14.8.2013   

PL

Dziennik Urzędowy Unii Europejskiej

L 218/8

(1)

Celami niniejszej dyrektywy są: zbliżenie prawa karnego państw członkowskich w dziedzinie ataków na systemy informatyczne, przez ustanowienie zasad minimalnych dotyczących definicji przestępstw i odpowiednich kar, oraz poprawa współpracy między właściwymi organami, w tym policją i innymi wyspecjalizowanymi organami ścigania w państwach członkowskich, a także właściwymi wyspecjalizowanymi agencjami i organami Unii takimi jak Eurojust, Europol i należące do niego Europejskie Centrum ds. Walki z Cyberprzestępczością oraz Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA).

(2)

Systemy informatyczne stanowią podstawowy element relacji politycznych, społecznych i gospodarczych w Unii. Zależność społeczeństwa od tego typu systemów jest bardzo wysoka i stale rośnie. Dobre funkcjonowanie i bezpieczeństwo tych systemów w Unii są niezbędne dla rozwoju rynku wewnętrznego oraz konkurencyjnej i innowacyjnej gospodarki. Zapewnianie odpowiedniego poziomu ochrony systemów informatycznych powinno być realizowane w ramach ogółu skutecznych i kompleksowych środków profilaktycznych, jakie towarzyszą działaniom wobec cyberprzestępczości podejmowanym w obszarze prawa karnego.

(3)

Zarówno na obszarze Unii, jak i globalnie, rośnie zagrożenie atakami na systemy informatyczne, a zwłaszcza atakami dokonywanymi w ramach przestępczości zorganizowanej; narastają również obawy o możliwość ataków o charakterze terrorystycznym lub mających podłoże polityczne, ukierunkowanych na systemy informatyczne stanowiące element infrastruktury krytycznej państw członkowskich i Unii. Zagraża to dążeniom do zapewnienia bezpieczniejszego społeczeństwa informacyjnego oraz przestrzeni wolności, bezpieczeństwa i sprawiedliwości, dlatego też wymaga reakcji na szczeblu Unii, a także lepszej współpracy i koordynacji na szczeblu międzynarodowym.

(4)

Na obszarze Unii znajduje się szereg infrastruktur krytycznych, których zakłócenie lub zniszczenie miałoby istotne transgraniczne skutki. Z potrzeby wzmocnienia zdolności ochrony infrastruktury krytycznej w Unii jasno wynika, że środkom wymierzonym przeciw atakom cybernetycznym powinny towarzyszyć surowe sankcje karne odzwierciedlające wagę tych ataków. Infrastrukturę krytyczną można rozumieć jako składnik, system lub część infrastruktury zlokalizowane na terytorium państw członkowskich, które mają podstawowe znaczenie dla utrzymania niezbędnych funkcji społecznych, zdrowia, bezpieczeństwa, ochrony, dobrobytu materialnego lub społecznego ludności, jak na przykład elektrownie, sieci transportowe lub sieci rządowe, a których zakłócenie lub zniszczenie miałoby istotny wpływ na dane państwo członkowskie w wyniku niezdolności do utrzymania tych funkcji.

(5)

Istnieją dowody wskazujące na tendencję do coraz bardziej niebezpiecznych i ponawianych ataków na wielką skalę dokonywanych na systemy informatyczne, które często mają zasadnicze znaczenie dla państw członkowskich lub poszczególnych funkcji w sektorze publicznym lub prywatnym. Tendencja ta występuje wraz z opracowywaniem coraz bardziej wyrafinowanych metod takich jak tworzenie i wykorzystywanie tzw. „botnetów”, co odbywa się na kilku etapach działania przestępczego, przy czym każdy z tych etapów z osobna może stanowić poważne ryzyko dla interesu publicznego. Niniejsza dyrektywa ma na celu m.in. wprowadzenie sankcji karnych za tworzenie „botnetów” - tj. działań polegających na uzyskaniu zdalnej kontroli nad znaczną liczbą komputerów przez wprowadzenie do nich złośliwego oprogramowania za pomocą ukierunkowanych cyberataków. Następnie zainfekowaną sieć komputerów stanowiącą „botnet” można uruchomić bez wiedzy użytkowników komputerów, aby rozpocząć cyberataki na wielką skalę, które zazwyczaj mogą spowodować poważne szkody, o czym mowa w niniejszej dyrektywie. Państwa członkowskie mogą określić, co, zgodnie z ich prawem krajowym oraz praktykami krajowymi, stanowi poważną szkodę, np. zakłócenie usług systemowych o dużym znaczeniu publicznym lub spowodowanie znacznych kosztów finansowych lub też utrata danych osobowych lub informacji szczególnie chronionych.

(6)

Cyberataki na dużą skalę mogą powodować znaczne szkody w gospodarce zarówno przez zakłócanie pracy systemów informatycznych i łączności, jak i przez utratę lub modyfikację istotnych z handlowego punktu widzenia informacji poufnych lub innych danych. Szczególną uwagę należy zwrócić na uświadamianie innowacyjnych małych i średnich przedsiębiorstw o zagrożeniach związanych z takimi atakami i ich podatności na nie z racji ich wzrastającego uzależnienia od właściwego funkcjonowania i dostępności systemów informatycznych oraz często ograniczonych zasobów przeznaczanych na bezpieczeństwo informatyczne.

(7)

Wspólne definicje w tej dziedzinie mają istotne znaczenie dla zagwarantowania przyjęcia przez państwa członkowskie spójnego podejścia do stosowania niniejszej dyrektywy.

(8)

Zachodzi potrzeba zapewnienia wspólnego podejścia do kwestii znamion przestępstwa poprzez powszechne wprowadzenie pojęcia przestępstw polegających na bezprawnym dostępie do systemu informatycznego, bezprawnym ingerowaniu w system, bezprawnym ingerowaniu w dane oraz bezprawnym przechwytywaniu.

(9)

Przechwytywanie odnosi się między innymi, lecz nie wyłącznie, do słuchania, monitorowania lub nadzorowania treści komunikatów, do pozyskiwania treści danych bezpośrednio poprzez dostęp do systemu informatycznego i korzystanie z niego albo pośrednio poprzez stosowanie - przy użyciu środków technicznych - elektronicznego podsłuchu lub urządzeń podsłuchowych.

(10)

Państwa członkowskie powinny przewidzieć kary za ataki na systemy informatyczne. Kary te powinny być skuteczne, proporcjonalne i odstraszające i powinny obejmować karę pozbawienia wolności lub karę grzywny.

(11)

Niniejsza dyrektywa przewiduje kary co najmniej w przypadkach, które nie są przypadkami mniejszej wagi. Państwa członkowskie mogą określić, co stanowi przypadek mniejszej wagi zgodnie ze swoimi przepisami krajowymi i praktyką krajową. Można uznać, że przypadek ma mniejszą wagę, jeżeli na przykład szkody wyrządzone w wyniku przestępstwa lub zagrożenie w odniesieniu do interesów publicznych lub prywatnych, takich jak integralność systemu komputerowego lub danych komputerowych lub nienaruszalność praw lub innych dóbr danej osoby, są nieznaczne lub mają taki charakter, że nałożenie sankcji karnej w przewidzianych prawnie granicach lub pociągnięcie do odpowiedzialności karnej nie jest konieczne.

(12)

Stwierdzanie i zgłaszanie zagrożeń i ryzyka stwarzanych przez cyberataki oraz związanych z tym słabych punktów systemów informatycznych jest istotnym elementem skutecznego zapobiegania cyberatakom i reakcji na nie oraz polepszania bezpieczeństwa systemów informatycznych. Lepszą skuteczność zapewnić można przez zachęcanie do zgłaszania luk w systemach ochrony. Państwa członkowskie powinny czynić starania w celu stwarzania możliwości legalnego wykrywania i zgłaszania luk w systemach ochrony.

(13)

Należy przewidzieć surowsze kary za ataki na systemy informatyczne popełniane przez organizację przestępczą, w rozumieniu decyzji ramowej Rady 2008/841/WSiSW z dnia 24 października 2008 r. w sprawie zwalczania przestępczości zorganizowanej (3), za cyberataki przeprowadzane na wielką skalę, wpływające zatem na dużą liczbę systemów informatycznych, w tym mające na celu stworzenie „botnetu”, lub za cyberataki powodujące poważne szkody, w tym przeprowadzane z wykorzystaniem „botnetu”. Właściwe jest także przewidzenie surowszych kar w przypadkach gdy atak został przypuszczony na infrastrukturę krytyczną państwa członkowskiego lub Unii.

(14)

Tworzenie skutecznych środków przeciwko kradzieży tożsamości i innym przestępstwom związanym z tożsamością stanowi kolejny ważny element zintegrowanego podejścia do walki z cyberprzestępczością. Każdą potrzebę działania ze strony Unii przeciw tego rodzaju przestępczości można byłoby rozważać także w kontekście oceniania potrzeby utworzenia kompleksowego, horyzontalnego instrumentu unijnego.

(15)

W konkluzjach Rady z dnia 27–28 listopada 2008 r. zaznaczono, że Komisja powinna wraz z państwami członkowskimi opracować nową strategię z uwzględnieniem treści Konwencji Rady Europy z 2001 r. o cyberprzestępczości. Konwencja ta wyznacza prawne ramy odniesienia dla zwalczania cyberprzestępczości, w tym ataków na systemy informatyczne. Niniejsza dyrektywa opiera się na tej konwencji. Możliwie najszybsze zakończenie procesu ratyfikacji konwencji przez wszystkie państwa członkowskie powinno być uważane za kwestię priorytetową.

(16)

Ze względu na to, że ataki mogą być przeprowadzane na różne sposoby oraz uwzględniając szybki rozwój sprzętu i oprogramowania, w niniejszej dyrektywie mowa jest o narzędziach, które mogą zostać wykorzystane do popełnienia przestępstw w niej ustanowionych. Narzędziami tymi są przykładowo złośliwe oprogramowanie, w tym oprogramowanie zdolne do tworzenia botnetów, wykorzystywanych do przeprowadzania cyberataków. Nawet jeśli tego rodzaju narzędzie jest zdatne lub szczególnie zdatne do dokonania jednego z przestępstw ustanowionych w niniejszej dyrektywie, mogło ono jednak zostać produkowane w celach legalnych. Aby nie dopuścić do kryminalizacji przypadków produkowania takich narzędzi i wprowadzania ich na rynek w celach zgodnych z prawem - takich jak testowanie niezawodności produktów informatycznych lub bezpieczeństwa systemów informatycznych - musi być spełniony wymóg istnienia ogólnego, lecz także bezpośredniego zamiaru wykorzystania tych narzędzi do popełnienia jednego lub więcej przestępstw, ustanowionych w niniejszej dyrektywie.

(17)

Celem niniejszej dyrektywy nie jest przypisanie odpowiedzialności karnej, w przypadku gdy zostały spełnione obiektywne kryteria przestępstw ustanowionych w niniejszej dyrektywie, ale czyny te popełnione zostały bez przestępczego zamiaru, np. gdy dana osoba nie wie, że dostęp jest niedozwolony lub w przypadku uzasadnionego testowania lub zabezpieczania systemów informatycznych, np. w przypadku gdy danej osobie spółka lub sprzedający zleca testowanie wytrzymałości swego systemu zabezpieczeń. W ramach niniejszej dyrektywy zobowiązania lub uzgodnienia umowne mające na celu ograniczenie dostępu do systemów informatycznych w drodze polityki użytkowników lub zasad świadczenia usługi, a także spory między pracodawcą a pracownikami co do dostępu do systemów informatycznych pracodawcy i ich użytkowania do celów prywatnych nie powinny pociągać za sobą odpowiedzialności karnej, gdy dostęp w takich sytuacjach byłby uznawany za nieupoważniony, a zatem stanowiłby wyłączną podstawę do wszczęcia postępowania karnego. Niniejsza dyrektywa nie narusza prawa dostępu do informacji określonego w ustawodawstwie krajowym i unijnym, nie może jednak służyć jako uzasadnienie bezprawnego lub arbitralnego dostępu do informacji.

(18)

Dokonywanie cyberataków może być ułatwione przez różne okoliczności, takie jak sytuacja, w której sprawca w ramach stosunku pracy ma dostęp do systemów zabezpieczeń wkomponowanych w systemy informatyczne. Na podstawie prawa krajowego takie okoliczności należy odpowiednio brać pod uwagę w trakcie postępowania karnego.

(19)

Państwa członkowskie powinny wprowadzić do swego prawa krajowego okoliczności obciążające – zgodnie z obowiązującymi przepisami dotyczącymi okoliczności obciążających istniejącymi w ich systemie prawnym. Państwa członkowskie powinny zapewnić, aby sędziowie mogli rozważyć te okoliczności obciążające przy skazywaniu przestępców. Ocena tych okoliczności wraz z innymi faktami danej sprawy należy do zakresu uznania sędziego.

(20)

Niniejsza dyrektywa nie reguluje warunków sprawowania jurysdykcji w sprawie któregokolwiek z przestępstw w niej wymienionych, jak np. zawiadomienia złożonego przez pokrzywdzonego w miejscu popełnienia przestępstwa lub powiadomienia z państwa miejsca popełnienia przestępstwa, lub odstąpienie od ścigania sprawcy w miejscu popełnienia przestępstwa.

(21)

W ramach niniejszej dyrektywy państwa i organy publiczne są w pełni zobowiązane do zagwarantowania poszanowania praw człowieka i podstawowych wolności, zgodnie z aktualnymi zobowiązaniami międzynarodowymi.

(22)

Niniejsza dyrektywa zwiększa znaczenie sieci, takich jak G8 lub sieć całodobowych punktów kontaktowych Rady Europy działających siedem dni w tygodniu. Takie punkty kontaktowe powinny być w stanie udzielać skutecznej pomocy, ułatwiając tym samym np. wymianę dostępnych istotnych informacji oraz udzielanie porad technicznych lub informacji prawnych do celów dochodzenia lub postępowania w sprawach przestępstw związanych z systemami informatycznymi i powiązanymi danymi dotyczącymi państwa członkowskiego występującego z wnioskiem. Aby zapewnić niezakłócone działanie sieci, każdy punkt kontaktowy powinien być w stanie nawiązać łączność z podobnym punktem w innym państwie członkowskim szybko i z pomocą m.in. wyszkolonego i odpowiednio wyposażonego personelu. Ze względu na to, że cyberataki na wielką skalę można przeprowadzić bardzo szybko, państwa członkowskie powinny być zdolne do szybkiego reagowania na wnioski składane w trybie pilnym w ramach tej sieci punktów kontaktowych. W takich przypadkach może być zasadne, by wniosek o informacje był poparty kontaktem telefonicznym w celu zagwarantowania szybkiego przetworzenia wniosku przez państwo członkowskie, do którego wystąpiono, oraz przekazania informacji zwrotnych w ciągu ośmiu godzin.

(23)

Ogromne znaczenie dla zapobiegania atakom na systemy informatyczne i zwalczania takich ataków ma współpraca organów publicznych, z jednej strony, z sektorem prywatnym i społeczeństwem obywatelskim, z drugiej. Konieczne jest wspieranie i polepszanie współpracy między dostawcami usług, producentami, organami ścigania i organami sądowymi, jednocześnie przestrzegając zasady praworządności. Współpraca taka mogłaby obejmować np. pomoc ze strony dostawców usług w zabezpieczaniu potencjalnych dowodów, w przekazywaniu informacji pomocnych w identyfikacji sprawców oraz, jako ostateczność, w wyłączaniu w całości lub w części, zgodnie z prawem krajowym i krajową praktyką w tym zakresie, systemów informatycznych lub funkcji, które zostały naruszone lub wykorzystane w celach niezgodnych z prawem. Państwa członkowskie powinny także rozważyć utworzenie sieci współpracy i partnerstwa z dostawcami usług i producentami w celu wymiany informacji związanych z przestępstwami ujętymi w niniejszej dyrektywie.

(24)

Istnieje potrzeba gromadzenia porównywalnych danych o przestępstwach ustanowionych w niniejszej dyrektywie. Dane te powinny być udostępniane właściwym wyspecjalizowanym agencjom i organom Unii, takim jak Europol oraz ENISA, zgodnie z ich zakresem zadań i potrzebami informacyjnymi, by uzyskać bardziej kompletny obraz problemu cyberprzestępczości oraz poziomu bezpieczeństwa sieci i informacji na szczeblu Unii, a tym samym przyczynić się do opracowania skuteczniejszych reakcji. Państwa członkowskie powinny przekazywać Europolowi i należącemu do niego Europejskiemu Centrum ds. Walki z Cyberprzestępczością informacje o metodach działania stosowanych przez przestępców, by organy te mogły prowadzić oceny zagrożeń i strategiczne analizy cyberprzestępczości zgodnie z decyzją Rady 2009/371/WSiSW z dnia 6 kwietnia 2009 r. ustanawiającą Europejski Urząd Policji (Europol) (4). Przekazywanie informacji może ułatwić lepsze zrozumienie obecnych i przyszłych zagrożeń, a tym samym przyczynić się do lepszego i ukierunkowanego podejmowania decyzji dotyczących zwalczania ataków na systemy informatyczne i zapobiegania takim atakom.

(25)

Zgodnie z niniejszą dyrektywą Komisja powinna przedłożyć sprawozdanie z jej stosowania oraz przedstawić wszelkie niezbędne wnioski ustawodawcze, które powodowałyby rozszerzenie zakresu stosowania niniejszej dyrektywy, uwzględniając rozwój sytuacji w dziedzinie cyberprzestępczości. Rozwój ten mógłby obejmować wszelki rozwój technologii, np. umożliwiający skuteczniejsze egzekwowanie prawa w przypadku ataków na systemy informatyczne, względnie ułatwiający zapobieganie takim atakom lub minimalizację ich skutków. W tym celu Komisja powinna wziąć pod uwagę dostępne analizy i sprawozdania opracowywane przez właściwe podmioty, zwłaszcza przez Europol i ENISA.

(26)

W celu skutecznego zwalczania cyberprzestępczości konieczne jest zwiększenie odporności systemów informatycznych przez ich lepsze zabezpieczenie przed cyberatakami, co wymaga przyjęcia odpowiednich środków. Państwa członkowskie powinny podejmować odpowiednie środki, by chronić ich krytyczną infrastrukturę przed cyberatakami; w ramach tej ochrony państwa członkowskie powinny rozważyć zabezpieczenie swoich systemów informatycznych i zawartych w nich danych. Zapewnianie dostatecznego poziomu ochrony i bezpieczeństwa systemów informatycznych przez osoby prawne - na przykład w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej zgodnie z obecnym ustawodawstwem Unii dotyczącym prywatności oraz łączności elektronicznej i ochrony danych - stanowi podstawową część kompleksowego podejścia do skutecznego zwalczania cyberprzestępczości. Należy zapewnić odpowiedni poziom ochrony przed racjonalnie dającymi się określić zagrożeniami i słabymi punktami zgodnie ze stanem technologii w poszczególnych sektorach oraz konkretnymi okolicznościami przetwarzania danych. Koszty i obciążenia z tytułu takiej ochrony powinny być proporcjonalne do prawdopodobnej szkody, jaką spowodowałby cyberatak. Państwa członkowskie zachęca się do zapewnienia stosownych środków w prawie krajowym, nakładających odpowiedzialność w przypadkach gdy osoba prawna wyraźnie nie zapewniła odpowiedniego poziomu ochrony przeciwko cyberatakom.

(27)

Znaczące luki i różnice w przepisach państw członkowskich i ich procedurach karnych w dziedzinie ataków na systemy informatyczne mogą utrudniać walkę z przestępczością zorganizowaną i terroryzmem oraz komplikować skuteczną współpracę sądową i policyjną w tej dziedzinie. Międzynarodowy i ponadgraniczny charakter współczesnych systemów informatycznych nadaje atakom na takie systemy wymiar transgraniczny, przez co jeszcze pilniejsza staje się potrzeba dalszych działań na rzecz zbliżenia prawa karnego w tej dziedzinie. Ponadto koordynacja ścigania przypadków ataków na systemy informatyczne powinna zostać ułatwiona dzięki odpowiedniemu wdrożeniu i stosowaniu decyzji ramowej Rady 2009/948/WSiSW z dnia 30 listopada 2009 r. w sprawie zapobiegania konfliktom jurysdykcji w postępowaniu karnym i w sprawie rozstrzygania takich konfliktów (5). Państwa członkowskie we współpracy z Unią powinny także dążyć do poprawienia międzynarodowej współpracy związanej z bezpieczeństwem systemów informatycznych, sieci komputerowych i danych komputerowych. W każdej umowie międzynarodowej dotyczącej wymiany danych powinno się należycie uwzględnić bezpieczeństwo przekazywania i przechowywania danych.

(28)

Lepsza współpraca między właściwymi organami ścigania a organami sądowymi w całej Unii ma zasadnicze znaczenie dla skutecznego zwalczania cyberprzestępczości. W związku z tym należy zachęcać do intensyfikacji starań na rzecz odpowiedniego szkolenia właściwych organów, by ulepszyć ich wiedzę na temat cyberprzestępczości i jej skutków oraz by wspierać współpracę i wymianę sprawdzonych rozwiązań - na przykład za pośrednictwem wyspecjalizowanych agencji i organów Unii. Szkolenie takie powinno mieć na celu m.in. podnoszenie wiedzy na temat różnych krajowych systemów prawnych, ewentualnych problemów prawnych i technicznych napotykanych podczas dochodzeń karnych oraz podziału kompetencji między organami krajowymi.

(29)

Niniejsza dyrektywa respektuje poszanowanie praw człowieka i podstawowych wolności oraz jest zgodna z zasadami uznanymi w szczególności w Karcie praw podstawowych Unii Europejskiej oraz europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, w tym z zasadami ochrony danych osobowych, poszanowania życia prywatnego, swobody wypowiedzi i informacji, prawem do rzetelnego procesu, domniemaniem niewinności i prawem do obrony, jak również zasadami legalizmu i proporcjonalności przestępstw i kar. W szczególności niniejsza dyrektywa zmierza do pełnego zagwarantowania poszanowania tych praw i zasad oraz musi być odpowiednio do tego wdrażana.

(30)

Ochrona danych osobowych jest prawem podstawowym zgodnie z art. 16 ust. 1 TFUE i art. 8 Karty praw podstawowych Unii Europejskiej. Zatem wszelkie przetwarzanie danych osobowych w ramach wprowadzania w życie niniejszej dyrektywy powinno odbywać się w pełnej zgodności z odnośnym ustawodawstwem Unii dotyczącym ochrony danych.

(31)

Zgodnie z art. 3 Protokołu w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, te dwa państwa członkowskie powiadomiły o chęci uczestniczenia w przyjęciu i stosowaniu niniejszej dyrektywy.

(32)

Zgodnie z art. 1 i 2 Protokołu w sprawie stanowiska Danii załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie uczestniczy w przyjęciu niniejszej dyrektywy i nie jest nią związana, ani jej nie stosuje.

(33)

Ponieważ cele niniejszej dyrektywy, mianowicie zagwarantowanie, by ataki na systemy informatyczne były karane we wszystkich państwach członkowskich skutecznymi, proporcjonalnymi i odstraszającymi sankcjami karnymi, oraz poprawa współpracy pomiędzy organami wymiaru sprawiedliwości i innymi właściwymi organami, a także propagowanie tej współpracy, nie mogą zostać wystarczająco osiągnięte przez państwa członkowskie, natomiast ze względu na ich rozmiary i skutki możliwe jest lepsze ich osiągnięcie na poziomie Unii, Unia może przyjąć środki zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(34)

Niniejsza dyrektywa ma na celu zmianę i rozszerzenie przepisów decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne (6). Ponieważ proponowane zmiany są liczne i mają istotny charakter, dla precyzji należy zastąpić w całości decyzję ramową 2005/222/WSiSW w odniesieniu do państw członkowskich uczestniczących w przyjęciu niniejszej dyrektywy,

a)

„system informatyczny” oznacza urządzenie lub grupę wzajemnie połączonych lub powiązanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, dokonuje automatycznego przetwarzania danych komputerowych, jak również danych komputerowych przechowywanych, przetwarzanych, odzyskanych lub przekazanych przez to urządzenie lub tę grupę urządzeń, w celach ich eksploatacji, użycia, ochrony lub utrzymania;

b)

„dane komputerowe” oznaczają przedstawienie faktów, informacji lub pojęć w formie nadającej się do przetwarzania w systemie informatycznym, włącznie z programem umożliwiającym wykonanie funkcji przez system informatyczny;

c)

„osoba prawna” oznacza podmiot mający status osoby prawnej na mocy właściwego prawa, z wyjątkiem państw lub organów publicznych działających w ramach sprawowania przez nie władzy lub publicznych organizacji międzynarodowych;

d)

„bezprawnie” oznacza działanie, o którym mowa w niniejszej dyrektywie, w tym dostęp, ingerencje lub przechwycenie, na które właściciel lub inny uprawniony do systemu lub jego części nie udzielił zgody, lub które nie jest dozwolone na mocy prawa krajowego.

a)

programu komputerowego, zaprojektowanego lub przystosowanego głównie do celu popełniania przestępstw, o których mowa w art. 3–6;

b)

hasła komputerowego, kodu dostępu lub podobnych danych umożliwiających dostęp do całości lub części systemu informatycznego.

a)

zostały popełnione w ramach organizacji przestępczej, w rozumieniu decyzji ramowej 2008/841/WSiSW, niezależnie od tego, jaki wymiar kary w niej przewidziano;

b)

powodują poważne szkody; lub

c)

zostały popełnione przeciwko systemowi informatycznemu o charakterze infrastruktury krytycznej.

a)

upoważnienie do reprezentowania osoby prawnej;

b)

upoważnienie do podejmowania decyzji w imieniu osoby prawnej;

c)

upoważnienie do sprawowania kontroli w ramach tej osoby prawnej.

a)

pozbawienie prawa do korzystania ze świadczeń publicznych lub pomocy publicznej;

b)

czasowy lub stały zakaz prowadzenia działalności gospodarczej;

c)

poddanie nadzorowi sądowemu;

d)

likwidację sądową;

e)

czasowe lub stałe zamknięcie zakładów wykorzystanych w celu popełnienia przestępstwa.

a)

w całości lub w części na ich terytorium; lub

b)

przez jednego z jego obywateli, co najmniej w przypadkach, gdy dany czyn stanowi przestępstwo w miejscu, w którym został popełniony.

a)

sprawca popełnia przestępstwo, znajdując się na jego terytorium, niezależnie od tego, czy przestępstwo jest skierowane przeciwko systemowi informatycznemu na jego terytorium; lub

b)

przestępstwo jest skierowane przeciwko systemowi informatycznemu na jego terytorium, niezależnie od tego, czy sprawca popełnia przestępstwo, znajdując się na jego terytorium.

a)

miejsce zwykłego pobytu sprawcy znajduje się na jego terytorium; lub

b)

przestępstwo zostało popełnione na korzyść osoby prawnej mającej swą siedzibę na jego terytorium.