Kary finansowe dla administracji publicznej w RODO – dlaczego będą niższe

Paweł Biały

Autor: Paweł Biały

Dodano: 6 listopada 2017
Kary finansowe dla administracji publicznej w RODO – dlaczego będą niższe

Ogólne rozporządzenie o ochronie danych (RODO) daje możliwość nakładania przez organ nadzorczy wysokich administracyjnych kar pieniężnych za nieprzestrzeganie przepisów o ochronie danych osobowych – nawet do 20 mln euro. Jednak kary dla administracji publicznej mają być niższe. Dowiedz się, dlaczego te podmioty mogą liczyć na niższe kary.

Ogólne rozporządzenie o ochronie danych (RODO) daje państwom członkowskim możliwość podjęcia decyzji o nakładaniu bądź nienakładaniu kar finansowych na organy i podmioty publiczne. Polskie propozycje nowych przepisów o ochronie danych osobowych przewidują możliwość nakładania administracyjnych kar pieniężnych na podmioty publiczne w wysokości do 100 tys. zł. Tak stanowi art. 83 ust. 1 projektu ustawy o ochronie danych osobowych z 12 września 2017 r.

Kary finansowe – jak było dotychczas

Największe emocje w związku z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO) budzi wysokość kar, które mogą zostać nałożone na administratora przez organ nadzorczy w przypadku naruszenia przepisów RODO. Sama możliwość nakładania kar na administratora nie budzi zastrzeżeń, ale różnicowanie ich wysokości, w zależności od statusu prawnego administratora danych, już tak.

W trakcie 20 lat obowiązywania ustawy o ochronie danych osobowych z 1997 roku przetwarzanie danych osobowych z naruszeniem adekwatnej ochrony wiązało się z karami, w tym pieniężnymi. Przepisy te nie były jednak zbyt często stosowane i egzekwowane. Ujawnienie nieprawidłowości w ramach przetwarzania danych osobowych skutkowało przede wszystkim podjęciem odpowiednich kroków prawnych przez Generalnego Inspektora Ochrony Danych Osobowych, kończących się wydaniem decyzji administracyjnej. Za niewykonanie tej decyzji GIODO uprawniony był (i nadal jest) do nałożenia kary grzywny. RODO wprowadza diametralną zmianę w zakresie administracyjnych kar pieniężnych.

Uwaga

Ogólne rozporządzenie o ochronie danych (RODO) wskazuje, że każde państwo członkowskie może określić, czy i w jakim zakresie będzie nakładać administracyjne kary pieniężne na organy i podmioty publiczne.

Jakie kary finansowe przewiduje RODO

Zgodnie z przepisami RODO organ nadzorczy zapewnia, by stosowane kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Kary te należy nakładać zależnie od okoliczności każdego indywidualnego przypadku oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a–h oraz j RODO.

Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, organ nadzorczy musi zwracać uwagę na każdy indywidualny przypadek, a w tym m.in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu:

  • charakteru, zakresu lub celu danego przetwarzania,
  • liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
  • umyślnego lub nieumyślnego charakteru naruszenia,
  • działań podjętych przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • stopnia odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
  • wszelkich stosownych wcześniejszych naruszeń ze strony administratora lub podmiotu przetwarzającego,
  • stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

Administracyjne kary pieniężne, według ogólnego rozporządzenia o ochronie danych (RODO), mogą być nakładane w wysokości do 20 mln euro lub 4% rocznego światowego obrotu, przy czym zastosowanie będzie miała kwota wyższa.

Z jakimi karami musi liczyć się administracja publiczna

Polski ustawodawca zdecydował, że na podmioty publiczne, o których mowa w art. 9 pkt 1–12 i 14 ustawy z 27 sierpnia 2009 r. o finansach publicznych, Prezes Urzędu może nałożyć w drodze decyzji administracyjne kary pieniężne w wysokości do 100 tys. zł (art. 83 ust. 1 projektu ustawy o ochronie danych osobowych z 12 września 2017 r.).

Jak wynika z uzasadnienia do projektu, przyjęto, że w polskim systemie prawnym przez organy publiczne będą rozumiane organy administracji publicznej w rozumieniu art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego, a więc:

  • ministrowie,
  • centralne organy administracji rządowej,
  • wojewodowie,
  • działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej),
  • organy jednostek samorządu terytorialnego oraz
  • organy i podmioty wymienione w art. 1 pkt 2 Kodeksu postępowania administracyjnego.

Przez podmioty publiczne będziemy natomiast rozumieli podmioty sektora finansów publicznych, a więc:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,

2) jednostki samorządu terytorialnego oraz ich związki,

2a) związki metropolitalne,

3) jednostki budżetowe,

4) samorządowe zakłady budżetowe,

5) agencje wykonawcze,

6) instytucje gospodarki budżetowej,

7) państwowe fundusze celowe,

8) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasę Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,

9) Narodowy Fundusz Zdrowia,

10) samodzielne publiczne zakłady opieki zdrowotnej,

11) uczelnie publiczne,

12) Polską Akademię Nauk i tworzone przez nią jednostki organizacyjne,

13) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Dlaczego kary dla administracji publicznej mają być niższe

Polski ustawodawca, uzasadniając zróżnicowanie wysokości kary administracyjnej nakładanej na administratora danych osobowych w zależności od jego statusu prawnego, wskazuje, że w przypadku nałożenia na podmiot publiczny administracyjnej kary pieniężnej środki z tej kary pośrednio trafiałyby z powrotem do tego podmiotu.

„O ile bowiem w odniesieniu do podmiotów spoza administracji publicznej administracyjna kara pieniężna jest dotkliwą sankcją, to nie można zgodzić się, iż taki sam skutek odnosiła ona będzie w stosunku do podmiotów publicznych. Zatem kara ta nie spełniałaby swego represyjnego celu. Dodatkowo nakładanie kar na administrację publiczną w znacznych ilościach pośrednio obciąża obywateli, uwzględniając, że środki publiczne pochodzą również z obciążeń podatkowych wnoszonych przez obywateli. Projektodawca zdecydował się również wprowadzić wyjątek w zakresie nakładania administracyjnych kar finansowych, wyłączając z możliwości objęcia takimi karami państwowe i samorządowe instytucje kultury” – czytamy w uzasadnieniu do projektu ustawy o ochronie danych osobowych z 12 września 2017 r.

Ważne:

Z coraz głośniej wypowiadaną krytyką spotyka się jaskrawa dysproporcja w wysokości kar, w zależności od tego, czy administrator jest organem lub podmiotem publicznym, czy też nie. Dodatkowo pojawia się pogląd, że RODO daje wyłączną możliwość do podjęcia decyzji o nakładaniu bądź nie administracyjnej kary pieniężnej oraz jej zakresu. Nie daje jednak podstawy prawnej do decydowania o jej wysokości.

Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel