Zabezpieczanie danych informatycznych w polskim postępowaniu karnym uregulowane jest przede wszystkim w art. 218a k.p.k. Przepis ten przewiduje, że podmioty prowadzące działalność telekomunikacyjną, świadczące usługi drogą elektroniczną oraz dostawcy usług cyfrowych są obowiązane do niezwłocznego zabezpieczenia na żądanie sądu lub prokuratora danych informatycznych przechowywanych w urządzeniach zawierających te dane na czas określony, nie dłuższy jednak niż 90 dni.
W odniesieniu do wybranych przestępstw (m.in. seksualnych wobec małoletnich, terrorystycznych i narkotykowych) możliwe jest połączenie zabezpieczenia z obowiązkiem uniemożliwienia dostępu do danych, a także z nakazem usunięcia bezprawnych treści.
Z kolei art. 218b k.p.k. ma charakter przepisu kompetencyjnego, na podstawie którego zostało wydane Rozporządzenie Ministra Sprawiedliwości z 18 czerwca 2021 r. – określające sposób technicznego przygotowania systemów i sieci służących do przekazywania informacji (Dz.U. 2021 poz. 1101). Akt ten doprecyzowuje szczegółowe wymagania dotyczące technicznego przygotowania tych systemów i sieci oraz procedur zabezpieczania danych.
Podmioty obowiązane muszą zapewnić zabezpieczenie danych przed ich utratą, zniekształceniem, nieuprawnionym ujawnieniem oraz uszkodzeniem nośników, a także wyznaczyć osoby upoważnione do wykonywania tych czynności. Rozporządzenie wymaga m.in. zabezpieczenia danych w sposób umożliwiający ich późniejsze odczytanie (np. poprzez zapis na nośniku informatycznym), sporządzenia notatki służbowej z przeprowadzonych czynności oraz przechowywania danych z ograniczeniem dostępu wyłącznie do osób upoważnionych.
Instytucja zabezpieczenia danych informatycznych pełni funkcję tymczasowego środka ochrony materiału cyfrowego przed zniszczeniem lub modyfikacją, co ma szczególne znaczenie ze względu na łatwość ingerencji w dane elektroniczne. Jednocześnie regulacja ma charakter gwarancyjny – ogranicza czas zabezpieczenia, nakazuje zwalnianie spod zabezpieczenia danych nieistotnych oraz kieruje obowiązki wyłącznie do podmiotów profesjonalnych, co służy ochronie prawa do prywatności użytkowników. W literaturze wskazuje się jednak, że w praktyce organy ścigania wciąż często korzystają z prostszych, „klasycznych” metod dokumentowania treści cyfrowych, co może osłabiać standard integralności i wiarygodności dowodów informatycznych, zabezpieczanych z pominięciem reguł z art. 218a-218b k.p.k. i powyższych przepisów wykonawczych.
Jednocześnie należy pamiętać o regulacji art. 47 ust. 1 pkt 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, zgodnie z którym Przedsiębiorca telekomunikacyjny co do zasady jest obowiązany na własny koszt zatrzymywać i przechowywać określone dane identyfikacyjne generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi, zatem zwrócenie się przez organy ścigania lub Sąd po upływie okresu tzw. retencji danych (czyli wspomnianych 12 miesięcy) może okazać się bezskuteczne, gdyż dane te mogły zostać przez przedsiębiorcę telekomunikacyjnego usunięte po upływie wspomnianego ustawowego okresu zabezpieczenia.
