Art. 218a. Zabezpieczenie danych informatycznych
Kodeks postępowania karnego
§ 1. Urzędy, instytucje i podmioty prowadzące działalność telekomunikacyjną lub świadczące usługi drogą elektroniczną oraz dostawcy usług cyfrowych obowiązani są niezwłocznie zabezpieczyć, na żądanie sądu lub prokuratora zawarte w postanowieniu, na czas określony, nieprzekraczający jednak 90 dni, dane informatyczne przechowywane w urządzeniach zawierających te dane na nośniku lub w systemie informatycznym. W sprawach o przestępstwa określone w art. 200b, art. 202 § 3, 4, 4a, 4b lub art. 255a Kodeksu karnego oraz w rozdziale 7 ustawy z dnia 29 lipca 2005 r. o przeciwdziałaniu narkomanii (Dz. U. z 2020 r. poz. 2050) zabezpieczenie może być połączone z obowiązkiem uniemożliwienia dostępu do tych danych. Przepis art. 218 § 2 zdanie drugie stosuje się odpowiednio.
§ 2. Pozbawione znaczenia dla postępowania karnego dane informatyczne, o których mowa w § 1, należy niezwłocznie zwolnić spod zabezpieczenia.
§ 3. Przepisy § 1 i 2 stosuje się odpowiednio do zabezpieczania treści publikowanych lub udostępnianych drogą elektroniczną, przy czym podmiotem obowiązanym do wykonania żądania sądu lub prokuratora może być również administrator treści.
§ 4. Jeżeli publikacja lub udostępnienie treści, o których mowa w § 3, stanowiło czyn zabroniony, o którym mowa w § 1, sąd lub prokurator może zarządzić usunięcie tych treści, nakładając obowiązek wykonania postanowienia na podmioty, o których mowa w § 1 lub 3.
Komentarz redakcyjny
W związku z tym, że liczba użytkowników Internetu rośnie, a liczba adresów IP jest ograniczona, dany użytkownik nie ma adresu IP przypisanego mu na stałe, natomiast w momencie uruchomienia komputera podłączonego do sieci użytkownik identyfikuje się za pomocą przypisanej mu nazwy użytkownika i hasła w serwerze dostawcy Internetu i po udanej weryfikacji otrzymuje losowy, w danym momencie niewykorzystywany przez nikogo innego adres IP z puli, którą dysponuje obsługujący go dostawca Internetu. Taki sposób przypisywania adresów IP powoduje, że ujawniony adres IP nadawcy wiadomości elektronicznej może już nie wskazywać na sprawcę, tylko na inną osobę, która wylosowała ten adres. Dlatego, zwracając się do dostawcy internetowego o udostępnienie danych osobowych osoby, której przypisano ujawniony adres IP, należy koniecznie wskazać dokładną datę i godzinę, w której nastąpiło wysłanie wiadomości, ponieważ tylko na tej podstawie dostawca Internetu jest w stanie ustalić, kto w danym momencie dysponował określonym adresem IP (M. Górtowski, Poczta elektroniczna..., s. 201–206).
Urzędy, instytucje i podmioty prowadzące działalność telekomunikacyjną mają obowiązek zabezpieczenia, na nośnikach lub w systemie informatycznym, danych teleinformatycznych na czas określony – nie dłuższy niż 90 dni. Obowiązek taki nie dotyczy osób fizycznych. Podstawą musi być wyrażone postanowieniem, żądanie sądu lub prokuratora.
Postanowienie sądu lub prokuratora, stanowiące podstawę zabezpieczenia danych informatycznych doręcza się adresatom korespondencji oraz abonentowi lub nadawcy, którego dane dotyczą. Doręczenie postanowienia może być odroczone na czas oznaczony, niezbędny ze względu na dobro sprawy, lecz nie później niż do czasu prawomocnego zakończenia postępowania.
Pozbawione znaczenia dla postępowania karnego dane informatyczne należy niezwłocznie zwolnić spod zabezpieczenia (art. 218a § 2 k.p.k.).
Tymczasowe zabezpieczenie danych, które mogą mieć znaczenie dowodowe, służy utrzymywaniu ich integralności do czasu podjęcia formalnych kroków, zazwyczaj wydania postanowienia o zatrzymaniu danych
Postanowienie o zabezpieczeniu danych informatycznych i postanowienie o ich zwolnieniu spod zabezpieczenia podlega zaskarżeniu na podstawie art.