Jakie mają być kary pieniężne za naruszenia ochrony danych dla administracji publicznej
Ministerstwo Cyfryzacji (odpowiedzialne za przygotowanie krajowej regulacji o ochronie danych) zdecydowało, że administracyjnym karom pieniężnym będą w Polsce podlegać również podmioty publiczne, ale jedynie te, o których mowa w art. 9 pkt 8–14 ustawy z 27 sierpnia 2009 r. o finansach publicznych. Zgodnie z projektem ustawy o ochronie danych osobowych kary mają wynieść do 100 tys. zł.
Ministerstwo Cyfryzacji opublikowało 28 marca 2017 r. na swojej stronie internetowej projekt nowej ustawy o ochronie danych osobowych. Tworząc projekt, uznano, że ogólne zasady nakładania administracyjnych kar pieniężnych wynikające z unijnego rozporządzenia są na tyle jasne, że nie wymagają przeniesienia do przepisów krajowych. Rozporządzenie ogólne daje jednak prawo wyboru państwu członkowskiemu, czy i w jakim zakresie nakładać kary pieniężne na organy i podmioty publiczne.
Ministerstwo Cyfryzacji zdecydowało, że administracyjnym karom pieniężnym będą w Polsce podlegać również podmioty publiczne, ale jedynie te, o których mowa w art. 9 pkt 8–14 ustawy z 27 sierpnia 2009 r. o finansach publicznych. Wymieniono tam:
- Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasę Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,
- Narodowy Fundusz Zdrowia,
- samodzielne publiczne zakłady opieki zdrowotnej,
- uczelnie publiczne,
- Polską Akademię Nauk i tworzone przez nią jednostki organizacyjne,
- państwowe i samorządowe instytucje kultury,
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
Prezes Urzędu Ochrony Danych Osobowych (bo tak według projektu ustawy będzie nazywał się następca GIODO) nie będzie mógł ukarać finansowo takich podmiotów, jak między innymi: organy władzy i administracji publicznej, jednostki samorządu terytorialnego, sądy, organy kontroli państwowej i ochrony prawa.
Projekt ustawy o ochronie danych osobowych różnicuje nakładanie administracyjnych kar pieniężnych na podmioty prywatne oraz na podmioty publiczne. Dla podmiotów z sektora publicznego autor projektu ustawy był bardziej pobłażliwy – maksymalna wysokość kary w ich przypadku to 100 tys. złotych. Projektodawca był świadomy, że wysokość kar wynikająca z ogólnego rozporządzenia, o ile nie byłaby wyższa od rocznego budżetu państwowej instytucji, to co najmniej mogłaby zakłócić wykonywanie przez nią zadań publicznych.
W odniesieniu do określonych w rozporządzeniu kryteriów nakładania kar na podmioty prywatne projekt ustawy nie wprowadza żadnych zmian – ich nakładanie będzie odbywało się na podstawie i na warunkach określonych w art. 83 rozporządzenia ogólnego. Natomiast kryteria nakładania kar na podmioty publiczne będą różnić się nieco od tych stosowanych dla podmiotów prywatnych.
Prezes Urzędu Ochrony Danych Osobowych decydując, czy nałożyć karę pieniężną na podmiot publiczny oraz ustalając jej wysokość, nie będzie brał pod uwagę stosowania przez ten podmiot zatwierdzonych kodeksów postępowania oraz zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j rozporządzenia). Zdaniem projektodawcy instytucje te adresowane są do przedsiębiorców, a nie do instytucji sektora publicznego.
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L nr 119, str. 1),
- projekt ustawy o ochronie danych osobowych.
- Dane osób zmarłych w wezwaniu do odbioru depozytu – podstawa przetwarzania
- Pracownik z karą porządkową za doprowadzenie do naruszenia ochrony danych
- Udostępnienie korespondencji z danymi osobowymi
- Jakiej dokumentacji ODO można żądać od procesora
- Omyłkowa korespondencja z ZUS z danymi osobowymi – jak postąpić
- Inspektor ochrony danych w firmie IT obsługującej szpital
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
