Kary finansowe dla administracji publicznej w RODO – dlaczego będą niższe

Ogólne rozporządzenie o ochronie danych (RODO) daje państwom członkowskim możliwość podjęcia decyzji o nakładaniu bądź nienakładaniu kar finansowych na organy i podmioty publiczne. Polskie propozycje nowych przepisów o ochronie danych osobowych przewidują możliwość nakładania administracyjnych kar pieniężnych na podmioty publiczne w wysokości do 100 tys. zł. Tak stanowi art. 83 ust. 1 projektu ustawy o ochronie danych osobowych z 12 września 2017 r.

Największe emocje w związku z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO) budzi wysokość kar, które mogą zostać nałożone na administratora przez organ nadzorczy w przypadku naruszenia przepisów RODO. Sama możliwość nakładania kar na administratora nie budzi zastrzeżeń, ale różnicowanie ich wysokości, w zależności od statusu prawnego administratora danych, już tak.

W trakcie 20 lat obowiązywania ustawy o ochronie danych osobowych z 1997 roku przetwarzanie danych osobowych z naruszeniem adekwatnej ochrony wiązało się z karami, w tym pieniężnymi. Przepisy te nie były jednak zbyt często stosowane i egzekwowane. Ujawnienie nieprawidłowości w ramach przetwarzania danych osobowych skutkowało przede wszystkim podjęciem odpowiednich kroków prawnych przez Generalnego Inspektora Ochrony Danych Osobowych, kończących się wydaniem decyzji administracyjnej. Za niewykonanie tej decyzji GIODO uprawniony był (i nadal jest) do nałożenia kary grzywny. RODO wprowadza diametralną zmianę w zakresie administracyjnych kar pieniężnych.

Zgodnie z przepisami RODO organ nadzorczy zapewnia, by stosowane kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Kary te należy nakładać zależnie od okoliczności każdego indywidualnego przypadku oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a–h oraz j RODO.

Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, organ nadzorczy musi zwracać uwagę na każdy indywidualny przypadek, a w tym m.in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu:

• charakteru, zakresu lub celu danego przetwarzania,
• liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
• umyślnego lub nieumyślnego charakteru naruszenia,
• działań podjętych przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
• stopnia odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
• wszelkich stosownych wcześniejszych naruszeń ze strony administratora lub podmiotu przetwarzającego,
• stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

Administracyjne kary pieniężne, według ogólnego rozporządzenia o ochronie danych (RODO), mogą być nakładane w wysokości do 20 mln euro lub 4% rocznego światowego obrotu, przy czym zastosowanie będzie miała kwota wyższa.

Polski ustawodawca zdecydował, że na podmioty publiczne, o których mowa w art. 9 pkt 1–12 i 14 ustawy z 27 sierpnia 2009 r. o finansach publicznych, Prezes Urzędu może nałożyć w drodze decyzji administracyjne kary pieniężne w wysokości do 100 tys. zł (art. 83 ust. 1 projektu ustawy o ochronie danych osobowych z 12 września 2017 r.).

Jak wynika z uzasadnienia do projektu, przyjęto, że w polskim systemie prawnym przez organy publiczne będą rozumiane organy administracji publicznej w rozumieniu art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego, a więc:

• ministrowie,
• centralne organy administracji rządowej,
• wojewodowie,
• działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej),
• organy jednostek samorządu terytorialnego oraz
• organy i podmioty wymienione w art. 1 pkt 2 Kodeksu postępowania administracyjnego.

Przez podmioty publiczne będziemy natomiast rozumieli podmioty sektora finansów publicznych, a więc:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,

2) jednostki samorządu terytorialnego oraz ich związki,

2a) związki metropolitalne,

3) jednostki budżetowe,

4) samorządowe zakłady budżetowe,

5) agencje wykonawcze,

6) instytucje gospodarki budżetowej,

7) państwowe fundusze celowe,

8) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasę Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,

9) Narodowy Fundusz Zdrowia,

10) samodzielne publiczne zakłady opieki zdrowotnej,

11) uczelnie publiczne,

12) Polską Akademię Nauk i tworzone przez nią jednostki organizacyjne,

13) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Polski ustawodawca, uzasadniając zróżnicowanie wysokości kary administracyjnej nakładanej na administratora danych osobowych w zależności od jego statusu prawnego, wskazuje, że w przypadku nałożenia na podmiot publiczny administracyjnej kary pieniężnej środki z tej kary pośrednio trafiałyby z powrotem do tego podmiotu.

„O ile bowiem w odniesieniu do podmiotów spoza administracji publicznej administracyjna kara pieniężna jest dotkliwą sankcją, to nie można zgodzić się, iż taki sam skutek odnosiła ona będzie w stosunku do podmiotów publicznych. Zatem kara ta nie spełniałaby swego represyjnego celu. Dodatkowo nakładanie kar na administrację publiczną w znacznych ilościach pośrednio obciąża obywateli, uwzględniając, że środki publiczne pochodzą również z obciążeń podatkowych wnoszonych przez obywateli. Projektodawca zdecydował się również wprowadzić wyjątek w zakresie nakładania administracyjnych kar finansowych, wyłączając z możliwości objęcia takimi karami państwowe i samorządowe instytucje kultury” – czytamy w uzasadnieniu do projektu ustawy o ochronie danych osobowych z 12 września 2017 r.