
O niszczeniu baz danych…
Przestępstwo z art. 268a kodeksu karnego nazywane jest przestępstwem niszczenia baz danych. Ochronie podlega bezpieczeństwo danych informatycznych, na które składa się ich poufność, integralność i dostępność.
Art. 268a § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 268 k.k. chroni zapis informacji. Natomiast art. 268a k.k. odnosi się do danych informatycznych. Zgodnie z definicją zawartą w Konwencji o cyberprzestępczości „dane informatyczne to dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”.
Przyjmuje się, że ochronie podlegają jedynie dane informatyczne zapisane w formie elektronicznej.
Kim jest sprawca przestępstwa niszczenia baz danych i jak się zachowuje?
Niszczenie baz danych odbywa się poprzez działanie i może zostać dokonanie przez każdego, a przez zaniechanie jedynie w przypadku osoby, która odpowiada za bezpieczeństwo bazy danych.
Przestępstwo polega na zniszczeniu, uszkodzeniu, usunięciu, zmianie i utrudnieniu dostępu do danych informatycznych, zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych będącym następstwem działania sprawcy, niezależnym od samego działania lub zaniechania.
Nie dochodzi do popełnienia przestępstwa, jeśli doszło do uzupełnienia danych, które nie wpłynęło na ich sens np. dopisanie nieistotnej treści do kodu źródłowego. Samo uzyskanie dostępu do systemu bez uszkodzenia danych nie może spowodować przypisania omawianego przestępstwa. W takim przypadku przypisać można przestępstwo z art. 267 § 2 k.k.
Rozstrzygając o przypisaniu sprawstwa należy wziąć pod uwagę, czy działanie sprawcy wpłynęło w jakikolwiek sposób na procesy zachodzące w systemach informatycznych, czyli należy ocenić, czy stopień społecznej szkodliwości czynu jest wyższy niż znikomy.
Jaka kara grozi za niszczenie baz danych?
Za niszczenie baz danych z § 1 grozi kara pozbawienia wolności od 1 miesiąca do 3 lat. Natomiast w przypadku § 2 przewiduje się karę od 3 miesięcy do 5 lat pozbawienia wolności.
Przestępstwo ścigane jest na wniosek pokrzywdzonego.
Kiedy dochodzi do popełnienia przestępstwa z art. 268a, a kiedy z art. 268 kodeksu karnego?
W wielu przypadkach trzeba będzie wybrać, czy należy zastosować art. 268a czy art. 268. Jeśli zachowanie sprawcy dotyczyć będzie danych informatycznych, które będą miały cechy informacji należy zastosować art. 268 k.k., a w przypadku danych informatycznych właściwy będzie art. 268a k.k. (lex specialis).
Kiedy może dojść do wyrządzenia znacznej szkody majątkowej wskazanej w § 2 art. 268a k.k.?
Przestępstwo określone w art. 268a § 2 k.k. charakteryzuje skutek w postaci powstania znacznej szkody majątkowej. Wartość takiej szkody przekracza 200 000 zł (art. 115 § 5 k.k.).
Przykłady orzecznictwa dotyczącego przestępstwa niszczenia baz danych:
- „W dniu 25 września 2019 r. w miejscu dotychczas nieustalonym, a ujawnionym w L. woj. (…), poprzez wykorzystanie adresu email tj. (…) i hasła nadanego mu w trakcie zatrudnienia w firmie Centrum (…) z siedzibą w W. na ul. (…) z G. (…) należącej do G. P., nie będąc już w niej zatrudnionym, uzyskał bez uprawienia dostęp do internetowego profilu w serwisie (…) o nazwie „. (…).PL” należący do wymienionej firmy, a następnie usunął ww. profil wraz z znajdującymi sią tam danymi informatycznymi, czym działał na szkodę G. P., Centrum (…) z siedzibą w W., na ul. (…) z G. (…), tj. o czyn z art. 268a § 1 k.k. (wyrok Sądu Rejonowego w Legionowie z dn. 6.10.2020 r., sygn. akt II K 1222/19);
- „W okresie od września 2013 r. do 3 lutego 2015 r., prowadząc działalność gospodarczą pod nazwą (…) świadcząc usługi wdrożenia systemu księgowo – kadrowego C. (…) na rzecz firmy Przedsiębiorstwa Handlowo Produkcyjno-Usługowego (…) pomimo zerwania współpracy i wezwania do zwrotu haseł odmówił przekazania danych dostępowych do funkcji administratora systemu C. (…), ograniczając prawa użytkownika do legalnie zakupionego programu, co w istotnym stopniu zakłóciło automatyczne przetwarzanie danych w ten sposób, ze firma Przedsiębiorstwa Handlowo Produkcyjno-Usługowe (…) bez posiadania haseł administratora mogła korzystać jedynie z ww. programu w zakresie użytkowym, bez możliwości dokonywania zmian konfiguracyjnych/parametrycznych, właściwego reagowania na awarie, aktualizowania systemu, wykonania kopii zapasowych baz danych czym działał na szkodę ww. firmy powodując straty w kwocie nie mniej niż 50 000 zł, tj. o czyn z art. 268a § 1 k.k. w zw. z art. 12 k.k.” (wyrok Sądu Rejonowego w Kaliszu z dn. 31.08.2020 r., sygn.. akt II K 357/18).
Co o niszczeniu baz danych mówi Sąd Najwyższy?
W wyroku z dnia 30 września 2015 roku (II K 115/15) Sąd Najwyższy uznał, że:
„Przepis art. 268a k.k. penalizuje dwa rodzaje zakazanego zachowania się sprawcy. Pierwszym z nich jest niszczenie, uszkadzanie, usuwanie, zmiana oraz utrudnianie dostępu do wszystkich danych informatycznych. Drugi rodzaj zachowania godzi w proces prawidłowego automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych w stopniu istotnym. Zachowanie to może polegać na zakłócaniu lub uniemożliwianiu działania procesu. Pojęcie zaś zakłócenia automatycznego przetwarzania, przekazywania lub gromadzenia danych informatycznych obejmuje wszelkie czynności oddziałujące na te procesy, których skutkiem jest ich nieprawidłowy przebieg lub spowolnienie, a także zniekształcenie czy modyfikacja przetwarzanych, przekazywanych lub gromadzonych danych informacji. Uniemożliwienie natomiast oznacza zatrzymanie tych procesów lub niemożność ich podjęcia.
Dane informatyczne, o których mowa w przepisie art. 268a k.k. to zapis określonej informacji przechowywanej na dysku komputera lub na innym komputerowym nośniku informacji”.