Portal Orzeczeń Sądu Okręgowego w Łodzi

UZASADNIENIE

W. K. został oskarżony o to, że w okresie od miesiąca października 2011r. do czerwca 2014r. w Ł., działając nieumyślnie, jako współwłaściciel firmy (...) W. K., (...) s.c., będąc obowiązanym do ochrony danych osobowych klientów ww. firmy w tym danych osobowych klientki A. G., umożliwił dostęp do tych danych osobom nieupoważnionym w ten sposób, że nie dopilnował właściwego i pełnego zabezpieczenia systemu komputerowego, do którego to systemu dane te były wprowadzone, co spowodowało, iż dane te stały się dostępne dla użytkowników internetu;

tj. o czyn z art 51 ust. 1 w zw. z art. 51 ust. 2 ustawy o ochronie danych osobowych

Wyrokiem z dnia 3 marca 2016 roku Sąd Rejonowy dla Łodzi Śródmieścia w Łodzi uniewinnił oskarżonego od dokonania zarzucanego mu czynu, koszty sądowe przejmując na rachunek Skarbu Państwa.

Apelację od powyższego wyroku wniósł prokurator. Zaskarżył powyższy wyrok w całości na niekorzyść oskarżonego W. K..

Wyrokowi temu zarzucił błąd w ustaleniach faktycznych przyjętych za podstawę orzeczenia , mający wpływ na jego treść a polegający na przydaniu waloru wiarygodności wyjaśnieniom podejrzanego , że nie miał świadomości, iż pozostawienie konta (...) pozwoli na swobodny dostęp do danych klientów firmy oskarżonego, innym nieuprawnionym osobom, podczas gdy w rzeczywistości analiza zebranych wszystkich dowodów w sprawie w tym zeznań informatyka zakładającego system i opinii kryminalistycznej prowadzi do wniosku przeciwnego.

W konkluzji apelacji prokurator wniósł o uchylenie zaskarżonego wyroku i przekazania sprawy Sądowi I instancji do ponownego rozpoznania.

Apelację od powyższego wyroku wniosła również pełnomocnik oskarżycielki posiłkowej A. G.. Zaskarżył on wyrok w całości.

Zaskarżonemu wyrokowi zarzucił błąd w ustaleniach faktycznych przyjętych za podstawę orzeczenia polegający na przyjęciu, iż wyjaśnienia oskarżonego oraz podjęte przez niego kroki w celu zabezpieczenia istniejącego systemu komputerowego w prowadzonej przez oskarżonego firmie były właściwe, w sytuacji w której dowody przeprowadzone w sprawie w postaci zeznań informatyka oraz opinii biegłego świadczą o tym, iż to oskarżony nie dopilnował właściwego i pełnego zabezpieczenia systemu komputerowego do którego oskarżony był zobowiązany.

W konkluzji apelacji pełnomocnik oskarżycielki posiłkowej wniósł o uchylenie przedmiotowego wyroku i przekazanie sprawy do ponownego rozpatrzenia przez Sąd I instancji.

Sąd Okręgowy zważył co następuje :

Apelacje oskarżyciela publicznego i pełnomocnika oskarżycielki posiłkowej okazały się zasadne. Zaskarżony wyrok zapadł z obrazą przepisów postępowania mającą wpływ na jego treść, która skutkuje koniecznością jego uchylenia.

Podstawowym uchybienie wystąpiło już na etapie gromadzenia materiału dowodowego poprzez obrazę art. 366 §1 k.p.k. Nakładają one na sąd rozpoznający sprawę obowiązek wyjaśnienia wszystkich istotnych okoliczności sprawy na podstawie zaoferowanych przez strony lub dopuszczonych z urzędu dowodów. Ocena naruszenia ustanowionych w nim nakazów dokonywana jest przez pryzmat realizacji zasady prawdy materialnej, a więc poprzez ocenę dokonanych ustaleń faktycznych.

Przede wszystkim porównanie pisemnych motywów rozstrzygnięcia z zawartością materiału dowodowego prowadzić musi do wniosku, że został on zebrany i oceniony pobieżnie i to w kilku zasadniczych elementach składających się na stan faktyczny sprawy.

Istotą oceny zasadności zarzutu stawianego oskarżonemu w niniejszej sprawie, ze względu na skonstruowanie znamion zarzucanego przestępstwa i opis czynu, stanowić musi odniesienie obowiązków, jakie oskarżony nieumyślnie miał naruszyć by doprowadzić do udostępnienia danych osobowych, do czynionych pod tym kątem ustaleń faktycznych.

Nie można odmówić słuszności argumentów skarżących, tak dotyczących zasadności wniosków ale i podstawy owego wnioskowania mającej swoje źródło w poczynionych ustaleniach.

Jest oczywistym i nie wymaga głębszego uzasadnienia, iż dla uznania, iż określone działanie osoby oskarżonej wyczerpuje znamiona przestępstwa, koniecznym jest dokonanie wszechstronnych ustaleń faktycznych, odnoszących się do znamion określonego typu przestępstwa, przy czym w sposób kompletny, tj. kompletu znamion tak podmiotowych jak i przedmiotowych, w tym skutku o ile objęty jest dyspozycją przepisu prawa materialnego.

Skoro według treści zarzutu oskarżony miał nie dopilnować właściwego i pełnego zabezpieczenia systemu komputerowego doprowadzając do opisanego skutku, to przede wszystkim niezbędnym było określenie zarzucalnego progu owego zaniechania z punktu widzenia ciążących na oskarżonym obowiązków i analiza zachowania oskarżonego pod tym kątem.

Wymagało to jednak, oprócz ustalenia powyższej okoliczności, także poczynienia należytych i odpowiadających temu ustaleń.

W sprawie niniejszej zabrakło wyjaśnienia obydwu wskazanych elementów. Stąd też należy stwierdzić, że pierwotne niedomagania przynależą do sfery ustaleń i braku należytego dążenia do wyjaśnienia wszystkich okoliczności sprawy i to one nie pozostają bez wpływu na treść wydanego rozstrzygnięcia w stopniu prowadzącym do stwierdzenia konieczności uchylenia poddanego kontroli odwoławczej wyroku i przekazania sprawy sądowi I instancji do ponownego rozpoznania.

Sąd rejonowy w pisemnych motywach wyroku przedstawił wywód dotyczący prawidłowego wzorca „postępowania z określonymi dobrami prawnymi” wskazując jako jego wyznaczniki odpowiednią wiedzę i doświadczenie. Następnie odwołując się do różnorodnej natury reguł ostrożności skonkludował, że mają one charakter obiektywny tj. znajdują zastosowanie bez względu na indywidualne właściwości działającego podmiotu.

Rzecz jednak w tym, że owe rozważania mają charakter teoretyczny, pozostają w zupełnym oderwaniu od realiów niniejszej sprawy i jako takie w gruncie rzeczy niczego nie wyjaśniają. Dodatkowo wplątane zostały w zupełnie różne konstatacje odnośnie podjętych przez oskarżonego działań. Z jednej strony bowiem sąd rejonowy uznał, że oskarżony zatrudnił wykwalifikowaną osobę M. S., który miał dokonać „odpowiedniego zabezpieczenia serwera” i tym samym chronić te dane przed nieuprawnionym przetwarzaniem. Z drugiej zaś i zaraz potem, że zlecił on „konfigurację urządzeń” w jego przedsiębiorstwie podmiotowi fachowemu, zatem zachował się adekwatnie od ciążących na nim z mocy ustawy obowiązków.

Z powyższych różnych stwierdzeń nie wynika co właściwie sąd rejonowy ustalił. Nadto pozostają one w sprzeczności ze sobą i materiałem dowodowym.

Otóż w z zeznań M. S. złożonych w toku dochodzenia (k. 16 o) wynika, że serwer został zakupiony i skonfigurowany w siedzibie firmy. Na trzecim koncie (...) nie było zabezpieczającego go hasła. Jeżeli firma cichłaby rozpowszechniać znajdujące się na nim dane to na serwerze winien znajdować się odpowiedni plik z zaproszeniem do pobierania informacji. Takiego piku nie było. Na rozprawie zaś M. S. zeznał (k. 81o) że konfigurował urządzenie – czyli serwer NAS oraz całą sieć informatyczną w firmie oskarżonego. Następnie, że dwa katalogi były zabezpieczone hasłami a trzeci (...) był przeznaczony do podłączenia pod stronę (...). Jeżeli jakieś dane znalazły się na koncie (...) to mogło dojść do pobrania tych danych przez roboty (...). Także kogoś z zewnątrz pod warunkiem posiadania IP stałego oraz nazwy użytkownika.

Analizując treść owych zeznań nie sposób dociec z jakiej ich części sąd rejonowy wywiódł ustalenie, że M. S. dokonał wzmiankowanego „odpowiedniego zabezpieczenia serwera”. Przeciwnie, w odniesieniu do opinii powołanego w sprawie biegłego P. P., że konto anonimowe pozostawało niezabezpieczone i każda osoba mogła uzyskać do niego dostęp, a jeżeli konfiguracja konta została pozostawiona w domyślnych ustawieniach tj. nie zostało ono po konfiguracji wyłączone oraz nie zostało zmienione jej hasło to roboty indeksujące (...) miały do niego dostęp (k. 107 o), zeznania świadka nie pozwalają na ustalenie zainstalowania w systemie sposobu zabezpieczeń.

Ponadto należałoby te zeznania co najmniej skonfrontować z podręcznikiem użytkownika urządzenia, w którym wyraźnie zawarta została informacja, że do domyślnie utworzonego konta użytkownika anonimowego dostęp posiadają wszyscy użytkownicy T. Nas (k. 94o), pozwala ono na dostęp do zasobów bez podawania użytkownika i hasła, a z powodów bezpieczeństwa sugerowane jest użycie hasła (k. 97).

Przede wszystkim jednak sąd rejonowy nie dążył zupełnie do wyjaśnienia okoliczności o absolutnie podstawowym znaczeniu. Tj. jakiego rodzaju uzgodnienia łączyły dokonującego „skonfigurowania” systemu świadka z oskarżonym. Czy w ogóle wchodziło w ten zakres wprowadzenie pełnego zabezpieczenia danych, czy też świadek dowolnie i według swojego uznania wprowadził hasłowe zabezpieczenia dwóch z trzech kont. Jaki był stan wiedzy oskarżonego co do zabezpieczenia danych. Czy oskarżony wykazywał tą kwestią zainteresowanie i czy świadek oskarżonemu informacje w tym przedmiocie przekazywał. A także wobec wyjaśnień oskarżonego – i właściwie jednej tylko podanej w nich okoliczności, że nie ma żadnych umiejętności informatycznych, jakimi referencjami świadek się wykazywał.

W sposób oczywisty dla stworzenia możliwości oceny postępowania oskarżonego w kontekście zarzutu nie dopilnowania zabezpieczenia systemu komputerowego, wyjaśnienie wskazanych okoliczności ma znaczenie kluczowe, a z niewiadomych powodów sąd rejonowy zupełnie tego zaniechał.

Po wtóre skoro już sąd rejonowy, aczkolwiek zupełnie mimochodem dostrzegł jednak, że na oskarżonym ciążyły obowiązki wynikające z ustawy (k. 134 o), to winien także przynajmniej określić ich wagę i zakres. Pominął natomiast całkowicie źródło, które je wyznacza.

Otóż z art. 26 ust. 1 pkt 1 i 3 ustawy o ochronie danych osobowych wynika, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem i zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Natomiast z art 36 ust. 1 że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Wyraźnie zatem ustawodawca przydał administratorowi danych obowiązek kwalifikujący, poprzez powinność dołożenia nie zwykłej, a szczególnej staranności przy przetwarzaniu danych w celu ochrony interesów osób, których dane dotyczą i to poprzez stworzenie odpowiedniego zabezpieczenia.

Rygorowi temu podlega także proces przechowywania dokumentów zawierających dane osobowe. Niezbędnym jest wdrożenie takiego rodzaju systemu zabezpieczania danych i kontroli tego procesu, który do minimum ograniczy możliwość wystąpienia nieprawidłowości w zakresie przetwarzania danych osobowych. Administrator musi mieć pełną kontrolę nad procesem przetwarzania danych, tak aby zapobiec powstawaniu zdarzeń narażających dane na udostępnienie osobom nieupoważnionym. Musi też mieć pełną wiedzę na temat całości procesu (analogicznie decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 czerwca 2013 r. (...)/ (...)).

W kontekście powyższego należałoby zakładać, że oskarżony winien mieć co najmniej świadomość ostrzeżenia (wskazanego wyżej) wynikającego z instrukcji obsługi urządzenia. Niezależnie od tego zaś, że oskarżony nie posiadał specjalistycznej wiedzy informatycznej, z natury wykonywanych w firmie czynności i podziału ról, musiał znać się na obsłudze systemu i wiedzieć o ulokowanych zabezpieczeniach kont. Przyjmowanie zaś, że oskarżony był w tej dziedzinie całkowitym dyletantem byłoby wprost nielogiczne, skoro nie strcite techniczną - budowlaną, tylko stroną logistyczną działalności przedsiębiorstwa się zajmował.

Na tym gruncie teoretyczne rozważania sądu rejonowego z wykazaną w konkluzji adekwatnością zachowania oskarżonego do ciążących na nim obowiązków bez jakiejkolwiek analizy ich wyznaczników jak i ustaleń co do respektowania tychże pozostają oderwane od istoty zarzutu i całkowicie nieprzydatne do oceny jego zasadności.

Wobec powyższego należało wnioski jakie wywiódł sąd rejonowy, uznać jako dowolne, bowiem nie poprzedzone rzetelną, opartą na całości wynikających z materiału dowodowego przesłanek oceną.

Z tych względów zaskarżony wyrok uchyla się od kontroli instancyjnej.

Sąd rejonowy rozpoznając sprawę ponownie przeprowadzi postępowanie dowodowe w niezbędnym zakresie bacząc by sygnalizowane wątpliwości zostały wyjaśnione.

Koniecznym do ponownego przeprowadzenia jest dowód z zeznań M. S.. Przy czym wydaje się najbardziej celowym by przesłuchać świadka w obecności biegłego informatyka, tak by możliwa była weryfikacja podawanych przez świadka okoliczności, ewentualnie także z inicjatywy biegłego. Przeprowadzanie dowodów z zeznań pozostałych świadków nie jest konieczne.

Na ukształtowanej w oparciu o w/w dowody podstawie faktycznej, sąd rejonowy rozważy zasadność zarzutu, mając na względzie poczynione w niniejszym uzasadnieniu uwagi .

W razie konieczności stanowisko swoje uzasadni stosownie do art.424 kpk.