Autor: Judyta Kasperkiewicz

Jestem adwokatką, blogerką i podróżniczką. Prowadzę dwa blogi prawnicze: "Angielskie Prawo dla Polaków" (od 2014 roku) oraz "Cyberlaw by Judyta" – blog o cyberprzestępczości, prawie własności intelektualnej i prawie nowych technologii. Udzielam porad prawnych w ramach prowadzonej przeze mnie kancelarii EPOQUE Kancelaria Adwokacka. Obsługuję klientów zarówno w kraju, jak i za granicą. Kontakt: judyta.kasperkiewicz@adwokatura.pl. Specjalizuję się w prawie i nowych technologiach, zarówno w aspekcie zawodowym, jak i naukowym. Główne obszary moich zainteresowań to: 1) prawo karne i cyberprzestępczość (przestępczość karnogospodarcza i karnoskarbowa, oszustwa komputerowe, phishing, hacking, ransomware, cyberstalking, cyberbullying, przestępstwa kryptowalutowe i inne), 2) prawo nowych technologii (e-commerce, startupy, FinTech, RegTech, 3) prawo własności intelektualnej (znaki towarowe, wzory przemysłowe, doradztwo dla branży kreatywnej, w tym oferującej odzież, perfumy i biżuterię)
Cyberprzestępczość | Cybercrime, Prawo karne | Criminal Law

(6) Computer Sabotage, Article 269a of the Penal Code, from the series „35 Cybercrimes in Polish Criminal Law”

Judyta Kasperkiewicz

Computer Sabotage in Polish Law – What is Important to Know? (Article 269a of the Penal Code)

Computer Sabotage from a Legal Perspective

The crime of computer sabotage is regulated in Article 269a of the Penal Code. This provision aims to protect the integrity of IT systems, telecommunications networks, and ensure the security of data, which are crucial for the functioning of businesses and institutions.

Who is the perpetrator of the computer sabotage crime?

It is important to emphasize that the perpetrator of this crime can be anyone who intentionally disrupts the operation of computer systems. Computer sabotage can be committed both through active actions (e.g., malicious software, data manipulation) and through omissions that result in serious consequences for the functioning of IT systems.

What does the crime of computer sabotage cover?

According to Article 269a of the Penal Code, in addition to acts such as the destruction, deletion, damage, or alteration of computer data (as specified in Article 268a of the Penal Code), this crime also includes disrupting the operation of computer systems and telecommunications networks. This means that any action that can seriously disrupt the functioning of such infrastructure can be considered computer sabotage. Examples include spreading viruses, DDoS attacks, and unauthorized data modification.

What penalty does computer sabotage carry?

The penalty for committing the crime of computer sabotage is imprisonment for a term ranging from 3 months to 5 years. It is important to note that this offense is prosecuted ex officio, meaning the prosecutor conducts the proceedings on their own initiative. If you run a business or manage an IT system, preventing such crimes is crucial, and if in doubt, seeking legal advice is advisable.

Computer Sabotage vs. Destruction of Databases – What’s the Difference?

It is also worth noting the differences between the crime of computer sabotage (Article 269a of the Penal Code) and the crime of destruction of databases (Article 268a of the Penal Code). Although both crimes involve illegal actions against computer systems, they differ in terms of penalties and the prosecution process. There is also a legal discussion about the removal of Article 268a from the Penal Code due to the overlap of normative content with Article 269a.

If you have doubts about this provision, it is worth consulting with a specialist. Such cases require thorough analysis and precise application of the law.

Case Examples – How Does Case Law Approach the Issue?

Here are a few examples from the case law of Polish courts, illustrating how courts approach the issue of computer sabotage:

  • Judgment of the District Court in Świdnica of January 9, 2018, case file IV K 720/17: Between October 2013 and April 2014, in J. and K. (voivodeship (…)), without authorization, by placing false orders and transmitting computer data, the defendant hindered access to the computer system servicing an online store on the website (…), significantly disrupting its operation, to the detriment of A. L. K., which constituted an offense under Article 269a of the Penal Code in conjunction with Article 12 of the Penal Code.
  • Judgment of the District Court in Bydgoszcz of May 13, 2015, case file IV Ka 141/15: On October 10, 2012, at 18:17, without authorization, after logging into the online service (…), to which the General Secondary School No. (…) in B. is connected, the defendant made changes to the system by deleting the user account assigned to one of the teachers, P. D., which constituted an offense under Article 269a of the Penal Code.
  • Judgment of the District Court in Elbląg of February 12, 2015, case file IV Ka 11/15: On May 31, 2013, in the town of Z., without authorization, using the card (…) and software on a laptop’s hard drive, the defendant sent SYN packets, blocking the operation of the computer system and the website, seriously disrupting the system’s operation, to the detriment of M. Ż., constituting an offense under Article 269a of the Penal Code.

Protect Yourself from Computer Sabotage!

If you manage an IT system, website, or database, ensuring security is your responsibility. Incidents related to computer sabotage can lead to significant financial and reputational losses.

Legal Status as of: January 31, 2022

Cyberprzestępczość | Cybercrime, Prawo karne | Criminal Law

(5) Destruction of Databases, Damage to Databases, Article 268a of the Penal Code from the series „35 Cybercrimes in Polish Criminal Law'”

Judyta Kasperkiewicz

On the Destruction of Databases from a Legal Perspective

The crime defined in Article 268a of the Penal Code is referred to as the crime of destroying databases. It concerns the protection of the security of information, which includes its confidentiality, integrity, and availability.

Article 268a § 1. Whoever, without authorization, destroys, damages, deletes, modifies, or obstructs access to computer data, or significantly disrupts or prevents the automatic processing, collection, or transmission of such data, shall be subject to a penalty of imprisonment for up to 3 years.

§ 2. Whoever, committing the act specified in § 1, causes significant financial damage, shall be subject to a penalty of imprisonment from 3 months to 5 years.

§ 3. Prosecution for the crime specified in § 1 or 2 shall be initiated at the request of the injured party.

Article 268 of the Penal Code protects the recording of information, while Article 268a refers to computer data. According to the definition in the Convention on Cybercrime, „computer data is any representation of facts, information, or concepts in a form suitable for processing in a computer system, including the relevant program causing the execution of functions by the computer system.”

Only computer data stored in electronic form is protected.

Who is the perpetrator of the crime of destroying databases, and how do they behave?

The destruction of databases occurs through action and can be committed by anyone, whereas by omission, only by a person responsible for the security of the database.

The crime involves destroying, damaging, deleting, modifying, or obstructing access to computer data, disturbing or preventing automatic processing, collection, or transmission of computer data, as a result of the perpetrator’s action, regardless of the act or omission itself.

No crime is committed if the data was supplemented in a way that did not affect its meaning, e.g., adding insignificant content to the source code. Merely gaining access to a system without damaging the data cannot lead to the assignment of this crime. In such cases, the crime under Article 267 § 2 of the Penal Code may be applied.

When determining the attribution of the act, it should be considered whether the perpetrator’s actions had any effect on the processes occurring in computer systems, i.e., whether the degree of social harm of the act is greater than negligible.

What penalty is imposed for the destruction of databases?

For the destruction of databases under § 1, the penalty is imprisonment from 1 month to 3 years. For § 2, the penalty is from 3 months to 5 years in prison.

This crime is prosecuted at the request of the injured party.

When does the crime under Article 268a occur, and when under Article 268 of the Penal Code?

In many cases, it will be necessary to decide whether to apply Article 268a or Article 268. If the perpetrator’s behavior concerns computer data that has the characteristics of information, Article 268 of the Penal Code should be applied, while for computer data, Article 268a of the Penal Code will be appropriate (lex specialis).

When can significant financial damage occur as specified in § 2 of Article 268a of the Penal Code?

The crime described in Article 268a § 2 of the Penal Code is characterized by the consequence of causing significant financial damage. The value of such damage exceeds PLN 200,000 (Article 115 § 5 of the Penal Code).

Examples of case law regarding the crime of destroying databases:

„On September 25, 2019, at an undisclosed location in the L. region, using the email address (…) and the password assigned during employment at the Centrum (…) company, based in W. at (…) St., owned by G. P., and no longer employed there, accessed, without authorization, the internet profile in the (…) service named „. (…).PL” owned by the aforementioned company, and subsequently deleted the profile along with the computer data contained therein, thereby acting to the detriment of G. P. and Centrum (…) based in W. at (…) St., owned by G. (…), pursuant to Article 268a § 1 of the Penal Code” (Judgment of the District Court in Legionowo, October 6, 2020, case No. II K 1222/19).

„From September 2013 to February 3, 2015, conducting business under the name (…) providing the implementation of the accounting and payroll system C. (…) for the company Przedsiębiorstwo Handlowo Produkcyjno-Usługowe (…), despite the termination of cooperation and a request to return the passwords, refused to provide access data to the administrator function of the C. (…) system, limiting the user’s rights to the legally purchased program, which significantly disrupted automatic data processing, preventing the company Przedsiębiorstwo Handlowo-Produkcyjno-Usługowe (…) from fully using the program, thus acting to the detriment of the company and causing a loss of no less than PLN 50,000, pursuant to Article 268a § 1 of the Penal Code in connection with Article 12 of the Penal Code” (Judgment of the District Court in Kalisz, August 31, 2020, case No. II K 357/18).

What does the Supreme Court say about the destruction of databases?

In a ruling dated September 30, 2015 (II K 115/15), the Supreme Court stated:

„Article 268a of the Penal Code penalizes two types of prohibited behavior of the perpetrator. The first is the destruction, damage, deletion, modification, and obstruction of access to computer data. The second type of behavior harms the process of proper automatic processing, collection, and transmission of computer data to a significant degree. This behavior may involve disrupting or preventing the operation of the process. The concept of disrupting automatic processing, transmission, or collection of computer data encompasses any actions that affect these processes, resulting in their improper course, delay, as well as distortion or modification of the processed, transmitted, or collected data. Prevention, on the other hand, means stopping these processes or making it impossible to initiate them.

The computer data referred to in Article 268a of the Penal Code is a record of a specific piece of information stored on a computer disk or another computer data storage medium.”

Legal status as of: January 22, 2022.

Cyberprzestępczość | Cybercrime, Prawo karne | Criminal Law

(5) Niszczenie baz danych, damage to databases, art. 268a k.k. z cyklu „35 cyberprzestępstw w polskim prawie karnym”

Judyta Kasperkiewicz

O niszczeniu baz danych z perspektywy prawnej

Przestępstwo z art. 268a Kodeksu karnego jest nazywane przestępstwem niszczenia baz danych. Ochronie podlega bezpieczeństwo danych informatycznych, które obejmuje ich poufność, integralność i dostępność.

Art. 268a § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych, albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.

§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.

Art. 268 Kodeksu karnego chroni zapis informacji, natomiast art. 268a Kodeksu karnego odnosi się do danych informatycznych. Zgodnie z definicją zawartą w Konwencji o cyberprzestępczości „dane informatyczne to dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”.

Ochronie podlegają jedynie dane informatyczne zapisane w formie elektronicznej.

Kim jest sprawca przestępstwa niszczenia baz danych i jak się zachowuje?

Niszczenie baz danych odbywa się poprzez działanie i może zostać dokonane przez każdego, natomiast przez zaniechanie jedynie przez osobę odpowiedzialną za bezpieczeństwo bazy danych.

Przestępstwo polega na zniszczeniu, uszkodzeniu, usunięciu, zmianie i utrudnieniu dostępu do danych informatycznych, zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, będących następstwem działania sprawcy, niezależnie od samego działania lub zaniechania.

Nie dochodzi do popełnienia przestępstwa, jeśli doszło do uzupełnienia danych, które nie wpłynęły na ich sens, np. dopisanie nieistotnej treści do kodu źródłowego. Samo uzyskanie dostępu do systemu bez uszkodzenia danych nie może skutkować przypisaniem omawianego przestępstwa. W takim przypadku przypisać można przestępstwo z art. 267 § 2 Kodeksu karnego.

Rozstrzygając o przypisaniu sprawstwa, należy wziąć pod uwagę, czy działanie sprawcy wpłynęło w jakikolwiek sposób na procesy zachodzące w systemach informatycznych, czyli należy ocenić, czy stopień społecznej szkodliwości czynu jest wyższy niż znikomy.

Jaka kara grozi za niszczenie baz danych?

Za niszczenie baz danych z § 1 grozi kara pozbawienia wolności od 1 miesiąca do 3 lat. W przypadku § 2 przewiduje się karę od 3 miesięcy do 5 lat pozbawienia wolności.

Przestępstwo to jest ścigane na wniosek pokrzywdzonego.

Kiedy dochodzi do popełnienia przestępstwa z art. 268a, a kiedy z art. 268 Kodeksu karnego?

W wielu przypadkach trzeba będzie wybrać, czy zastosować art. 268a, czy art. 268. Jeśli zachowanie sprawcy dotyczy danych informatycznych, które mają cechy informacji, należy zastosować art. 268 Kodeksu karnego, a w przypadku danych informatycznych właściwy będzie art. 268a Kodeksu karnego (lex specialis).

Kiedy może dojść do wyrządzenia znacznej szkody majątkowej wskazanej w § 2 art. 268a Kodeksu karnego?

Przestępstwo określone w art. 268a § 2 Kodeksu karnego charakteryzuje się skutkiem w postaci powstania znacznej szkody majątkowej. Wartość takiej szkody przekracza 200 000 zł (art. 115 § 5 Kodeksu karnego).

Przykłady orzecznictwa dotyczącego przestępstwa niszczenia baz danych:

„W dniu 25 września 2019 r. w miejscu dotychczas nieustalonym, a ujawnionym w L. woj. (…), poprzez wykorzystanie adresu e-mail (…), nadanego mu w trakcie zatrudnienia w firmie Centrum (…) z siedzibą w W. na ul. (…) z G. (…), należącej do G. P., nie będąc już w niej zatrudnionym, uzyskał bez uprawnień dostęp do internetowego profilu w serwisie (…) o nazwie „. (…).PL”, należącego do wymienionej firmy, a następnie usunął ww. profil wraz z znajdującymi się tam danymi informatycznymi, czym działał na szkodę G. P., Centrum (…) z siedzibą w W., na ul. (…) z G. (…), tj. czyn z art. 268a § 1 Kodeksu karnego (wyrok Sądu Rejonowego w Legionowie z dnia 6.10.2020 r., sygn. akt II K 1222/19);”

„W okresie od września 2013 r. do 3 lutego 2015 r., prowadząc działalność gospodarczą pod nazwą (…) świadcząc usługi wdrożenia systemu księgowo-kadrowego C. (…) na rzecz firmy Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…), pomimo zerwania współpracy i wezwania do zwrotu haseł, odmówił przekazania danych dostępowych do funkcji administratora systemu C. (…), ograniczając prawa użytkownika do legalnie zakupionego programu, co w istotnym stopniu zakłóciło automatyczne przetwarzanie danych, uniemożliwiając firmie Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…) pełne korzystanie z programu, tym samym działając na szkodę tej firmy i powodując straty w wysokości nie mniejszej niż 50 000 zł, tj. czyn z art. 268a § 1 Kodeksu karnego w związku z art. 12 Kodeksu karnego” (wyrok Sądu Rejonowego w Kaliszu z dnia 31.08.2020 r., sygn. akt II K 357/18).

Co o niszczeniu baz danych mówi Sąd Najwyższy?

W wyroku z dnia 30 września 2015 r. (II K 115/15) Sąd Najwyższy uznał, że:

„Przepis art. 268a Kodeksu karnego penalizuje dwa rodzaje zakazanego zachowania sprawcy. Pierwszym z nich jest niszczenie, uszkadzanie, usuwanie, zmiana oraz utrudnianie dostępu do danych informatycznych. Drugi rodzaj zachowania godzi w proces prawidłowego automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych w stopniu istotnym. Zachowanie to może polegać na zakłócaniu lub uniemożliwianiu działania procesu. Pojęcie zakłócenia automatycznego przetwarzania, przekazywania lub gromadzenia danych informatycznych obejmuje wszelkie czynności oddziałujące na te procesy, których skutkiem jest ich nieprawidłowy przebieg, spowolnienie, a także zniekształcenie czy modyfikacja przetwarzanych, przekazywanych lub gromadzonych danych. Uniemożliwienie natomiast oznacza zatrzymanie tych procesów lub niemożność ich podjęcia.

Dane informatyczne, o których mowa w przepisie art. 268a Kodeksu karnego, to zapis określonej informacji przechowywanej na dysku komputera lub na innym komputerowym nośniku informacji”.

Stan prawny na dzień: 22 stycznia 2022 roku

Prawo ochrony danych osobowych | Data Protection Law

Prywatność w sieci

Judyta Kasperkiewicz

Prywatność trudno zdefiniować, gdyż nie ma jednej definicji legalnej tego pojęcia. Ale spośród wielu definicji wskazać można chociażby następującą definicję „swoboda rozporządzania informacjami na swój temat” (J. Kohler). Wraz z rozwojem Internetu coraz istotniejsza staje się ochrona prywatności również w wirtualnej rzeczywistości. Większa świadomość społeczeństwa sprawia, że dostrzegamy znaczenie prawa do prywatności.

Prawo do prywatności jako prawo człowieka i dobro osobiste

Prawo do prywatności rozumiane może być jako prawo człowieka, jak również jako dobro osobiste. 

Zaliczone zostało do katalogu praw podstawowych i uznawane jest za prawo człowieka pierwszej generacji. Konstytucja RP z 1997 roku w art. 47 gwarantuje każdemu prawo do prywatności. Natomiast kolejne przepisy (art. 48-51) Konstytucji stanowią uzupełnienie tej regulacji. 

Jako dobro osobiste prawo do prywatności podlega ochronie na podstawie przepisów Kodeksu cywilnego, choć nie zostało wymienione w katalogu dóbr osobistych (art. 23 Kodeksu cywilnego) uznaje się, że należy do tego otwartego katalogu. 

Po raz pierwszy w 1984 roku Sąd Najwyższy uznał prywatność jako dobro osobiste (patrz: wyrok SN z 18 stycznia 1984 roku, sygn. akt I CR 400/83). 

Sama koncepcja right to privacy wywodzi się prawa anglosaskiego. Dopiero po II wojnie światowej zauważono, że prywatność powinna być chroniona. Wcześniej deprecjonowano wszelkie prawa człowieka, w tym to do prywatności. 

Prywatność nie jest objęta ochroną absolutną, co oznacza, że prawo do prywatności może zostać ograniczone, gdy jest to niezbędne w demokratycznym państwie prawnym i poddane jest ścisłym regułom przewidzianym przez zasadę proporcjonalności. 

„Prywatność ma podlegać ochronie właśnie dlatego i tylko dlatego, że przyznaje się każdej osobie prawo do wyłącznej kontroli tej sfery życia, która nie dotyczy innych, a w której wolność od ciekawości innych jest swoistą conditio sine qua non swobodnego rozwoju jednostki”. ~ M. Safjan 

Prawo do prywatności w prawie międzynarodowym

Artykuł 12 Powszechnej Deklaracji Praw Człowieka z 10 grudnia 1948 roku stwierdza: „Nikt nie będzie poddany arbitralnemu wkraczaniu w jego życie prywatne, rodzinnę, mieszkanie lub korespondencję, ani też zamachom na jego honor i reputację. Każdy jest uprawniony do ochrony prawnej przed takim wkraczaniem lub takimi zamachami”. 

Artykuł 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych mówi, że: 

1. „Nikt nie będzie poddany arbitralnej lub bezprawnej ingerencji w jego życie prywatne, rodzinne, mir domowy czy korespondencję, ani też bezprawnym zamachom na jego cześć́ i dobre imię̨. 

2. Każdy ma prawo do ochrony prawnej przed tego rodzaju ingerencją lub zamachami”. 

Artykuł 8 Europejskiej Konwencji Praw Człowieka stanowi, że: 

1. „Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 

2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę̨ i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne oraz dobrobyt gospodarczy kraju, ochronę̨ porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę̨ praw i wolności innych osób. 

Prawo do prywatności a prawo do ochrony danych osobowych

  • Odmienny charakter prawny przepisów o ochronie danych osobowych – ukierunkowanych na prewencję i zapobieganie naruszeniom, podczas, gdy mechanizmy ochrony prywatności zorientowane są na działanie post factum (M. Safjan). 
  • Ochrona prywatności jest pojęciem pomniejszym niż ochrona danych osobowych. 
  • Niektóre zachowania mogą naruszać czyjąś prywatność, ale nie muszą jednocześnie naruszać przepisów dotyczących przetwarzania danych osobowych. 

Unijny model ochrony danych osobowych

Model ochrony prywatności i danych osobowych funkcjonujący w Unii Europejskiej jest powszechnie uznawany za najbardziej kompleksowy i odzwierciedlający złożoność rynku przetwarzania informacji w erze społeczeństwa informacyjnego. 

Źródło: G. Buttarelli, The EU GDPR as a clarion call for a new global digital gold standard, International Data Privacy Law 2016, t. 6, z. 2, s. 77. 

Stan prawny na dzień: 29 listopada 2021 roku

Zdjęcie: pixabay.com

Cyberprzestępczość | Cybercrime, Prawo karne | Criminal Law, Prawo kryptowalut & Blockchain

Przestępczość teleinformatyczna XXI 2021, Gdynia – relacja z konferencji

Judyta Kasperkiewicz

Relacja z konferencji „Przestępczość Teleinformatyczna XXI 2021” Gdynia #ptxxi

W dniach 21-23 września 2021 roku brałam udział w konferencji naukowej „Przestępczość Teleinformatyczna XXI 2021”, która organizowana jest obecnie przez Akademię Marynarki Wojennej w Gdyni (dawniej znana wszystkim z branży jako TAPT w Szczytnie).

Moje wystąpienie dotyczyło problematyki współpracy międzynarodowej organów ścigania w zwalczaniu przestępczości kryptowalutowej.

Każdy z biorących udział w dyskusjach przedstawicieli różnych służb, rządu, świata akademickiego i sektora prywatnego podkreślał i postulował konieczną, szeroką i powszechną edukację społeczeństwa w zakresie walki z cyberprzestępczością. Tutaj nie ma co się ścigać o wyniki, nie ma wygranych, a wygrać możemy tylko współpracując. Skala i skuteczność działania oszustów w sieci budzi przerażenie. Codziennie dzwonią klienci, którzy stali się ofiarami fraudu inwestycyjnego lub innego podobnego. Pamiętajmy, że ofiarami stosowanych metod socjotechnicznych sprawców może się stać każdy bez względu na wiek, płeć czy wykształcenie.

Przed podjęciem decyzji o inwestycji sprawdźcie przynajmniej:

– dane rejestrowe danego podmiotu np. platformy inwestycyjnej

– czy nie wydano żadnego komunikatu prasowego o prowadzonych postępowaniach lub ostrzeżeniach wydanych przez Komisję Nadzoru Finansowego albo czy w raportach Rzecznika Finansowego nie znajduje się wzmianka o tym podmiocie

– treść strony internetowej tego podmiotu i umieszczone na niej informacje (treść często zawiera błędy językowe)

Pamiętajcie również, że:

– kryptowaluty nie są regulowane przepisami prawa

– nie są pieniędzmi – inwestycje w kryptowaluty nie są chronione przez Bankowy Fundusz Gwarancyjny

– inwestujecie na własne ryzyko

#PrzestępczośćTeleinformatyczna #PrzestępczośćKryptowalutowa #Kryptowaluty #AMWGdynia

https://ptxxi.amw.gdynia.pl

Prawo karne | Criminal Law

(4) Destruction of Information, Art. 268 of the Penal Code, from the series „35 Cybercrimes in Polish Criminal Law”

Judyta Kasperkiewicz

Destruction of Information, Art. 268 of the Penal Code, from the series „35 Cybercrimes in Polish Criminal Law”

Article 268 of the Criminal Code

§ 1. Whoever, without authorization, destroys, damages, deletes, or modifies the record of essential information, or otherwise prevents or significantly hinders an authorized person from accessing it, shall be subject to a fine, a restriction of liberty, or imprisonment for up to 2 years.

§ 2. If the act described in § 1 concerns information recorded on an IT data carrier, the perpetrator shall be subject to imprisonment for up to 3 years.

§ 3. Whoever, by committing the act defined in § 1 or 2, causes significant material damage, shall be subject to imprisonment from 3 months to 5 years.

§ 4. Prosecution of the offenses specified in § 1-3 shall occur upon the victim’s request.

Nature of the Crime of Information Destruction

The provision of Article 268 of the Criminal Code protects essential information, its integrity, access to it, and the interests of the person entitled to it. The crime of information destruction may be committed by anyone, provided they are not authorized to take the described actions.

This crime can be committed through the following actions mentioned as examples in the provision:

  1. Destruction of an essential information record
  2. Damage to an essential information record
  3. Deletion of an essential information record
  4. Modification of an essential information record
  5. Other actions that prevent or significantly hinder access to it

An essential piece of information can be recorded in various forms, such as:

  • Notes
  • Magnetic tapes
  • Discs
  • Photographs
  • Video camera recordings

If such essential information is recorded on a data carrier, the legal qualification from § 2 of Article 268 of the Criminal Code applies. The record may be deleted or destroyed physically or electronically.

The crime is most often committed when the perpetrator uses software to delete or destroy records, including (A. Adamski, Computer Crimes, p. 71):

  • Computer viruses
  • Worms
  • Logic bombs
  • Time bombs (a type of logic bomb)

The offense defined in § 1 carries a penalty of a fine, restriction of liberty, or imprisonment for up to 2 years. A more severe penalty applies in cases involving the qualified offenses specified in § 2 and 3. The crime is prosecuted only at the victim’s request.

II. Examples of Crimes Involving Information Destruction

Example 1

The defendant was charged with committing a crime under Article 268 § 1 and 2 of the Criminal Code. On August 3, 2015, in G., at the headquarters of the company (…) s.c. J. Ż., K. Ż., G. Ż., the defendant, acting intentionally and without authorization, used the system trash mechanism between 11:39:56 and 11:42:02 to delete at least 231 files containing essential information from two hard drives (SO Gliwice, VI Ka 1076/17).

Example 2

The District Court (…) sentenced the defendants on June 23, 2016, under case file VI K 727/15. The defendants were found guilty of, on April 15, 2015, in S., acting jointly and in concert, destroying an A. brand laptop worth PLN 1,000, causing harm to M. B. (1) to remove data recorded on the IT data carrier, qualifying the act under Article 268 § 2 of the Criminal Code.

Legal Issues

  1. Authorized Person
    An authorized person under this provision is often an individual working or performing tasks in state or local government bodies, legal entities, or organizational units without legal personality that process data in connection with their activities.
  2. Significance of Information
    The term „essential information” is subjective. Therefore, when analyzing a case, cultural and customary factors should be taken into account. The significance should be evaluated from the public’s perspective.

Legal status as of August 23, 2021

Bez kategorii

(4) Niszczenie informacji, destruction of information, art. 268 k.k. z cyklu „35 Cyberprzestępstw w polskim prawie karnym”

Judyta Kasperkiewicz


Niszczenie informacji, art. 268 Kodeksu Karnego

Art. 268 Kodeksu karnego § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.

§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 4. Ściganie przestępstwa określonego w § 1–3 następuje na wniosek pokrzywdzonego.

I. Na czym polega przestępstwo niszczenia informacji?

Przepis art. 268 Kodeksu karnego chroni istotną informację, jej integralność, dostęp do niej oraz interesy osoby nią dysponującej. Przestępstwo niszczenia informacji może popełnić każdy, kto nie jest do tego uprawniony.

Przestępstwo niszczenia informacji może polegać na:

  • Niszczeniu zapisu istotnej informacji,
  • Uszkodzeniu zapisu istotnej informacji,
  • Usuwaniu zapisu istotnej informacji,
  • Zmienianiu zapisu istotnej informacji,
  • Innych działaniach udaremniających lub znacznie utrudniających zapoznanie się z nią.

Istotna informacja może być zapisana w różnoraki sposób:

  • Jako notatka,
  • Na taśmie magnetofonowej,
  • Na płycie,
  • Na fotografii,
  • Jako nagranie na kamerze.

Jeśli taka istotna informacja jest zapisana na nośniku danych, zastosowanie znajdzie kwalifikacja prawna z § 2 art. 268 k.k. Zapis może zostać usunięty lub zniszczony zarówno fizycznie, jak i elektronicznie. Do popełnienia przestępstwa dochodzi najczęściej w sytuacji, gdy sprawca wykorzystuje do usunięcia lub zniszczenia zapisu program w postaci:

  • Wirusa komputerowego,
  • Robaka komputerowego,
  • „Bomby logicznej”,
  • „Bomby czasowej” (rodzaj bomby logicznej).

Czyn z § 1 jest zagrożony karą grzywny, karą ograniczenia wolności albo karą pozbawienia wolności do lat 2. Surowsza kara grozi w przypadku kwalifikowanych postaci czynów z § 2 i 3. Przestępstwo to jest ścigane wyłącznie na wniosek pokrzywdzonego.

II. Przykłady czynów polegających na niszczeniu informacji

Przykład nr 1:
Oskarżona stanęła pod zarzutem popełnienia przestępstwa z art. 268 § 1 i 2 k.k., polegającego na tym, że w dniu 3 sierpnia 2015 roku w G. w siedzibie firmy (…) s.c. J. Ż., K. Ż., G. Ż., nie będąc osobą uprawnioną, a także działając umyślnie i wykorzystując mechanizm kosza systemowego, w ustalonym czasie pomiędzy godziną 11:39:56 a 11:42:02, usunęła z informatycznych nośników danych w postaci dwóch dysków twardych S. istotne informacje w postaci co najmniej 231 plików (SO Gliwice, VI Ka 1076/17).

Przykład nr 2:
Sąd Rejonowy (…) wyrokiem z dnia 23 czerwca 2016 r., sygn. akt VI K 727/15, uznał oskarżone za winne tego, że w dniu 15 kwietnia 2015 r. w S., przy ul. (…), działając wspólnie i w porozumieniu, dokonały zniszczenia laptopa marki A. o wartości deklarowanej 1.000 zł na szkodę M. B. (1) w celu usunięcia zapisów na informatycznym nośniku danych, kwalifikując ten czyn z art. 268 § 2 k.k.

Problemy natury prawnej

1. Osoba uprawniona
Osobą uprawnioną do działań opisanych w tym przepisie jest najczęściej osoba fizyczna wykonująca pracę lub czynności w organach państwowych, organach samorządowych oraz osoby prawne i jednostki organizacyjne niemające osobowości prawnej, które przetwarzają dane w związku z prowadzoną działalnością.

2. Istotność informacji
Pojęcie istotnej informacji jest pojęciem ocennym, dlatego podczas analizy należy uwzględnić czynniki kulturowe i zwyczajowe. Istotność informacji powinna być oceniana z punktu widzenia ogółu.

Stan prawny na dzień: 23 sierpnia 2021 roku

Prawo karne | Criminal Law

(3) Illegal Eavesdropping and Violation of Communication Secrecy, known as Sniffing, Art. 267 § 3 of the Penal Code, from the series „35 Cybercrimes in Polish Criminal Law”

Judyta Kasperkiewicz

Unlawful Eavesdropping and Violation of Communication Confidentiality (Sniffing) – Article 267 § 3 of the Polish Penal Code

Legal Basis

Article 267 § 1 of the Polish Penal Code
Anyone who, without authorization, gains access to information not intended for them by opening a sealed letter, connecting to a telecommunications network, or bypassing electronic, magnetic, IT, or other special security measures is subject to a fine, restriction of liberty, or imprisonment for up to 2 years.

Article 267 § 2 of the Polish Penal Code
The same penalty applies to anyone who, without authorization, gains access to all or part of an IT system.

Article 267 § 3 of the Polish Penal Code
The same penalty applies to anyone who, in order to obtain information they are not entitled to, installs or uses an eavesdropping device, visual device, or any other device or software.

What Constitutes the Crime of Unlawful Use of an Eavesdropping Device?

Article 267 § 3 of the Polish Penal Code protects the confidentiality of information transmission. Punishable eavesdropping involves intercepting the content of information during communication or using eavesdropping, visual, or other technical devices or software to obtain information.

To hold an individual liable for eavesdropping, a crucial condition is the lack of entitlement to the obtained information. The confidential nature of the information is assessed based on the intent of the participants in the conversation rather than solely on the content of the message (Supreme Court ruling of February 27, 2016, OSNKW 2016, No. 8, item 540).

Forms of Committing the Offense

The offense can be committed through:

  • Installing eavesdropping devices – any actions involving the installation of devices designed to intercept information (W. Wróbel, Kodeks Karny, vol. II, 2007, p. 1293).
  • Using an eavesdropping, visual, or other device or software – involves utilizing such tools to obtain information. Examples of such devices include:
    • Camera
    • Tape recorder
    • Voice recorder
    • Microphone
    • Mobile phone
    • Computer
  • Using spyware, such as:
    • Trojan horse (trojan) – seemingly harmless software that enables a hacker to act against the user’s intent.
    • Spyware – software that transmits a user’s personal data, passwords, or credit card numbers to the person operating it.
    • Backdoor – software that allows a hacker to bypass security measures and access an operating system.
    • Keylogger – software that records keystrokes to capture passwords and other confidential data.

Criminal Liability

This offense is punishable by:

  • fine,
  • Restriction of liberty,
  • Imprisonment for up to 2 years.

This is a crime prosecuted only upon the victim’s request.

Examples of Unlawful Eavesdropping Acts

Installing an eavesdropping device in public or private places, such as:

  • At a restaurant table,
  • In a car,
  • In a hotel room,
  • In a conference room.

Unlawful location monitoring
Installing a tracking device in someone else’s vehicle to record their travel route and location constitutes a criminal offense under Article 267 § 3 of the Polish Penal Code.

Eavesdropping in Divorce Cases – Court Example

The accused, from late May 2019 for about two weeks in B., used spyware installed on her husband Z.F.’s work phone to obtain information she was not entitled to. Her goal was to detect marital infidelity and gather evidence for divorce proceedings. As a result, she unlawfully accessed information not intended for her, thereby acting to the detriment of Z.F. (District Court in Bełchatów, case no. II K 169/21).

Legal Issues

1. When Is Using an Eavesdropping Device Not a Crime?

A person does not commit an offense if they use an eavesdropping device to obtain information they are entitled to.

2. Can a Private Investigator Use Eavesdropping Devices?

A private investigator who uses eavesdropping without proper authorization bears the same criminal liability as any other person.

According to Article 45 of the Private Investigative Services Act, private investigators are prohibited from performing activities reserved for state authorities. They must adhere to ethical principles, loyalty to clients, and respect human rights (Article 6 of the Act).

Furthermore, under Article 7 of the Act, a private investigator cannot use technical measures, operational methods, or surveillance techniques reserved for law enforcement authorities.

3. Defamation in Private Conversations and Protection of Personal Rights

private, confidential conversation does not violate the dignity of a third party who is not involved in the discussion. As a result, such a third party has no right to record the conversation.

Recording a private conversation is illegal and constitutes a criminal and civil offense (P. Księżak, MOP, „Non-public Defamation and the Admissibility and Consequences of Recording and Filming Private Situations – Commentary on Ruling V CSK 361/13”).

Legal Status as of August 22, 2021

Cyberprzestępczość | Cybercrime, Prawo karne | Criminal Law

(3) Bezprawny podsłuch i naruszenie tajemnicy komunikacji, tzw. sniffing, art. 267 § 3 k.k. z cyklu „35 Cyberprzestępstw w Polskim Prawie Karnym”

Judyta Kasperkiewicz

Bezprawny podsłuch i naruszenie tajemnicy komunikacji, tzw. sniffing, art. 267 § 3 k.k.

Podstawy prawne

Art. 267 § 1 k.k.
Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Art. 267 § 2 k.k.
Tej samej karze podlega ten, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Art. 267 § 3 k.k.
Tej samej karze podlega ten, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

Na czym polega przestępstwo bezprawnego posługiwania się urządzeniem podsłuchowym?

Przepis art. 267 § 3 k.k. chroni poufność przekazu informacji. Karalne podsłuchiwanie polega na przechwytywaniu treści informacji podczas procesu komunikacji lub na wykorzystywaniu urządzeń podsłuchowych, wizualnych bądź innych narzędzi technicznych lub programów komputerowych do zdobycia informacji.

Aby można było przypisać sprawstwo osobie podsłuchującej, kluczowym warunkiem jest brak jej uprawnień do określonej informacji. Poufny charakter informacji ocenia się na podstawie woli osób biorących udział w rozmowie, a nie wyłącznie treści przekazu (SN z 27.02.2016 r., OSNKW 2016, Nr 8, poz. 540).

Formy popełnienia przestępstwa

Przestępstwo może być popełnione poprzez:

  1. Zakładanie urządzeń podsłuchowych – obejmuje wszelkie czynności polegające na instalowaniu urządzeń umożliwiających przechwycenie informacji (W. Wróbel, Kodeks Karny, t. II, 2007, s. 1293).
  2. Posługiwanie się urządzeniem podsłuchowym, wizualnym lub innym urządzeniem lub oprogramowaniem – polega na wykorzystywaniu takich narzędzi do zdobywania informacji.Przykłady urządzeń używanych do tego celu:
    • aparat fotograficzny,
    • magnetofon,
    • dyktafon,
    • mikrofon,
    • kamera,
    • telefon komórkowy,
    • komputer.
  3. Posługiwanie się oprogramowaniem szpiegującym, np.:
    • Koń trojański (trojan) – pozornie nieszkodliwy program, który umożliwia hakerowi wykonywanie działań wbrew intencji użytkownika.
    • Spyware – program przesyłający dane osobowe użytkownika, hasła lub numery kart płatniczych do osoby korzystającej z niego.
    • Backdoor – oprogramowanie pozwalające hakerowi ominąć zabezpieczenia i uzyskać dostęp do systemu operacyjnego.
    • Keylogger – narzędzie rejestrujące naciśnięcia klawiszy w celu przechwycenia haseł i innych poufnych danych.

Odpowiedzialność karna

Przestępstwo to zagrożone jest:

  • karą grzywny,
  • karą ograniczenia wolności,
  • karą pozbawienia wolności do lat 2.

Jest to przestępstwo ścigane na wniosek pokrzywdzonego.

Przykłady czynów polegających na bezprawnym podsłuchu

Zakładanie podsłuchu w miejscach publicznych lub prywatnych, np.:

  • przy stoliku w restauracji,
  • w samochodzie,
  • w pokoju hotelowym,
  • w sali narad.

Bezprawne monitorowanie lokalizacji osoby

Zainstalowanie w cudzym pojeździe urządzenia rejestrującego trasę jazdy i miejsce pobytu danej osoby jest czynem zabronionym na podstawie art. 267 § 3 k.k.

Podsłuch a rozwód – przykład sprawy sądowej

Oskarżona, od końca maja 2019 r. przez około dwa tygodnie w B., w celu uzyskania informacji, do której nie była uprawniona, posłużyła się aplikacją szpiegującą zainstalowaną na służbowym telefonie męża Z.F. Miała to na celu wykrycie zdrady małżeńskiej oraz zdobycie dowodów na potrzeby postępowania rozwodowego. W efekcie uzyskała bez uprawnienia dostęp do informacji dla niej nieprzeznaczonej, czym działała na szkodę Z.F. (SR Bełchatów, sygn. akt II K 169/21)

Problemy prawne

1. Kiedy posługiwanie się urządzeniem podsłuchowym nie jest przestępstwem?

Nie popełnia przestępstwa ten, kto korzysta z urządzenia podsłuchowego w celu uzyskania informacji, do której jest uprawniony.

2. Czy detektyw może stosować podsłuch?

Detektyw, który stosuje podsłuch bez odpowiednich uprawnień, ponosi taką samą odpowiedzialność karną jak każda inna osoba.

Zgodnie z art. 45 ustawy o usługach detektywistycznych, podczas świadczenia usług detektywistycznych zakazane jest wykonywanie czynności zastrzeżonych dla organów państwowych. Detektyw ma obowiązek działać zgodnie z etyką, lojalnością wobec klienta oraz z zachowaniem praw człowieka (art. 6 ustawy o usługach detektywistycznych).

Ponadto, zgodnie z art. 7 ww. ustawydetektyw nie może stosować środków technicznych oraz metod operacyjno-rozpoznawczych, które są zastrzeżone dla organów ścigania.

3. Znieważenie w prywatnej rozmowie a ochrona dóbr osobistych

Prywatna, poufna rozmowa nie może prowadzić do naruszenia godności osoby trzeciej, jeśli ta osoba nie brała w niej udziału. Wobec tego nie ma ona uprawnienia do jej nagrywania.

Dokonanie nagrania w takiej sytuacji jest nielegalne i narusza prawo zarówno w aspekcie karnym, jak i cywilnym. (P. Księżak, MOP, Niepubliczne naruszenie czci a dopuszczalność i skutki nagrywania i filmowania sytuacji prywatnych – glosa – V CSK 361/13)

Stan prawny na dzień: 22 sierpnia 2021 roku

Bez kategorii

(2) Unauthorized Access to All or Part of an Information System, Art. 267 § 2 of the Penal Code, from the series „35 Cybercrimes in Polish Criminal Law”

Judyta Kasperkiewicz

Unauthorized Access to an Entire or Partial IT System – Article 267 § 2 of the Penal Code (k.k.)

Legal Basis

Article 267 § 1 of the Penal Code
Whoever, without authorization, gains access to information not intended for them by opening a sealed letter, connecting to a telecommunications network, or bypassing or overcoming electronic, magnetic, IT, or other special security measures shall be subject to a fine, restriction of liberty, or imprisonment for up to 2 years.

Article 267 § 2 of the Penal Code
The same penalty applies to anyone who, without authorization, gains access to an entire or partial IT system.

What Constitutes the Crime of Unauthorized Access to an IT System?

If the perpetrator does not breach security measures but still gains access to an entire or partial IT system, their actions may be classified as an offense under Article 267 § 2 of the Penal Code.

The definition of an IT system is found in legal acts outside the Penal Code. According to Article 1(a) of the Act on the National Cybersecurity System, an IT system is „any device or group of interconnected or related devices, of which at least one, in accordance with a program, performs automatic data processing.”

Gaining access to an entire or partial IT system may result in access to protected data or merely to its configuration (J. Wasilewski, Crime, p. 172).

This offense is punishable by a fine, restriction of liberty, or imprisonment. It is prosecuted only upon the victim’s request.

Examples of Unauthorized Access to an IT System

Example 1

R.K. was accused of unlawfully accessing the IT system stored in the memory of a Samsung G. mobile phone, used exclusively by I.K., between February 1 and February 14, 2015, in an unspecified location. On February 1, 2015, in S., the perpetrator forcibly took the phone from the victim’s hand. Then, no later than February 3, 2015, they accessed stored photos and text messages. (Regional Court in Poznań, case no. IV Ka 5/18)

Example 2

A.Ś. was accused of unlawfully accessing an IT system by using file transfer software between October 2013 and April 2014 in J. and K. He accessed a database containing usernames and corresponding passwords stored in configuration files, thereby acting to the detriment of A.L.K. (Regional Court in Świdnica, case no. IV Ka 720/17)

Example 3

M.W. was accused of unlawfully accessing an email account on April 29, 2014, in W., by logging in from a company computer. After copying email correspondence, he disclosed it before the Regional Court during divorce proceedings. (Regional Court Warsaw-Praga, case no. VI Ka 1461/16)

Legal Issues

Is Gaining Unauthorized Access to an IT System as a Prank Punishable?

Yes. The perpetrator’s motivation is irrelevant—gaining access to an IT system “for fun” may still result in criminal liability. (J. Kosiński, Paradigms, p. 51)

Are Penetration Tests Punishable?

In the case of penetration testers (so-called ethical hackers), Article 269c of the Penal Code may apply, which exempts from liability actions aimed at securing an IT system. More on this topic in upcoming posts.

Legal status as of: August 21, 2021