fbTrack
REKLAMA
REKLAMA

Opinie

Kary dla urzędów, szpitali, uczelni - Paweł Litwiński o ochronie danych osobowych w podmiotach publicznych

Fotolia
Kary dla podmiotów publicznych za naruszenie przepisów o ochronie danych osobowych będą znacznie niższe niż dla firm. I dobrze, bo i tak zapłacimy za nie wszyscy – przekonuje prawnik.

W wielu dyskusjach dotyczących nowego europejskiego prawa ochrony danych osobowych na pierwszy plan wysuwa się jedno słowo – kary. I chociaż jest to ogromne uproszczenie, to nie sposób nie zauważyć, że kary za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO) to rzeczywiście całkowita nowość w polskich realiach.

Kary w przepisach RODO określone zostały kwotowo lub procentowo w zależności od obrotów ukaranego podmiotu. Będą mogły być nakładane przez prezesa Urzędu Ochrony Danych Osobowych (następca GIODO) za szereg konkretnych naruszeń wskazanych w RODO. Co ciekawe, będą mogły być nakładane na podmioty publiczne i prywatne – i tutaj docieramy do sedna zagadnienia: jak karać podmioty publiczne?

Tysiące złotych zamiast milionów euro

W przypadku podmiotów publicznych, co do których nie można mówić o obrocie w znaczeniu rachunkowym, mogą znaleźć zastosowanie kary określone kwotowo: 10 mln euro lub 20 mln euro. Mogą, gdyż RODO daje tutaj pełną swobodę państwom członkowskim: zgodnie z art. 83 ust. 7 RODO każde państwo członkowskie może samodzielnie zdecydować, czy podmioty publiczne z tego państwa będą podlegały karom, a jeżeli tak, to w jakiej wysokości. Już na poziomie rozporządzenia sprawa jest więc jasna – podmioty publiczne mogą zostać w całości wyłączone spod przepisów o karach; jeżeli tak się nie stanie, kwoty kar od podmiotów publicznych mogą zostać obniżone.

Z tej właśnie możliwości – obniżenia kar – chce skorzystać Ministerstwo Cyfryzacji. W projekcie nowej ustawy o ochronie danych osobowych proponuje bowiem, aby kary na podmioty publiczne mogły być nakładane w wysokości do 100 tys. zł.

Jakie podmioty będą mogły skorzystać z obniżonych kar? Po pierwsze, organy administracji publicznej, takie jak ministrowie, wojewodowie, inne terenowe organy administracji rządowej, czy organy jednostek samorządu terytorialnego. Po drugie, tzw. podmioty sektora finansów publicznych, a więc np. sądy, jednostki budżetowe, fundusze celowe, samodzielne publiczne zakłady opieki zdrowotnej czy uczelnie publiczne.

Już sam ten katalog może wprawić w osłupienie – dlaczego organ administracji ma być łagodniej traktowany niż przedsiębiorca? Przecież nasze dane, którymi dysponuje władza publiczna, są po stokroć bardziej cenne niż te, którymi dysponują przedsiębiorcy. Żeby odpowiedzieć na to pytanie, trzeba w pierwszej kolejności zdać sobie sprawę z tego, kto byłby karany. A byłby karany „minister", czyli organ administracji publicznej, a nie osoba piastująca ten urząd; byłaby karana „gmina", czyli wspólnota samorządowa, a nie wójt. Wynika to z przepisów RODO i podstawowych konstrukcji prawa ochrony danych osobowych – administratorem danych w sferze publicznej, czyli tym, kto może zostać ukarany, jest zawsze organ władzy publicznej, a nie osoba, która pełni dany urząd. Gdy mówimy o karaniu ministra czy wojewody, tak naprawdę karzemy państwo polskie; gdy kara miałaby zostać nałożona na gminę, ukaranym byłaby wspólnota samorządowa.

Czy tę odpowiedzialność można przenieść na konkretne osoby? Nie, ponieważ ukarany karą pieniężną na podstawie przepisów RODO ma być określony podmiot (administrator danych lub podmiot przetwarzający dane na zlecenie), a nie osoba zarządzająca tym podmiotem lub w nim zatrudniona. Jednocześnie decyzje wydawane przez prezesa Urzędu Ochrony Danych Osobowych w stosunku do danych osobowych przetwarzanych przez administrację publiczną powinny być szeroko komunikowane opinii publicznej, która ma prawo wiedzieć, jak dane osobowe obywateli są chronione w sektorze publicznym. Ministerstwo proponuje więc, aby prezes urzędu był zobowiązany do publikowania swoich decyzji na stronach internetowych urzędu (takie decyzje stanowią informację publiczną i po części są publikowane już teraz). Dodatkowo, jeżeli podmiot będący adresatem decyzji należy do sektora publicznego, będzie zobowiązany do niezwłocznego opublikowania na swojej stronie internetowej informacji o działaniach podjętych w celu wykonania decyzji. W rezultacie wiedza o tym, że dany organ administracji nie chroni należycie danych osobowych, powinna stać się wiedzą powszechną, co w końcowym rozrachunku może doprowadzić do pociągnięcia tego organu przez nas, obywateli – wyborców, do odpowiedzialności politycznej (o ile oczywiście obywatele będą zainteresowani tym, jak ich dane osobowe są chronione, ale to już temat na inny artykuł).

Jeżeli kara zostanie nałożona na podmiot publiczny, to dalsze losy tej kary zależą od tego, do jakiego sektora administracji należy ukarany podmiot. Jeżeli należy on do administracji rządowej, kwota kary podlega prostemu przeksięgowaniu z jednego konta budżetowego na inne – wszystko zostaje w Skarbie Państwa; jeżeli ukarany należy do administracji samorządowej lub jeżeli ukarany jest odrębną osobą prawną, np. szpitalem albo uczelnią wyższą, przelewa kwotę kary na odpowiedni rachunek budżetowy.

Łagodniej, bo publiczne pieniądze

Margaret Thatcher przypisuje się powiedzenie, że „[n]ie ma czegoś takiego jak publiczne pieniądze. Jeśli rząd mówi, że komuś coś da, to znaczy, że zabierze tobie, bo rząd nie ma żadnych własnych pieniędzy". Tak samo działają kary nakładane na administrację publiczną – administracja nie ma własnych pieniędzy, więc żeby zapłacić karę, musi te pieniądze zabrać obywatelom albo ograniczyć to, co dla obywateli robi. W przypadku administracji rządowej kara od początku do końca pozostaje w budżecie państwa, a cały proces zapłaty kary to proste księgowanie środków. Oczywiście podmiot ukarany ma nadal do wykonania swoje ustawowe zadania, a środków mniej, administracja rządowa stanie więc przed wyborem: albo znowelizować budżet, albo nie wykonać części zadań. W pierwszym wypadku koszty poniesiemy, my, społeczeństwo, w drugim też. Podobnie sprawa będzie się miała w odniesieniu do administracji samorządowej i podmiotów w rodzaju szpitale czy uczelnie – pozbawienie ich pewnej części środków spowoduje albo konieczność przekazania im tych środków w innym trybie, albo ograniczenie ich zakresu zadań. Tak czy inaczej w końcowym rozrachunku ta odpowiedzialność dotknie nas, obywateli.

Wyścig donikąd

Czy więc kary nakładane na podmioty publiczne za naruszenie przepisów RODO mają w ogóle sens? Owszem, mają. Pozwalają na ukaranie pracownika lub pracowników, których zaniedbania doprowadziły do nałożenia kary. Natomiast wyścig na kwoty kar w sektorze publicznym prowadzi donikąd – w końcowym rozrachunku koszty tych kar i tak spadną na nas, obywateli. RODO wymaga innego podejścia do kwestii ochrony danych osobowych – w myśl zasady privacy by desing (uwzględnianie ochrony danych osobowych w fazie projektowania), preferowanym podejściem jest podejście proaktywne, a nie reaktywne; przeciwdziałanie zagrożeniom, a nie niwelowanie ich skutków. Widać to w szczególności w sektorze publicznym, który zwiększone środki budżetowe powinien przeznaczać na podnoszenie poziomu ochrony danych osobowych. ?

Autor jest adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, ekspertem Instytutu Allerhanda

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA