Już sam ten katalog może wprawić w osłupienie – dlaczego organ administracji ma być łagodniej traktowany niż przedsiębiorca? Przecież nasze dane, którymi dysponuje władza publiczna, są po stokroć bardziej cenne niż te, którymi dysponują przedsiębiorcy. Żeby odpowiedzieć na to pytanie, trzeba w pierwszej kolejności zdać sobie sprawę z tego, kto byłby karany. A byłby karany „minister", czyli organ administracji publicznej, a nie osoba piastująca ten urząd; byłaby karana „gmina", czyli wspólnota samorządowa, a nie wójt. Wynika to z przepisów RODO i podstawowych konstrukcji prawa ochrony danych osobowych – administratorem danych w sferze publicznej, czyli tym, kto może zostać ukarany, jest zawsze organ władzy publicznej, a nie osoba, która pełni dany urząd. Gdy mówimy o karaniu ministra czy wojewody, tak naprawdę karzemy państwo polskie; gdy kara miałaby zostać nałożona na gminę, ukaranym byłaby wspólnota samorządowa.
Czy tę odpowiedzialność można przenieść na konkretne osoby? Nie, ponieważ ukarany karą pieniężną na podstawie przepisów RODO ma być określony podmiot (administrator danych lub podmiot przetwarzający dane na zlecenie), a nie osoba zarządzająca tym podmiotem lub w nim zatrudniona. Jednocześnie decyzje wydawane przez prezesa Urzędu Ochrony Danych Osobowych w stosunku do danych osobowych przetwarzanych przez administrację publiczną powinny być szeroko komunikowane opinii publicznej, która ma prawo wiedzieć, jak dane osobowe obywateli są chronione w sektorze publicznym. Ministerstwo proponuje więc, aby prezes urzędu był zobowiązany do publikowania swoich decyzji na stronach internetowych urzędu (takie decyzje stanowią informację publiczną i po części są publikowane już teraz). Dodatkowo, jeżeli podmiot będący adresatem decyzji należy do sektora publicznego, będzie zobowiązany do niezwłocznego opublikowania na swojej stronie internetowej informacji o działaniach podjętych w celu wykonania decyzji. W rezultacie wiedza o tym, że dany organ administracji nie chroni należycie danych osobowych, powinna stać się wiedzą powszechną, co w końcowym rozrachunku może doprowadzić do pociągnięcia tego organu przez nas, obywateli – wyborców, do odpowiedzialności politycznej (o ile oczywiście obywatele będą zainteresowani tym, jak ich dane osobowe są chronione, ale to już temat na inny artykuł).
Jeżeli kara zostanie nałożona na podmiot publiczny, to dalsze losy tej kary zależą od tego, do jakiego sektora administracji należy ukarany podmiot. Jeżeli należy on do administracji rządowej, kwota kary podlega prostemu przeksięgowaniu z jednego konta budżetowego na inne – wszystko zostaje w Skarbie Państwa; jeżeli ukarany należy do administracji samorządowej lub jeżeli ukarany jest odrębną osobą prawną, np. szpitalem albo uczelnią wyższą, przelewa kwotę kary na odpowiedni rachunek budżetowy.
Łagodniej, bo publiczne pieniądze
Margaret Thatcher przypisuje się powiedzenie, że „[n]ie ma czegoś takiego jak publiczne pieniądze. Jeśli rząd mówi, że komuś coś da, to znaczy, że zabierze tobie, bo rząd nie ma żadnych własnych pieniędzy". Tak samo działają kary nakładane na administrację publiczną – administracja nie ma własnych pieniędzy, więc żeby zapłacić karę, musi te pieniądze zabrać obywatelom albo ograniczyć to, co dla obywateli robi. W przypadku administracji rządowej kara od początku do końca pozostaje w budżecie państwa, a cały proces zapłaty kary to proste księgowanie środków. Oczywiście podmiot ukarany ma nadal do wykonania swoje ustawowe zadania, a środków mniej, administracja rządowa stanie więc przed wyborem: albo znowelizować budżet, albo nie wykonać części zadań. W pierwszym wypadku koszty poniesiemy, my, społeczeństwo, w drugim też. Podobnie sprawa będzie się miała w odniesieniu do administracji samorządowej i podmiotów w rodzaju szpitale czy uczelnie – pozbawienie ich pewnej części środków spowoduje albo konieczność przekazania im tych środków w innym trybie, albo ograniczenie ich zakresu zadań. Tak czy inaczej w końcowym rozrachunku ta odpowiedzialność dotknie nas, obywateli.
Wyścig donikąd
Czy więc kary nakładane na podmioty publiczne za naruszenie przepisów RODO mają w ogóle sens? Owszem, mają. Pozwalają na ukaranie pracownika lub pracowników, których zaniedbania doprowadziły do nałożenia kary. Natomiast wyścig na kwoty kar w sektorze publicznym prowadzi donikąd – w końcowym rozrachunku koszty tych kar i tak spadną na nas, obywateli. RODO wymaga innego podejścia do kwestii ochrony danych osobowych – w myśl zasady privacy by desing (uwzględnianie ochrony danych osobowych w fazie projektowania), preferowanym podejściem jest podejście proaktywne, a nie reaktywne; przeciwdziałanie zagrożeniom, a nie niwelowanie ich skutków. Widać to w szczególności w sektorze publicznym, który zwiększone środki budżetowe powinien przeznaczać na podnoszenie poziomu ochrony danych osobowych. ?
Autor jest adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, ekspertem Instytutu Allerhanda
