Więcej: MC jeszcze konsultuje projekt ustawy o ochronie danych osobowych>>

Krzysztof Sobczak: Dlaczego pani uważa, że w nowej ustawie o ochronie danych osobowych powinien być przepis dotyczący odpowiedzialności karnej za nielegalne przetwarzanie danych osobowych? Czy kary wynikające z unijnego rozporządzenia nie wystarczą?
Agnieszka Gryszczyńska:
Jako prokurator zajmuję się cyberprzestępczością i jestem kierownikiem jednego z nielicznych w Polsce działów do walki z cyberprzestępczością. W moim dziale prowadzone są postępowania dotyczące ataków DDos, ataków phishingowych, dystrybucji złośliwego oprogramowania - w tym złośliwych programów szyfrujących komputery w celu żądania  „okupu” za ich odszyfrowanie (tzw. ransomware) oraz podmieniających numery rachunków bankowych podczas wysyłania przelewów, a także postępowania dotyczące kradzieży baz danych osobowych czy nieuprawnionego dostępu do rejestru PESEL.
Pozyskanie przez przestępców dostępu do danych osobowych jest niezbędne do przygotowania większości cyberataków – zarówno jeśli chodzi o wysyłanie maili zawierających złośliwe oprogramowania, jak również jeśli chodzi o pranie pieniędzy pochodzących z przestępnej działalności. Na stronach internetowych w tzw. ukrytym internecie czyli w darknet dostępne są bazy danych osobowych zawierające numery PESEL, czy nawet skany dokumentów tożsamości. Kupić tam można również przejęte lub założone wcześniej przez innych przestępców konta bankowe. Z wykorzystaniem sprzedawanych przez przestępców danych możliwa jest kradzież tożsamości czy zakładanie rachunków bankowych na które trafiają pieniądze z oszustw. Tymczasem przygotowywany w związku z wejściem od 25 maja w życie unijnego rozporządzenia ogólnego o ochronie danych osobowych projekt ustawy o ochronie danych osobowych nie zawiera niezbędnych przepisów karnych. W efekcie wszystkie postępowania karne prowadzone na podstawie dotychczasowej ustawy o ochronie danych osobowych trzeba będzie umorzyć w związku z depenalizacją. A do tego samo publikowanie czy sprzedawanie baz danych osobowych, na przykład w internecie, nie tylko nie będzie penalizowane, ale nie będzie też mechanizmów prawnych do ścigania i ukarania sprawców takich czynów. Bo przecież kary administracyjnej, przewidzianej przez unijne rozporządzenie, na nich nie nałożymy. Zresztą w postępowaniu administracyjnym nie ma żadnych metod i środków do ustalania sprawców takich czynów.

Ale jeśli nie będzie takich przepisów w nowej ustawie o ochronie danych to do ścigania sprawców naruszeń prawa z tej dziedziny nie można będzie wykorzystywać po prostu kodeksu karnego?
Owszem kodeks karny przewiduje karę za nielegalne uzyskanie dostępu do informacji (tzw. hacking), ale nie ma w nim mowy o sankcjach za nielegalne przetwarzanie czy posiadanie danych. Jeśli na przykład ktoś włamał się do bazy i skopiował dane, a następnie sprzedał to komuś innemu, to nabywca będzie mógł je mieć i dopóki nie naruszy prawa karnego używając danych – np. nie dokona oszustwa internetowego, nie będzie można mu nic zrobić.
Na marginesie dodam, że należałoby się pochylić również nad kompleksową karną regulacją tzw. przestępstw przeciwko ochronie informacji. Bardzo niskie zagrożenie karne nie działa bowiem odstraszająco dla cyberprzestępców. Dla przykładu – jeśli ktoś włamuje się do piwnicy i kradnie słoik ogórków podlega karze za kradzież z włamaniem zagrożony karą od roku do lat 10, jeśli włamie się do systemu teleinformatycznego i ukradnie dane osobowe dwóch milionów osób, podlega karze pozbawienia wolności do lat dwóch.

Czy przepisy karne powinny się znaleźć w nowej ustawie?
Tak, w ustawie którą przygotowuje Ministerstwo Cyfryzacji, powinny znaleźć się przepisy karne. Aktualnie w projekcie jest tylko jeden przepis karny, dotyczący danych sensytywnych. Analogiczny przepis zawiera obowiązująca ustawa o ochronie danych osobowych, jednak w projekcie obniżono jeszcze zagrożenie karą z 3 lat do 1 roku pozbawienia wolności, więc on raczej nikogo specjalnie nie przestraszy. Ja rozumiem, że w unijnym rozporządzeniu są bardzo wysokie kary finansowe za naruszanie zasad ochrony danych osobowych, ale przecież te kary mają dotyczyć zasadniczo administratorów. Ponadto mają być nakładane w postępowaniu administracyjnym, w którym bardzo ograniczone są możliwości dokonania ustaleń co do osoby naruszającej prawo.
Co więcej RODO wprost wskazuje, że państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie rozporządzenia, zaś sankcje karne mogą również obejmować pozbawienie zysków wynikających z naruszenia niniejszego rozporządzenia.
Nie jest też tak, że przepisy karne w ustawie o ochronie danych osobowych są niepotrzebne ponieważ w Polsce jest mało wyroków skazujących na bezwzględne kary pozbawienia wolności. Postępowania karne są prowadzone, zapadają wyroki skazujące, jednak z uwagi na niskie lub bardzo niskie zagrożenie karą zwykle orzekane są kary grzywny, ograniczenia wolności lub pozbawienia wolności ale z warunkowym zawieszeniem jej wykonania na okres próby.


Czyli w nowej ustawie powinny pojawić się przepisy odnoszące się do takich sytuacji, kiedy to konkretna osoba naruszyła prawo o ochronie danych osobowych?
Tak, chodzi zwłaszcza o takie przypadki, gdy ktoś wszedł nielegalnie w posiadanie takich danych i je przetwarza, w tym udostępnia je innym osobom. Kilka dni temu portale informacyjne opisywały kolejny przypadek kampanii w której cyberprzestępca podszywa się pod adwokatów i rozsyła wiadomości zawierające oprogramowanie szyfrujące, które blokuje dane użytkowników. Teraz, jeśli zostanie ustalony i zatrzymany można mu postawić dodatkowy zarzut z ustawy o ochronie danych osobowych, co jest nawet łatwiejsze do zastosowania niż zarzut o hacking z kodeksu karnego. A to dlatego, że przepisy z ustawy o ochronie danych osobowych nie wymagają wniosku o ściganie. W przypadku hackingu potrzebny jest wniosek o ściganie od osoby pokrzywdzonej i trzeba pokrzywdzonych ustalić. Po zmianie przepisów przestanie być karane całe przedpole przestępstwa hackigu i innych przestępstw gdzie najpierw pozyskuje się dane osobowe by następnie z ich wykorzystaniem popełnić przestępstwo. Osoba odpowiedzialna za rozsyłanie wirusów skądś ten dane uzyskała, może je gdzieś kupiła, może nielegalnie zgromadziła. Według dotychczasowej ustawy już sam fakt nielegalnego zgromadzenia danych osobowych byłby podstawą do zarzutu. A jak ta ustawa przestanie obowiązywać, to nie będzie karalne. I jeśli teraz posiadacz takich danych wysyła do tysięcy ludzi wiadomość ze złośliwym załącznikiem i część z nich się „zaszyfruje”, to będzie mógł ponieść karę za tzw. oszustwo internetowe, ale za samo przetwarzanie tych danych już nie. Podobnie, w większości wypadków nie można będzie ukarać tego, kto mu te dane dostarczył lub sprzedał, ponieważ taka osoba zwykle nie zna celu w jakim dane te zostaną wykorzystane przez nabywcę więc trudno będzie udowodnić, że odpowiada za pomocnictwo do czynu głównego.
Możliwe na bazie unijnego rozporządzenia postępowanie administracyjne nie będzie tu skuteczne, ponieważ organy administracyjne, nie prowadzą tak jak policja czynności operacyjnych. Organ administracyjny nie zwróci się do operatorów, nie przesłucha świadków, nie wystąpi z wnioskiem o międzynarodową pomoc prawną by ustalić, kto te dane najpierw pobrał i potem sprofilował pod kątem projektowanego przestępstwa. Zgodnie z medialnymi informacjami w ostatniej kampanii phishingowej podszywania się pod jednego z adwokatów wykorzystywane były dane osób, które w nieodległym czasie miały różnego rodzaju postępowania, w tym z udziałem adwokatów, a więc mogły mieć większą skłonność do otworzenia złośliwego załącznika. We wcześniejszych dużych atakach phishingowych maile zawierały imiona i nazwiska osób atakowanych. To już był phishing ukierunkowany, niemożliwy do przeprowadzenia bez wcześniejszego zgromadzenia niezbędnych informacji.

W takich przypadkach będzie brakowało przepisów karnych w nowej ustawie o ochronie danych osobowych?
Tak, całe przedpole do tego typu cyberprzestępstw, których jest coraz więcej i na których coraz więcej przestępcy zarabiają, będzie bezkarne. Dla przykładu – obrót dostępnymi w darknecie bazami danych, które można wykorzystać do założenia rachunku bankowego lub zaciągnięcia kredytu. Takie działanie teraz będzie bezkarne aż do momentu, gdy ktoś takie dane wykorzysta i dokona np. oszustwa.

Jeżeli więc choćby na jeden dzień przepisy karne z ustawy o ochronie danych osobowych przestaną obowiązywać, to wszystkie postępowania karne prowadzone na ich podstawie trzeba będzie umorzyć. Wprowadzenie skutecznych, proporcjonalnych i odstraszających sankcji karnych jest potrzebne. Korzystne byłyby również bardziej kompleksowe zmiany ułatwiające ściganie cyberprzestępczości. Mogę zaryzykować tezę, że w związku z dynamicznym wzrostem cyberprzestępczości przepisy karne chroniące dane osobowe stają się coraz istotniejsze i o ile nie nastąpi depenalizacja, organy ścigania będą z nich coraz częściej korzystać.