+48 884 174 734 | Pon – Pt 9:00 -17:00
info@legaleagles.pl

Odpowiedzialność prawna w kontekście cyberbezpieczeństwa

Odpowiedzialność prawna w kontekście cyberbezpieczeństwa

ZESTAWIENIE NAJWAŻNIEJSZYCH ARTYKUŁÓW

Zgodnie z treścią art. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[1], cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Na uwagę zasługuje również prawidłowe rozumienie zarówno samego pojęcia incydentu oraz jego podział. Tym samym jako incydent zgodnie z wyżej wskazaną ustawą należy rozumieć zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Wyróżnić można trzy typy incydentów:

Incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;

Incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;

Incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej.

Na marginesie można również rozwinąć pojęcie incydentu w podmiocie publicznym. Jest to incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.

W kontekście omawianego zagadnienia istotnym elementem jest odpowiedzialność zarządu na podstawie przepisów prawa cywilnego i przepisów prawa handlowego. W szczególności należy zwrócić uwagę na poniższe artykuły.

Zgodnie z treścią art. 474 Kodeksu cywilnego[2] Dłużnik odpowiedzialny jest jak za własne działanie lub zaniechanie za działania i zaniechania osób, z których pomocą zobowiązanie wykonywa, jak również osób, którym wykonanie zobowiązania powierza. Przepis powyższy stosuje się także w wypadku, gdy zobowiązanie wykonywa przedstawiciel ustawowy dłużnika.

Natomiast na podstawie art. 293 § 1 Kodeksu spółek handlowych (dalej ksh)[3] Członek zarządu, rady nadzorczej, komisji rewizyjnej oraz likwidator odpowiada wobec spółki za szkodę wyrządzoną działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami umowy spółki, chyba że nie ponosi winy.

Idąc dalej na podstawie art. 299 § 1 ksh Jeżeli egzekucja przeciwko spółce okaże się bezskuteczna, członkowie zarządu odpowiadają solidarnie za jej zobowiązania.

Na uwagę zasługują również obowiązki administratora w świetle przepisów RODO[4] co w szczególności obejmuje odpowiedzialność za niewłaściwą ochronę danych osobowych. By jednak w sposób prawidłowy zrozumieć do kogo są skierowane na wstępie należy odnieść się do podstawowych definicji z RODO. I tak zgodnie z art. 4 RODO:

administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania,

podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora,

Najważniejsze zasady dotyczące przetwarzania danych osobowych są natomiast zawarte w art. 5 RODO. Zgodnie z nim dane osobowe muszą być w szczególności:

  1. a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (“zgodność z prawem, rzetelność i przejrzystość”),
  2. b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
  3. c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (“minimalizacja danych”),
  4. d) prawidłowe i w razie potrzeby uaktualniane, należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (“prawidłowość”),
  5. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
  6. f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (“integralność i poufność”).

Obowiązki administratora zostały przedstawione w treści art. 24 RODO, zgodnie z którym uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Do bezpieczeństwa przetwarzania odnosi się natomiast art. 32 RODO zgodnie, z którym uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  1. a) pseudonimizację i szyfrowanie danych osobowych;
  2. b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  5. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Na uwagę zasługuje także dalsza część tego artykułu, zgodnie z którą administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

            Idąc dalej ocena skutków dla ochrony danych została zawarta art. 35 RODO, w którym wskazano, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Zgodnie z treścią art. 83 RODO dotyczącego ogólnych warunków nakładania kar pieniężnych należy podkreślić, że naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Kolejnym ważnym zagadnieniem jest odpowiedzialność karna, która jest związana z cyberbezpieczeństwem. Jako pierwszą podstawę do odpowiedzialności karnej należy wskazać art. 296 Kodeksu karnego[5] (dalej kk) tj. Wyrządzenie szkody w obrocie gospodarczym, zgodnie z którym kto, będąc obowiązany na podstawie przepisu ustawy, decyzji właściwego organu lub umowy do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej, przez nadużycie udzielonych mu uprawnień lub niedopełnienie ciążącego na nim obowiązku, wyrządza jej znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Na uwagę zasługuje także art. 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa tj. obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zgodnie z którym operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. A także art. 11 tej ustawy tj. obowiązek obsługi incydentów, zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego, który także odnosi się do operatora usługi kluczowej.

Podsumowując, cyberbezpieczeństwo wiąże się z szerokim zakresem odpowiedzialności prawnej, obejmującym zarówno ochronę danych osobowych, zarządzanie bezpieczeństwem systemów informatycznych, jak i odpowiedzialność cywilną, handlową oraz karną w przypadku zaniedbań skutkujących szkodą finansową lub naruszeniem bezpieczeństwa danych.

Bibliografia:

Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2024 r. poz. 1061 ze zm.).

– Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 2024 r. poz. 17 ze zm.).

– Ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. z 2024 r. poz. 18 ze zm.).

Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

– Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2024 r. poz. 1077 ze zm.).

[1] (Dz.U. z 2024 r. poz. 1077 ze zm.).

[2] Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2024 r. poz. 1061 ze zm.).

[3] Ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. z 2024 r. poz. 18 ze zm.).

[4] Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[5] Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 2024 r. poz. 17 ze zm.).

Umów się na konsultację

Umów
Facebook Linkedin Instagram
bezpieczne-porady-prawne-online-kontakt
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.