Polską a USA w zakresie cyberprzestępczości jest kluczowa dla skutecznego zwalczania globalnych zagrożeń. Opiera się na solidnych fundamentach prawnych, takich jak Konwencja Budapeszteńska i CLOUD Act, oraz na ścisłej koordynacji instytucji, takich jak CBZC i FBI. Pomimo wyzwań, takich jak różnice w regulacjach, współpraca ta przynosi wymierne efekty i jest stale rozwijana.
Współpraca międzynarodowa między Unią Europejską (UE) a Stanami Zjednoczonymi (USA) w zakresie zwalczania cyberprzestępczości opiera się na różnych instrumentach prawnych wspierających wymianę informacji i wspólne działania. Efektywna współpraca jest kluczowa, ponieważ cyberprzestępcy często działają w różnych jurysdykcjach, wykorzystując różnice w przepisach.
Podstawy prawne współpracy między UE a USA
a)Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno USA, jak i wiele krajów UE (które są sygnatariuszami Konwencji) opierają swoje działania na wspólnych standardach prawnych, określonych w tej umowie. Dzięki Konwencji zharmonizowano definicje cyberprzestępstw, takich jak hacking, ransomware czy oszustwa internetowe; ułatwiono wymianę dowodów cyfrowych i informacji między krajami; przewidziano współpracę przy dochodzeniach transgranicznych.
b) Umowy o wzajemnej pomocy prawnej (Mutual Legal Assistants Treaties, MLAT)
Umowa MLAT między USA a UE reguluje formalne procedury wymiany dowodów, takich jak logi serwerowe, dane użytkowników czy korespondencja e-mail. MLAT pozwala na uzyskanie dostępu do dowodów znajdujących się na serwerach w innym kraju, ale procedura ta może być czasochłonna.
c) CLOUD Act (USA, 2018)
Ustawa CLOUD Act umożliwia organom ścigania w USA dostęp do danych przechowywanych przez amerykańskich dostawców usług IT, nawet jeśli serwery znajdują się poza granicami USA. UE i USA współpracują w oparciu o CLOUD Act w przypadkach, gdy dane są potrzebne w dochodzeniach dotyczących cyberprzestępstw.
d) Umowa między UE a USA w sprawie danych pasażerów (PNR)
Umowa dotycząca wymiany danych pasażerów samolotów pomaga w identyfikowaniu potencjalnych cyberprzestępców lub ich powiązań z innymi grupami przestępczymi.
Główne instytucje i platformy współpracy
a) Europol i FBI
Europol, poprzez Europejskie Centrum ds. Cyberprzestępczości (EC3), współpracuje z FBI i innymi agencjami USA w sprawach związanych z cyberprzestępczością. Wspólne działania obejmują operacje przeciwko grupom zajmującym się ransomware, takim jak REvil czy DarkSide; likwidacja nielegalnych rynków w darknecie (np. Hydra, Silk Road); koordynacja przy zwalczaniu botnetów.
b) Interpol i Departament Sprawiedliwości USA
Interpol działa jako pośrednik między Europą i USA, umożliwiając szybką wymianę informacji o przestępstwach, takich jak ataki DDoS, phishing czy oszustwa finansowe.
c) Programy wymiany danych między CERT/CSIRT
Computer Emergency Response Teams (CERT) z UE i USA współpracują w zakresie wymiany informacji o nowych zagrożeniach, złośliwym oprogramowaniu czy podatnościach w systemach IT.
Współpraca CERT-ów jest szczególnie intensywna w przypadku krytycznych incydentów, takich jak globalne ataki ransomware (np. WannaCry).
d) Joint Cybercrime Action Taskforce (J-CAT)
Europol powołał J-CAT jako stały zespół do zwalczania cyberprzestępczości, w skład którego wchodzą przedstawiciele USA, FBI oraz innych krajów partnerskich.
Celem J-CAT jest koordynacja śledztw wielonarodowych w sprawach cyberprzestępstw.
Przykłady współpracy w praktyce
a) Operacje przeciw ransomware
REvil: USA i UE współpracowały w celu rozbicia grupy REvil, która atakowała firmy na całym świecie, żądając okupu za odszyfrowanie danych. Dzięki koordynacji FBI, Europolu i międzynarodowych CERT-ów udało się zneutralizować część infrastruktury grupy.
b) Likwidacja botnetów
Emotet: Europol, FBI i inne agencje wspólnie przeprowadziły operację zniszczenia jednego z największych botnetów, używanych do rozprzestrzeniania złośliwego oprogramowania.
c) Zwalczanie cyberprzestępczości w darknecie
Zamknięcie Silk Road i Hydra Market to przykłady operacji, w których Europol, FBI i inne agencje współpracowały w celu wyeliminowania platform handlu narkotykami, bronią i danymi w darknecie.
Wyzwania we współpracy UE-USA
a) Różnice w przepisach prawnych: UE ma bardziej restrykcyjne przepisy dotyczące ochrony danych (np. RODO), co czasem utrudnia szybkie przekazywanie informacji do USA. Przepisy takie jak CLOUD Act budzą kontrowersje w Europie ze względu na potencjalne konflikty z RODO.
b) Jurysdykcja nad danymi w chmurze: Spory dotyczące dostępu do danych przechowywanych na serwerach w różnych lokalizacjach (np. przypadek Microsoft vs. USA).
c) Czasochłonność procedur formalnych: MLAT i inne tradycyjne mechanizmy pomocy prawnej są czasochłonne, co jest problemem w szybko zmieniającym się środowisku cyberprzestępczym.
Cechą charakterystyczną cyberprzestępczości jest to, że sprawcy takich przestępstw często działają w różnych krajach (jurysdykcjach) i wykorzystują infrastrukturę rozproszoną po całym świecie. Na współpracę międzynarodową składa się szereg mechanizmów, stosowana jest przez liczne organizacje i wykorzystuje się różnorakie narzędzie po to, aby skutecznie przeciwdziałać cyberprzestępczości.
Organizacje i inicjatywy międzynarodowe
Interpol
Interpol koordynuje międzynarodowe działania przeciwko cyberprzestępstwom, wspiera wymianę informacji między krajami i oferuje wsparcie techniczne. W strukturze Interpol-u znajduje się Cybercrime Operational Desk, który specjalizuje się w wykrywaniu i zwalczaniu cyberprzestępczości. Interpol prowadzi specjalistyczne projekty np. Cyber Fusion Centre, które łączą dane z różnych krajów w celu śledzenia globalnych kampanii cyberprzestępczych.
Europol
Europol wspiera kraje Unii Europejskiej w zwalczaniu cyberprzestępczości poprzez wymianę danych, koordynację działań i analizy techniczne. W strukturze Europol-u znajduje się EC3 (European Cybercrime Center) Centrum ds. Cyberprzestępczości, które zajmuje się atakami na infrastrukturę krytyczną, handel narkotykami, bronią i danymi w darknecie, przestępstwami związanymi z ransomware i oszustwami internetowymi.
GLACY+ (Global Action on Cybercrime)
Inicjatywa podjęta przez Unię Europejską i realizowana przez Radę Europy, która wspomaga kraje rozwijające się wprowadzać skuteczne ramy prawne i techniczne do walki z cyberprzestępczością.
CERT (Computer Emergency Response Teams)
Każdy kraj posiada swój zespół CERT lub CSIRT, który współpracuje z innymi państwami w zakresie wymiany informacji o zagrożeniach, analizie technicznej i zapobieganiu atakom.
Umowy międzynarodowe i regulacje prawne
Konwencja budapesztańska o cyberprzestępczości z 2001 roku
Konwencja stanowi najważniejszy międzynarodowy akt dotyczący zwalczania cyberprzestępczości. W jej treści ustalono definicje cyberprzestępstw np. hackingu, phishingu), ustalono procedury współpracy, tj. szybka wymiana informacji, zabezpieczanie dowodów elektronicznych i wzajemna pomoc prawna. Sygnatariuszami tej Konwencji jest ponad 60 państw z całego świata, w tym np. USA i Kanada.
Regulacje Unii Europejskiej
Wśród przepisów Unii Europejskiej, które dotyczą cyberprzestępczości i cyberbezpieczeństwa wymienić należy Dyrektywę NIS (Network and Information Security Directive, która nakłada na kraje UE obowiązek współpracy w zakresie cyberbezpieczeństwa oraz wymiany informacji o zagrożeniach. Innym aktem, który odnosi się do przypadków, gdy dochodzi do wycieku danych i obowiązku współpracy jest Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO).
Wzajemna pomoc prawna (MLAT)
Wiele krajów korzysta z umów o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaties), które umożliwiają szybkie przekazywanie informacji o przestępstwach, dostęp do dowodów znajdujących się na serwerach w innych krajach.
Sposoby współpracy organów ścigania
Wymiana informacji w czasie rzeczywistym
Wiele krajów korzysta z systemów takich jak 24/7 Network, które umożliwiają szybkie przekazywanie informacji o cyberatakach. Narzędzia, takie jak SIENA (Europol), pozwalają na bezpieczne udostępnianie danych między krajami UE.
Zabezpieczanie dowodów elektronicznych
Organy ścigania często muszą współpracować z dostawcami usług IT (np. Google, Amazon, Facebook) w celu uzyskania danych znajdujących się na zagranicznych serwerach.
W przypadku firm zlokalizowanych w USA stosuje się np. przepisy CLOUD Act (Clarifying Lawful Overseas Use of Data).
Operacje międzynarodowe
Przykłady udanych działań międzynarodowych:
Emotet: Wspólne działanie Europolu, Interpolu i USA doprowadziło do zneutralizowania jednej z największych sieci botnetów na świecie.
Darknet Marketplaces: Wielonarodowe operacje (np. zamknięcie „Silk Road” i „Hydra Market”) dzięki współpracy wielu krajów.
Wyzwania w międzynarodowej współpracy
Różnice w przepisach prawnych: Każdy kraj ma swoje własne regulacje dotyczące cyberprzestępczości i prywatności, co utrudnia szybkie działania.Niektóre państwa nie są stroną Konwencji Budapeszteńskiej, co ogranicza ich zaangażowanie.
Jurysdykcja nad danymi: Dane przechowywane w chmurze mogą znajdować się na serwerach w wielu różnych krajach, co komplikuje ustalanie, które prawo ma zastosowanie.
Opóźnienia proceduralne: Tradycyjne mechanizmy pomocy prawnej (MLAT) są czasochłonne i nie zawsze dostosowane do szybkiego tempa cyberprzestępczości.
Rola przedsiębiorców w międzynarodowej współpracy
Przedsiębiorcy, szczególnie w branży IT, często współpracują z organami ścigania, udostępniając dane i wspierając analizy techniczne. Firmy takie jak Google, Microsoft czy Amazon mają dedykowane zespoły zajmujące się współpracą z organami ścigania na całym świecie.
Zabezpieczenie interesów w umowie z dostawcą usług IT, w tym usług chmurowych, wymaga szczególnej uwagi co do zapisów dotyczących odpowiedzialności, bezpieczeństwa danych, dostępności usług i zgodności z prawem.
Oto kluczowe elementy, na które warto zwrócić uwagę przed zawarciem umowy:
Zakres usług
Przede wszystkim należy precyzyjnie określić przedmiot umowy, w tym zakres usług. Warto określić w umowie minimalny poziom jakości usług, np. dostępność systemu (np. 99%) oraz czas reakcji na awarie.
Bezpieczeństwo danych
Biorąc pod uwagę standardy bezpieczeństwa można wymagać, aby dostawca stosował uznane standardy bezpieczeństwa, np. ISO 27001 lub NIST. Warto zapewnić sobie szyfrowanie danych i częstotliwość wykonywania kopii zapasowych danych oraz to, w jakim czasie po awarii będą one przywracane.
Ochrona danych osobowych
Jeśli dostawca przetwarza dane osobowe w Twoim imieniu, konieczna jest umowa o powierzenie danych osobowych zgodna z RODO. Umowa powinna obejmować takie zagadnienia jak – cel i zakres przetwarzania danych, obowiązki dostawcy i możliwość przeprowadzania audytów zgodności.
Należy ustalić, gdzie fizycznie znajdują się serwery, ponieważ dane mogą podlegać różnym przepisom prawa w zależności od kraju ich przechowywania.
Odpowiedzialność i odszkodowania
Należy zwracać uwagę na limity odpowiedzialności, które podlegają negocjacjom, gdyż klauzule umowne mogą znacznie ograniczać odpowiedzialność dostawcy.
W razie pojawienia się szkód, warto przewidzieć odpowiedzialność dostawcy za szkody spowodowane utratą danych, przestojów systemu lub naruszenia bezpieczeństwa.
Dostępność i awarie
W umowie można wynegocjować maksymalny czas na przywrócenie działania systemu po awarii (Recovery Time Objective, RTO) oraz obowiązek dostawcy obejmujący przedstawianie raportów o stanie usług i informowanie o problemach na bieżąco.
Kontrola i audyty
W umowie można ustalić możliwość przeprowadzania audytów bezpieczeństwa oraz częstotliwość raportowania przez dostawcę zgodności z umową i standardami bezpieczeństwa.
Prywatność i przechowywanie danych
W umowie powinno się znaleźć uzgodnienie dotyczące dostępu do danych w każdym czasie, sposobu postępowania z danymi po zakończeniu współpracy i zasad przenoszenia danych do innego dostawcy.
Rozwiązania umowy i migracja danych
Ważnym elementem umowy jest ustalenie dotyczące sytuacji, kiedy każda ze stron może rozwiązać umowę. Warto wymagać, aby dostawca wspierał proces migracji danych w przypadku zakończenia współpracy i określić należy, jak długo będą świadczone usługi po rozwiązaniu umowy, by umożliwić płynne przejście do nowego dostawcy.
Postanowienia końcowe w umowie
W postanowieniach końcowych umowy zwykle określone jest prawo właściwe, które będzie regulować umowę oraz sądy właściwe do rozstrzygania sporów, co jest szczególnie istotne w przypadku dostawców zagranicznych.
Warto zadbać o to, aby dostawca posiadał odpowiednie ubezpieczenie od odpowiedzialności cywilnej i aby zobowiązał się do zachowania w poufności danych i informacji biznesowych (tajemnica przedsiębiorstwa).
W razie wątpliwości warto rozważyć przed podpisaniem umowy konsultację jej treści z prawnikiem.
Cyberlaw by Judyta 