Stare pytanie: czy włam na serwer konkurenta i wykradzenie listy kontrahentów mogą być traktowane jako przestępstwo — a jeśli tak to co za taki czyn grozi sprawcom? (wyrok Sądu Apelacyjnego w Białymstoku z 17 grudnia 2013 r., sygn. akt II AKa 233/13).
Trzech mężczyzn zostało oskarżonych o to, że korzystając z posiadanego bez uprawnień hasła i loginu do systemu pewnej firmy dokonali przynajmniej 30 włamań, kopiując dane informatyczne, które następnie zostały zainstalowane na serwerze firmy organizatora procederu (dwóch pozostałych sprawców było pracownikami pokrzywdzonego przedsiębiorstwa).
Czyn został zakwalifikowany jako przełamanie zabezpieczeń elektronicznych i nieupoważnione wpływanie na dane gromadzone w systemie informatycznym (art. 287 par. 1 kk, art. 269b par. 1 kk), a ponieważ zhakowana została lista kontrahentów — czyli dane osobowe — dołożono nielegalne pozyskanie i przetwarzanie danych osobowych w niezarejestrowanym zbiorze (art. 49 i art. 53 ustawy o ochronie danych osobowych).
Co więcej zdaniem prokuratora dane o kontrahentach przedsiębiorstwa były także sprzedawane (wyrządzoną w ten sposób szkodę oszacowano na 1,464 mln złotych), dołożono zatem jeszcze zarzut z art. 23 ust. 1 ustawy o zwalczaniu nieuczciwej konkurencji.
W pierwszej instancji sprawcy zostali uznani winnymi zarzucanych czynów: prowodyr został uniewinniony od zarzutu sprzedaży danych osobowych, a za resztę dostał 8 miesięcy pozbawienia wolności w zawieszeniu na 2 lata, wobec nieuczciwych pracowników (którym udowodniono wyłącznie włamanie na serwer pracodawcy) zastosowano warunkowe umorzenie postępowania na 1 rok.
Rozpatrując apelacje oskarżonych sąd II instancji podkreślił, że włamanie na serwer konkurencji było związane z dążeniem głównego oskarżonego, który planował rozwinięcie działalności handlowej, do rozwinięcia skrzydeł kosztem bezpośredniego konkurenta. Ponieważ jednak sam nie posiadał niezbędnej wiedzy i umiejętności, a także znajomości struktury bazy danych, wykradzenie listy kontrahentów byłoby niemożliwe bez współsprawców — pracowników pokrzywdzonego przedsiębiorstwa, którzy przekazali informacje niezbędne do wyprowadzenia skutecznego ataku. Ba, jednego z nich — współwinnych — nawet „w nagrodę” zatrudnił w swojej firmie, ten zaś w ramach swoich obowiązków pracowniczych namawiał kontrahentów ex-pracodawcy do zerwania współpracy.
Natomiast nie budzi wątpliwości zarzut fakt skopiowania danych: po zbadaniu pliku zapisanego na serwerze sprawcy okazało się, że 89% rekordów jest identycznych z bazą pokrzywdzonej firmy (błędy literowe i przekłamania, sposób zapisu, niekompletności, podobieństwa w użyciu małych i dużych liter). Sama baza zawierała dane przeszło 10 tys. kontrahentów, jej zebranie zajęło pokrzywdzonym kilka lat, zatem wartość wyrządzonej szkody także została oceniona prawidłowo.
Stąd też oskarżeni nie mogą liczyć na łagodniejsze potraktowanie — zatem wyrok został utrzymany w mocy.