Art. 267 Kodeksu karnego (KK) to jeden z kluczowych przepisów chroniących poufność informacji w Polsce. W praktyce ma on ogromne znaczenie dla bezpieczeństwa danych osobowych – zarówno w firmach, jak i w życiu prywatnym. Poniżej wyjaśniamy, co dokładnie penalizuje art. 267 KK, jakie grożą sankcje, jak przepis łączy się z RODO i jakie wnioski z tego płyną dla administratorów oraz podmiotów przetwarzających dane (np. usług transkrypcyjnych).

Co reguluje art. 267 KK?

Przepis penalizuje bezprawne uzyskanie informacji oraz czynności z tym związane. W uproszczeniu:

  • §1 – dotyczy uzyskania dostępu do informacji „nieprzeznaczonej” dla sprawcy m.in. przez otwarcie zamkniętej korespondencji, podłączenie się do sieci telekomunikacyjnej albo przełamanie/ominięcie zabezpieczeń (informatycznych, elektronicznych, magnetycznych lub innych). Grozi za to grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat.
  • §2 – penalizuje nieuprawniony dostęp do systemu informatycznego (całości lub części). Ta sama sankcja co wyżej.
  • §3 – obejmuje zakładanie lub używanie podsłuchu, urządzeń wizyjnych lub innego sprzętu/oprogramowania w celu uzyskania informacji, do której sprawca nie jest uprawniony.
  • §4 – karalne jest także ujawnienie informacji uzyskanej czynami z §1–3.
  • §5 – przestępstwa z §1–4 są ścigane na wniosek pokrzywdzonego (co ma praktyczne znaczenie w relacjach pracownik–pracodawca, partnerzy biznesowi, rodzina).
Warto wiedzieć: rozdział, w którym znajduje się art. 267 KK („Przestępstwa przeciwko ochronie informacji”), zawiera także regulacje o niszczeniu/zmianie danych (art. 268–269a) i o narzędziach do ataków informatycznych (art. 269b) oraz klauzulę „white‑hat” – wyłączenie odpowiedzialności w ściśle określonych warunkach testów bezpieczeństwa (art. 269b §1a i art. 269c).

Art. 267 KK a dane osobowe i RODO

Choć art. 267 KK nie mówi wprost o „danych osobowych”, jego zastosowanie bardzo często dotyczy właśnie informacji identyfikujących osoby (maile, nagrania, dokumenty HR, CRM). Przenika się on z wymogami RODO w dwóch obszarach:

  1. Zasady integralności i poufności – RODO wymaga, by dane były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym dostępem („integralność i poufność”, art. 5 ust. 1 lit. f).
  2. Kary administracyjne – niezależnie od odpowiedzialności karnej z art. 267 KK, naruszenie RODO może skutkować karą do 20 mln EUR lub 4% globalnego rocznego obrotu (art. 83). To reżim równoległy wobec odpowiedzialności karnej.

Wniosek: ten sam incydent (np. nieuprawniony podsłuch służbowych rozmów lub włamanie do skrzynki e‑mail) może generować dwie ścieżki odpowiedzialności – karną (KK) i administracyjną (RODO).

Przykłady zachowań ryzykownych (i dlaczego)

  • Otwieranie cudzego listu/korespondencji firmowej – scenariusz z §1 (otwarcie zamkniętego pisma).
  • „Podpięcie się” do firmowej sieci Wi‑Fi bez uprawnień i odczyt danych dostępnych tylko dla pracowników – ryzyko z §1 i §2. Doktryna podkreśla, że samo podłączenie do otwartej sieci nie zawsze wyczerpuje znamiona czynu; kluczowe jest uzyskanie dostępu do nieprzeznaczonych informacji.
  • Instalowanie aplikacji‑„podsłuchu” na cudzym smartfonie/laptopie, by przechwytywać rozmowy/wiadomości – kwalifikacja z §3.
  • Udostępnienie dalej informacji zdobytej nielegalnie (np. przekazanie nagrania osobie trzeciej) – §4.
Czy wolno nagrywać „własną” rozmowę? Co do zasady, jeśli jesteś jej uczestnikiem, nie pozyskujesz informacji „nieprzeznaczonej” dla ciebie – nie wypełniasz więc znamion z §3 tylko przez sam fakt nagrywania. Uwaga: wciąż mogą wchodzić w grę inne reżimy (np. dobra osobiste czy RODO, jeżeli nagranie zawiera dane osobowe i jest przetwarzane dalej).

Sankcje za złamanie Art. 267 KK – w pigułce

  • Karnie (KK): co do zasady do 2 lat pozbawienia wolności (lub grzywna/ograniczenie wolności) za czyny z §1–§4; ściganie na wniosek pokrzywdzonego.
  • Administracyjnie (RODO): do 20 mln EUR lub 4% obrotu – niezależnie od postępowania karnego.

Najczęstsze błędy firm (i jak ich uniknąć)

  1. Brak zasady „need‑to‑know” i ról dostępowych – każdy „widzi wszystko”.
    Co robić: segmentacja danych, role i uprawnienia minimalne (RBAC), regularne przeglądy dostępów. (Powiązanie z art. 5 RODO i art. 267 KK – ograniczasz ryzyko „nieuprawnionego dostępu”).
  2. Słabe hasła i brak MFA – łatwe przełamanie zabezpieczeń (ryzyko §1/§2).
    Co robić: MFA, menedżery haseł, polityki rotacji.
  3. Niekontrolowane narzędzia do nagrywania spotkań/rozmów – niejasne zasady, brak podstawy prawnej i informacji dla uczestników.
    Co robić: matryca podstaw prawnych, klauzule informacyjne, polityka nagrań (RODO art. 5 i 6).
  4. Brak procedur reagowania – nikt nie wie, co zrobić po incydencie.
    Co robić: plan reagowania (IR), zgłoszenia naruszeń do UODO „bez zbędnej zwłoki” oraz – gdy wymagane – powiadomienia osób.

Jak ProTranskrypcje pomaga chronić dane w procesie transkrypcji

  • Minimalizacja danych – rekomendujemy nagrywać i przekazywać tylko to, co niezbędne do realizacji zlecenia.
  • Poufność – pracujemy w oparciu o umowy i dobre praktyki bezpieczeństwa; na życzenie klienta możliwe jest zawarcie umowy powierzenia przetwarzania (RODO) i umowy o zachowaniu poufności (NDA).
  • Kontrola dostępu – ograniczamy dostęp do plików i transkryptów do wąskiego grona osób zaangażowanych w realizację zlecenia.
  • Bezpieczne usuwanie – po zakończeniu projektu wdrażamy polityki retencji dostosowane do potrzeb klienta.
Szukasz bezpiecznej transkrypcji rozmów, wywiadów lub posiedzeń? Napisz do nas – doradzimy, jak zorganizować proces zgodnie z RODO i w zgodzie z dobrymi praktykami bezpieczeństwa.

FAQ (dla wyszukiwań typu „art 267 kk”)

Czy „art 267 kk” dotyczy tylko hakerów?

Nie. Przepis obejmuje również „analogowe” naruszenia poufności (np. otwieranie cudzego listu) oraz podsłuchy/ukryte nagrania.

Czy każde nagranie bez zgody jest przestępstwem?

Nie – kluczowe jest, czy nagrywający jest uprawniony do informacji (np. jako uczestnik rozmowy). Jednak dalsze przetwarzanie nagrań podlega RODO.

Jak długo grozi więzienie za art. 267 KK?

Co do zasady do 2 lat (zależnie od paragrafu i okoliczności).

Czy za to samo zdarzenie grozi też kara RODO?

Tak – naruszenie ochrony danych może skutkować równoległymi karami administracyjnymi do 20 mln EUR/4% obrotu.

Podsumowanie

Art. 267 KK zabezpiecza poufność informacji – od listów i rozmów po systemy informatyczne. W erze pracy hybrydowej i nagrań spotkań online ma to bezpośrednie przełożenie na ochronę danych osobowych. Dla firm oznacza to konieczność wdrożenia polityk bezpieczeństwa, kontroli dostępu, przemyślanych zasad nagrywania oraz rzetelnej współpracy z dostawcami usług (np. transkrypcji). To nie tylko kwestia zgodności – to również realna ochrona reputacji i zaufania klientów.

Źródła (wybrane, aktualne)

  • Dz.U. 2025 poz. 383 – tekst jednolity Kodeksu karnego (oficjalny PDF; art. 267–269c).
  • RODO – tekst w EUR‑Lex (PL), w tym zasady przetwarzania (art. 5) i kary (art. 83).
  • Palestra (2020) – analiza typów przestępstw z art. 267 KK i problematyki dostępu do sieci.