12.500 zł grzywny za bezprawne logowanie się do systemu informatycznego i wykorzystanie cudzej tajemnicy przedsiębiorstwa

Zapraszam do zapoznania z bardzo ciekawą sprawą, w której były pracownik bezprawnie uzyskał dostęp do systemu informatycznego byłego pracodawcy, a następnie wykorzystał tajemnice przedsiębiorstwa, z którymi się w ten sposób zapoznał.

Sprawa jest interesująca przede wszystkim dlatego, że w bardzo prosty sposób pokazuje, jak działa odpowiedzialność karna za naruszenie tajemnicy przedsiębiorstwa.

Można wręcz powiedzieć, że jest to sprawa modelowa.

Ważne w niej jest również to, że w ten sam sposób, na tych samych zasadach, odpowiada karnie każda osoba, która bezprawnie wejdzie w posiadanie tajemnicy przedsiębiorstwa, a następnie ją wykorzysta. Ta sprawa akurat dotyczy byłego pracownika, ale równie dobrze mógł to być nowy pracodawca.

Wyrok jest interesujących na tylu płaszczyznach, że jeszcze kilka razy do niego wrócę. Tymczasem zamieszczam streszczenie. Mam nadzieję, że mi wybaczysz, że streszczenie jest dosyć obszerne.

Wyroki Sądu Rejonowego we Wrocławiu z dnia 14 sierpnia 2013 r., sygn. akt II K 87/12 (1 Ds. 2864/10) oraz Sądu Okręgowego we Wrocławiu z dnia 5 lutego 2014 r., sygn. akt IV Ka 1233/13, znajdziesz pod artykułem. Sąd Okręgowy w pełni podtrzymał wyrok sądu pierwszej instancji.

Krótkie podsumowanie sprawy

Były pracownik został skazany za to, że:

1) bez uprawnienia, posługując się loginem i hasłem do konta w systemie informatycznym byłego pracodawcy, przez Internet, za pomocą komputera uzyskał dostęp do systemu informatycznego byłego pracodawcy, to jest za popełnienie przestępstwa z art. 267 § 2 k.k., oraz

2) uzyskawszy bezprawnie między innymi informacje o cenach hurtowych, cenach zakupu, cenach minimalnych, strukturze zamówień, stanowiące tajemnicę przedsiębiorstwa byłego pracodawcy, wykorzystał je we własnej działalności gospodarczej, to jest za popełnienie przestępstwa z art. 23 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji.

Sąd wymierzył łączną karę grzywny w wysokości 250 stawek dziennych, ustalając wysokość jednej stawki dziennej na kwotę 50 złotych. Nie wysokość kary ma tutaj znaczenie. Liczy się sam fakt skazania.

Stan faktyczny

Pokrzywdzona spółka zajmowała się między innymi importem produktów sportowych oraz urządzeń optycznych, nieprofesjonalnego sprzętu w postaci lunet, mikroskopów i tym podobnych.

Oskarżony był założycielem tej spółki. Do marca 2010 r. pełnił w niej funkcję prezesa zarządu. Na skutek wewnętrznego konfliktu został zwolniony i zobowiązany do oddania laptopa. Jednocześnie informatyk zablokował mu dostęp do systemu informatycznego. Oskarżony sprzedał udziały w pokrzywdzonej spółce i w lipcu 2010 r. założył ze znajomym spółkę cywilną, która miała handlować sprzętem optycznym o podobnych parametrach, jak pokrzywdzona.

Z racji swoich obowiązków w pokrzywdzonej spółce oskarżony posiadał informacje dotyczące funkcjonowania przedsiębiorstwa, sprawowania nadzoru nad pracownikami, rodzaju oferowanych produktów. Znał również hasła dostępu do komputerów wielu pracowników.

Dostęp do systemu informatycznego, pozyskanie i analiza danych

Po założeniu własnej, konkurencyjnej działalności gospodarczej, w okresie od sierpnia do listopada 2010 r., oskarżony wielokrotnie logował się do bazy danych pokrzywdzonej spółki korzystając z loginu i hasła jednego z pracowników firmy, które zapamiętał.

Było to konto z bardzo szerokimi uprawnieniami. Miało dostęp do modułów: KLIENCI, ZAMÓWIENIA (lista zamówień każdego klienta, dostęp do tego modułu umożliwiał dostęp do zamówień w ogóle w systemie – np. statystyki sprzedaży), PRODUKT (w którym istnieje możliwość przeglądania stanów magazynowych danych produktów), SPRZEDAŻ (ceny zakupu, poziom rabatów, marży). Dzięki takiemu dostępowi można było generować raporty sprzedaży, zestawienia, analizy rentowności, raporty menadżerskie.

Poprzez to konto skopiował różne informacje, w tym o cenach hurtowych, cenach zakupu, cenach minimalnych, strukturze zamówień. Następnie wykorzystał te informacje w spółce cywilnej, w ramach której prowadził działalność gospodarczą.

Wśród ściągniętych plików znalazły się zestawienia dotyczące obrotów, dostępności, towarów, zamówień i logowań, całe obroty na Allegro za 2010 r, stany magazynowe w 2010 r. Stany magazynowe obejmowały zestawienia towarów, ceny detaliczne, hurtowe i minimalne, zestawiania wyników rocznych z rozbiciem na miesiące, dane o obrocie i wartości zamówień.

Oskarżony analizował stany magazynowe, ustalając poziom sprzedaży, dostawy do świąt, stan dyspozycyjny, dostawę oraz zestawiał je z własnymi danymi, które nazwał „nasza dostawa”. Szukał w ten sposób optymalnych poziomów zysków w swojej działalności gospodarczej.

Wyrok: Przestępstwo nieuprawnionego dostępu do systemu informatycznego, art. 267 § 2 k.k.

Zgodnie z przepisem art. 267 § 2 k.k., przestępstwo popełnia ten, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Więcej na ten temat możesz znaleźć w tym artykule.

Zdaniem sądu pierwszej instancji uzyskanie dostępu do systemu informatycznego niewątpliwie nastąpiło bez uprawnienia.

To, że oskarżony znał lub zapamiętał login i hasło do systemu oraz wszedł do systemu firmy nie będąc już jej pracownikiem, miało charakter nielegalny, a zatem naruszający prawo innego podmiotu do dysponowania informacją, czy też jej uzyskiwania.

Sąd zwrócił uwagę na to, że sformułowanie przepisu „uzyskanie dostępu do informacji” przesądza, że warunkiem dokonania tego przestępstwa nie jest dojście treści informacji do wiadomości sprawcy. Wystarczy samo uzyskanie dostępu do systemu informatycznego.

Możliwość popełnienia omawianego przestępstwa nie jest zastrzeżona wyłącznie dla hakerów i „profesjonalnych” cyberprzestępców.

Wykorzystanie tajemnicy przedsiębiorstwa

Pozyskanie informacji stanowiło dopiero pierwszy krok. Następnym krokiem było wykorzystanie bezprawnie uzyskanej informacji stanowiącej tajemnicę przedsiębiorstwa.

Zgodnie z przepisem art. art. 23 ust. 2 u.z.n.k., kto uzyskawszy bezprawnie informację stanowiącą tajemnicę przedsiębiorstwa, ujawnia ją innej osobie lub wykorzystuje we własnej działalności gospodarczej, popełnia przestępstwo.

Dla bytu tego przestępstwa konieczne jest:

1. bezprawne uzyskanie tajemnicy przedsiębiorstwa oraz
2. ujawnienie tej informacji innej osobie lub wykorzystanie jej we własnej działalności gospodarczej.

W omawianej sprawie oskarżony wykorzystał informacje, gdyż analizował stan magazynowy ustalając poziom sprzedaży, dostawy do świąt, stan dyspozycyjny, itp.

Sąd pierwszej instancji uznał, że wykorzystanie we własnej działalności gospodarczej informacji objętej tajemnicą przedsiębiorstwa to spożytkowanie tak kwalifikowanej informacji, które nie wiąże się z jej ujawnieniem. Chodzi zatem o każde nieuprawnione posłużenie się informacją, czynienie z niej użytku. Może to być nawet zdarzenie jednorazowe.

Wnioski

Ten wyrok dotyka tylu niezwykle ważnych kwestii dotyczących ochrony tajemnicy przedsiębiorstwa, że nie da się go krótko podsumować.

Jeżeli chodzi o przedsiębiorców, to uwidacznia konieczność stosowania procedur związanych z ochroną informacji.

Zwróć uwagę, że pracownik został zwolniony w marcu, a logowania miały miejsce do listopada. Oznacza to, że przez osiem miesięcy nie zmieniano hasła do konta, z którego korzystał były pracownik. Z obserwacji wiem, że nie jest to wyjątkowa sytuacja. Firmy, nawet jeżeli mają oficjalnie wdrożone zasady zmian haseł, to często ich nie przestrzegają.

Z punktu widzenia pracownika najważniejsze jest zapamiętanie, że po wygaśnięciu uprawnień dostępu do systemu informatycznego nie wolno się do niego logować, nawet jeżeli fizycznie konto jest dostępne przy wykorzystaniu dotychczasowego loginu i hasła.

Wyrok Sądu Rejonowego we Wrocławiu z dnia 14 sierpnia 2013 r., sygn. akt II K 87/12 (1 Ds. 2864/10)

Wyrok Sądu Okręgowego we Wrocławiu z dnia 5 lutego 2014 r., sygn. akt IV Ka 1233/13