790 004 448

info@ciso24.pl

Odpowiedzialność karna członków zarządu za wycieki danych – aktualny stan prawny

Wyobraź sobie poranek, który zaczyna się od wibracji telefonu. Dzwoni szef bezpieczeństwa lub dyrektor IT. Komunikat jest krótki: „Prezesie, nasza baza klientów krąży po dark webie”. W tym momencie w firmie uruchamia się stoper. Jednak w ciągu kilku minut oczy całej organizacji – a wkrótce także prokuratora i urzędników UODO – zwrócą się w jedną stronę: na zarząd. I nie chodzi tu tylko o decyzje kryzysowe, ale o odpowiedzialność osobistą, z kodeksem karnym w ręku.

W tym materiale przeprowadzimy Cię przez ryzyka karne związane z wyciekami danych.

Wyjaśnimy, po jakie przepisy realnie sięgają organy ścigania, kiedy menedżer odpowiada za „zaniechanie” i w jakich sytuacjach sankcje administracyjne PUODO nakładają się na postępowanie karne. Przeanalizujemy najnowsze orzecznictwo z lat 2023–2025 i pokażemy, jak ułożyć plan obrony w 72 godziny, by chronić nie tylko spółkę, ale i własną wolność. To moment, by zweryfikować procedury, zanim ten telefon zadzwoni także do Ciebie.

Kiedy paragrafy pukają do drzwi zarządu?

Wyciek danych w polskiej rzeczywistości prawnej przestał być wyłącznie problemem wizerunkowym czy technologicznym. To realne ryzyko odpowiedzialności karnej dla osób decyzyjnych. Prokuratura oraz Urząd Ochrony Danych Osobowych (UODO) coraz chętniej korzystają z przepisów Ustawy o ochronie danych osobowych z 2018 roku oraz Kodeksu karnego. Dzieje się tak zwłaszcza wtedy, gdy audyt po incydencie wykazuje brak należytego nadzoru, fikcyjne procedury albo świadome tolerowanie bałaganu w IT.

Jeżeli zarząd nie zapewnił skutecznej kontroli dostępu, nie wdrożył polityk bezpieczeństwa (a jedynie je podpisał) i ignorował alerty o zagrożeniach, prokurator może przypisać mu współodpowiedzialność za czyn zabroniony. Kluczowe jest wykazanie, że to właśnie decyzje (lub ich brak) na szczeblu kierowniczym stworzyły warunki do naruszenia.

Oto trzy główne „haki” prawne, które mogą dotyczyć zarządu:

  1. Nieuprawnione przetwarzanie danych (UODO 2018, np. art. 107): Grozi za to grzywna, a nawet pozbawienie wolności. Zarząd może odpowiadać z tego paragrafu, jeśli w firmie brakowało podstaw prawnych do przetwarzania, nie wdrożono procedur RODO lub tolerowano tzw. „shadow IT” (korzystanie z prywatnych narzędzi do celów służbowych bez kontroli).
  2. Ujawnienie danych osobom nieuprawnionym (UODO 2018, np. art. 108): Sankcje są podobne. Ryzyko dla zarządu rośnie drastycznie, jeśli w firmie nie było realnej kontroli dostępu, brakowało szyfrowania dysków i baz, lub zignorowano wyniki testów penetracyjnych, które wskazywały na dziury w systemie.
  3. Ujawnienie tajemnicy służbowej lub firmowej (Kodeks karny, np. art. 266): Ten przepis uderza w naruszenie obowiązku poufności. Jeśli w firmie panuje chaos w uprawnieniach, a pracownicy nie mają podpisanych umów o zachowaniu poufności (NDA), zarząd może mieć problem z obroną przed zarzutem niedopełnienia obowiązków.

Podział ryzyka w zależności od roli w zarządzie:

  • CEO (Prezes): Odpowiada za tzw. „tone from the top”. Jeśli systematycznie ucina budżet na cyberbezpieczeństwo i akceptuje ryzyko „bez osłon”, bierze konsekwencje na siebie.
  • Członek zarządu ds. IT/Bezpieczeństwa: Bezpośrednio nadzoruje infrastrukturę. Zaniedbane zarządzanie tożsamością (IAM), brak backupów czy monitoringu potrafią wrócić jak bumerang w postaci zarzutów o niedbalstwo.
  • Członek zarządu ds. Compliance: Odpowiada za zgodność z RODO. Jeśli polityki istnieją tylko „na papierze”, a realne ryzyka nie są naprawiane, łatwo o zarzut zaniechania.

Mechanika winy: Zaniechanie a decyzja

Odpowiedzialność karna członka zarządu nie rodzi się z samego faktu, że haker włamał się do firmy. Prokurator musi udowodnić winę, układając w całość kilka elementów. W centrum zainteresowania śledczych jest tzw. „obowiązek gwaranta”, realny podział kompetencji oraz przewidywalność ryzyka.

W praktyce sądowej liczy się nie to, co wpisano w regulaminie organizacyjnym, ale to, co faktycznie robiono. Czy wdrożyłeś procedury? Czy monitorowałeś ryzyko cyber? Co podpisałeś, a co zignorowałeś?

Schemat budowania odpowiedzialności za wyciek wygląda następująco:

  • Istnienie obowiązku gwaranta: Wynika z funkcji w zarządzie. Dokumenty spółki jasno mówią, kto miał trzymać rękę na pulsie.
  • Realna możliwość działania: Śledczy sprawdzą, czy mogłeś zareagować. Czy miałeś budżet? Czy miałeś zasoby ludzkie? Czy raporty o zagrożeniach trafiały na Twoje biurko?
  • Skutek i związek przyczynowy: Prokurator musi wykazać, że Twoje zaniechanie lub błędna decyzja zwiększyły prawdopodobieństwo wycieku danych.
  • Naruszenie reguł ostrożności: Tu pogrążają dowody takie jak: pominięte analizy ryzyka (DPIA), brak testów penetracyjnych, ignorowane alerty z systemów SIEM czy brak szkoleń dla personelu.
  • Postać winy: Może to być wina umyślna (świadome ryzyko) lub nieumyślna (niedbalstwo) – gdy ostrzeżeń było aż nadto, a zarząd nie podjął działań zapobiegawczych, mimo że mógł.

Spójrzmy na dwa scenariusze z życia:

Pierwszy dotyczy delegacji zadań na Inspektora Ochrony Danych (IOD). Często zarząd myśli: „mamy IOD, on za to odpowiada”. To błąd. IOD doradza, ale to zarząd nadzoruje. Jeśli zespół wdraża nowy system bez oceny skutków dla ochrony danych (DPIA), a zarząd nie wyegzekwował tej procedury, mamy do czynienia z czytelnym zaniechaniem po stronie kierownictwa.

Drugi przypadek to Członek zarządu ds. IT. Jeśli alerty z systemu bezpieczeństwa (SIEM) spływały tygodniami, audyt wskazywał brak uwierzytelniania dwuskładnikowego (MFA), a mimo to zarząd przyciął budżet i odłożył wdrożenie łatek – po incydencie łatwo udowodnić niedbalstwo. Ostrzeżenia były konkretne, mierzalne i zignorowane.

Dla prokuratora kluczowe będą trzy pytania do Ciebie: Czy wiedziałeś o zagrożeniach? Czy mogłeś im zapobiec (miałeś narzędzia i wpływ)? Co udokumentowałeś (decyzje, odmowy, plany)?

Podwójne uderzenie: PUODO i Prokurator

Wiele osób myli te dwa porządki. PUODO (Prezes Urzędu Ochrony Danych Osobowych) uderza w organizację. Nakłada administracyjne kary pieniężne i nakazuje naprawę procedur. Postępowanie karne idzie natomiast „po ludziach” – bada winę indywidualną członków zarządu i może skończyć się wyrokiem karnym.

Równoległe toczenie się obu postępowań jest nie tylko możliwe, ale coraz częstsze. Boli to podwójnie: firma płaci miliony kary administracyjnej, a prezes broni się przed zarzutami z art. 266 k.k. lub ustawy o ochronie danych.

Kiedy dochodzi do takiej kumulacji? Zazwyczaj gdy spełnione są cztery warunki:

  1. Naruszenie było zawinione (np. brak polityk, rażące zaniedbania).
  2. Doszło do ujawnienia danych i istotnej szkody (np. kradzież tożsamości klientów).
  3. Istnieją przesłanki z kodeksu karnego (np. naruszenie tajemnicy).
  4. Istnieje interes publiczny i mocne dowody (logi, maile, raporty biegłych) przeciwko konkretnej osobie.

Przykład? Jeśli pracownik wyśle e-mail do złego odbiorcy, ale firma szybko zareaguje i nie będzie szkody – skończy się pewnie na pouczeniu lub karze od PUODO. Ale jeśli zarząd przez miesiące ignorował ostrzeżenia o braku szyfrowania bazy, co doprowadziło do wycieku danych do dark webu – należy spodziewać się kary od PUODO, zawiadomienia prokuratury i realnego ryzyka zarzutów osobistych.

Czego uczy nas orzecznictwo z lat 2023–2025?

Analiza spraw sądowych i decyzji administracyjnych z ostatnich lat daje jasne wskazówki. Zarządy wygrywają lub przegrywają w oparciu o proste fakty i dokumenty.

W 2023 roku PUODO ukarało firmę wysoką karą i zawiadomiło organy ścigania. Powód? Brak oceny skutków (DPIA) i testów bezpieczeństwa przed wdrożeniem nowej, ryzykownej usługi. Wniosek dla zarządu jest brutalny: bez dowodu staranności w postaci dokumentów (DPIA, testy), nie masz linii obrony.

Z kolei w 2024 roku sąd oddalił zarzuty wobec zarządu w innej sprawie. Dlaczego? Kluczem była reaktywność. Firma wykazała szybką izolację incydentu, posiadała kompletną dokumentację i aktualne logi. Pełne ślady działań naprawczych realnie obniżyły ocenę ryzyka i winy.

W tym samym 2024 roku PUODO zajęło się sprawą luki bezpieczeństwa u dostawcy (podwykonawcy). Firma dostała karę, a w tle pojawił się wątek karny za zaniedbania nadzorcze. Lekcja? Due diligence dostawców i odpowiednie klauzule w umowach to tarcza, której nie wolno pominąć.

Rok 2025 przyniósł wyrok sądu, który utrzymał odpowiedzialność menedżerską za spóźnione zgłoszenie incydentu. Sąd wskazał na brak matrycy RACI (jasnego podziału kompetencji). Bez RACI łatwo przypisać odpowiedzialność każdemu z członków zarządu, bo „wszyscy odpowiadają za wszystko”.

Również w 2025 roku PUODO nałożyło dotkliwą karę za nieudokumentowane szkolenia i testy phishingowe robione „na słowo”. Urząd stwierdził wprost: procesowo istnieje tylko to, co jest w dokumentacji. Brak papierów to ryzyko pozwów i kar.

Wnioski praktyczne? Zarząd musi mieć w szufladzie teczkę „obrona w 60 minut”. Muszą się tam znaleźć: logi, rejestr incydentów, DPIA, matryca RACI i dowody weryfikacji dostawców.

Plan działania: Prewencja i 72 godziny wojny

Jeśli chcesz spać spokojnie, musisz ułożyć obronną układankę, zanim cokolwiek się wydarzy.

Faza 1: Prewencja (czas pokoju)

Działa to prosto – musisz mieć dowody, że zarządzasz firmą bezpiecznie.

  • Inwentaryzacja: Musisz wiedzieć, jakie dane masz, gdzie leżą i po co je trzymasz. ● Matryca RACI: Jasno spisz, kto decyduje (Accountable), kto wykonuje (Responsible), a kto jest tylko informowany. To chroni przed rozmyciem odpowiedzialności.
  • Testy i Tabletopy: Regularnie atakujcie własne systemy (pentesty) i symulujcie kryzysy decyzyjne przy stole (tabletop exercises).
  • Due Diligence Dostawców: Sprawdzaj podwykonawców, podpisuj umowy powierzenia danych (DPA) i kontroluj ich standardy.
  • Szkolenia Zarządu: Nie tylko dla pracowników. Zarząd musi szkolić się z ryzyk prawno-technicznych.
  • Budżet i KPI: Cyberbezpieczeństwo musi mieć budżet i mierzalne cele raportowane do rady nadzorczej.

Faza 2: Reakcja (72 godziny po wycieku)

Gdy mleko się rozleje, liczy się tempo i „czyste papiery”. Musisz zapewnić rozliczalność każdego kroku.

  1. Izolacja i Triage: Natychmiastowe odcięcie wektora ataku i ochrona systemów krytycznych.
  2. Sztab Kryzysowy: Powołanie zespołu (CTO, IOD, Prawnik, PR) z jasnymi rolami decyzyjnymi.
  3. Zabezpieczenie Dowodów: Logi i artefakty muszą być zabezpieczone tak, by nikt nie podważył ich integralności (hashowanie). Za to odpowiada CTO, termin to zazwyczaj kilka godzin.
  4. Ocena Ryzyka: Czy wyciek zagraża ludziom?
  5. Notyfikacje: Masz 72 godziny na zgłoszenie do PUODO (odpowiada IOD). Do tego ewentualne powiadomienie osób poszkodowanych.
  6. Komunikacja: Spójny przekaz do mediów i klientów.
  7. Decyzja o Prokuraturze: Jeśli podejrzewasz przestępstwo, musisz podjąć decyzję o zawiadomieniu organów ścigania.

Wszystko to musi być udokumentowane: protokoły posiedzeń sztabu, notatki z decyzji, uzasadnienia wydatków. To Twoja polisa ubezpieczeniowa na wypadek pytań prokuratora.

Najczęściej zadawane pytania (FAQ)

Czy odpowiedzialność karna może dotyczyć całego zarządu, jeśli błąd popełnił jeden członek?

Co do zasady, odpowiedzialność karna jest indywidualna – odpowiada ten, komu można przypisać winę i obowiązek. Jednak jeśli w firmie nie ma jasnego podziału kompetencji (brak RACI) lub nadzór był fikcyjny, odpowiedzialność może „rozlać się” na cały zarząd za brak reakcji lub tolerowanie nieprawidłowości.

Jakie dowody najczęściej ratują członka zarządu przed zarzutami?

Najskuteczniejszą tarczą są: udokumentowany podział ról (RACI), protokoły potwierdzające podejmowanie decyzji i sprawowanie nadzoru, wyniki analizy ryzyka (DPIA) i testów bezpieczeństwa, a także logi potwierdzające prawidłową reakcję na incydent. Ważne są też dowody na to, że zapewniłeś adekwatny budżet i szkolenia.

Czy „ucieczka do chmury” (zewnętrzny dostawca) zdejmuje ryzyko z zarządu?

Nie dzieje się to automatycznie. Zarząd wciąż musi wykazać, że dochował należytej staranności przy wyborze dostawcy (due diligence), podpisał odpowiednie umowy powierzenia i monitoruje realizację warunków SLA. Bez tego, wina za błędy dostawcy może spaść na zarząd firmy zlecającej.

Kiedy należy zawiadomić prokuraturę po wycieku?

Zawiadomienie składa się, gdy istnieją przesłanki popełnienia czynu zabronionego (np. z UODO lub Kodeksu karnego), naruszenie było zawinione, powstała istotna szkoda lub ryzyko dla osób, a wstępne dowody to uprawdopodobniają. To decyzja prawna, nie tylko techniczna.

Czy szkolenia dla zarządu mają znaczenie procesowe?

Tak, i to duże. Regularne, udokumentowane szkolenia zarządu z zakresu ryzyk i obowiązków są dowodem na to, że kierownictwo posiadało niezbędną wiedzę i dochowało należytej staranności, co utrudnia postawienie zarzutu