Kary dla urzędów, szpitali, uczelni - Paweł Litwiński o ochronie danych osobowych w podmiotach publicznych

Kary dla podmiotów publicznych za naruszenie przepisów o ochronie danych osobowych będą znacznie niższe niż dla firm. I dobrze, bo i tak zapłacimy za nie wszyscy – przekonuje prawnik.

Publikacja: 29.09.2017 08:21

Kary dla urzędów, szpitali, uczelni - Paweł Litwiński o ochronie danych osobowych w podmiotach publicznych

Foto: Fotolia

W wielu dyskusjach dotyczących nowego europejskiego prawa ochrony danych osobowych na pierwszy plan wysuwa się jedno słowo – kary. I chociaż jest to ogromne uproszczenie, to nie sposób nie zauważyć, że kary za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO) to rzeczywiście całkowita nowość w polskich realiach.

Kary w przepisach RODO określone zostały kwotowo lub procentowo w zależności od obrotów ukaranego podmiotu. Będą mogły być nakładane przez prezesa Urzędu Ochrony Danych Osobowych (następca GIODO) za szereg konkretnych naruszeń wskazanych w RODO. Co ciekawe, będą mogły być nakładane na podmioty publiczne i prywatne – i tutaj docieramy do sedna zagadnienia: jak karać podmioty publiczne?

Tysiące złotych zamiast milionów euro

W przypadku podmiotów publicznych, co do których nie można mówić o obrocie w znaczeniu rachunkowym, mogą znaleźć zastosowanie kary określone kwotowo: 10 mln euro lub 20 mln euro. Mogą, gdyż RODO daje tutaj pełną swobodę państwom członkowskim: zgodnie z art. 83 ust. 7 RODO każde państwo członkowskie może samodzielnie zdecydować, czy podmioty publiczne z tego państwa będą podlegały karom, a jeżeli tak, to w jakiej wysokości. Już na poziomie rozporządzenia sprawa jest więc jasna – podmioty publiczne mogą zostać w całości wyłączone spod przepisów o karach; jeżeli tak się nie stanie, kwoty kar od podmiotów publicznych mogą zostać obniżone.

Z tej właśnie możliwości – obniżenia kar – chce skorzystać Ministerstwo Cyfryzacji. W projekcie nowej ustawy o ochronie danych osobowych proponuje bowiem, aby kary na podmioty publiczne mogły być nakładane w wysokości do 100 tys. zł.

Jakie podmioty będą mogły skorzystać z obniżonych kar? Po pierwsze, organy administracji publicznej, takie jak ministrowie, wojewodowie, inne terenowe organy administracji rządowej, czy organy jednostek samorządu terytorialnego. Po drugie, tzw. podmioty sektora finansów publicznych, a więc np. sądy, jednostki budżetowe, fundusze celowe, samodzielne publiczne zakłady opieki zdrowotnej czy uczelnie publiczne.

Już sam ten katalog może wprawić w osłupienie – dlaczego organ administracji ma być łagodniej traktowany niż przedsiębiorca? Przecież nasze dane, którymi dysponuje władza publiczna, są po stokroć bardziej cenne niż te, którymi dysponują przedsiębiorcy. Żeby odpowiedzieć na to pytanie, trzeba w pierwszej kolejności zdać sobie sprawę z tego, kto byłby karany. A byłby karany „minister", czyli organ administracji publicznej, a nie osoba piastująca ten urząd; byłaby karana „gmina", czyli wspólnota samorządowa, a nie wójt. Wynika to z przepisów RODO i podstawowych konstrukcji prawa ochrony danych osobowych – administratorem danych w sferze publicznej, czyli tym, kto może zostać ukarany, jest zawsze organ władzy publicznej, a nie osoba, która pełni dany urząd. Gdy mówimy o karaniu ministra czy wojewody, tak naprawdę karzemy państwo polskie; gdy kara miałaby zostać nałożona na gminę, ukaranym byłaby wspólnota samorządowa.

Czy tę odpowiedzialność można przenieść na konkretne osoby? Nie, ponieważ ukarany karą pieniężną na podstawie przepisów RODO ma być określony podmiot (administrator danych lub podmiot przetwarzający dane na zlecenie), a nie osoba zarządzająca tym podmiotem lub w nim zatrudniona. Jednocześnie decyzje wydawane przez prezesa Urzędu Ochrony Danych Osobowych w stosunku do danych osobowych przetwarzanych przez administrację publiczną powinny być szeroko komunikowane opinii publicznej, która ma prawo wiedzieć, jak dane osobowe obywateli są chronione w sektorze publicznym. Ministerstwo proponuje więc, aby prezes urzędu był zobowiązany do publikowania swoich decyzji na stronach internetowych urzędu (takie decyzje stanowią informację publiczną i po części są publikowane już teraz). Dodatkowo, jeżeli podmiot będący adresatem decyzji należy do sektora publicznego, będzie zobowiązany do niezwłocznego opublikowania na swojej stronie internetowej informacji o działaniach podjętych w celu wykonania decyzji. W rezultacie wiedza o tym, że dany organ administracji nie chroni należycie danych osobowych, powinna stać się wiedzą powszechną, co w końcowym rozrachunku może doprowadzić do pociągnięcia tego organu przez nas, obywateli – wyborców, do odpowiedzialności politycznej (o ile oczywiście obywatele będą zainteresowani tym, jak ich dane osobowe są chronione, ale to już temat na inny artykuł).

Jeżeli kara zostanie nałożona na podmiot publiczny, to dalsze losy tej kary zależą od tego, do jakiego sektora administracji należy ukarany podmiot. Jeżeli należy on do administracji rządowej, kwota kary podlega prostemu przeksięgowaniu z jednego konta budżetowego na inne – wszystko zostaje w Skarbie Państwa; jeżeli ukarany należy do administracji samorządowej lub jeżeli ukarany jest odrębną osobą prawną, np. szpitalem albo uczelnią wyższą, przelewa kwotę kary na odpowiedni rachunek budżetowy.

Łagodniej, bo publiczne pieniądze

Margaret Thatcher przypisuje się powiedzenie, że „[n]ie ma czegoś takiego jak publiczne pieniądze. Jeśli rząd mówi, że komuś coś da, to znaczy, że zabierze tobie, bo rząd nie ma żadnych własnych pieniędzy". Tak samo działają kary nakładane na administrację publiczną – administracja nie ma własnych pieniędzy, więc żeby zapłacić karę, musi te pieniądze zabrać obywatelom albo ograniczyć to, co dla obywateli robi. W przypadku administracji rządowej kara od początku do końca pozostaje w budżecie państwa, a cały proces zapłaty kary to proste księgowanie środków. Oczywiście podmiot ukarany ma nadal do wykonania swoje ustawowe zadania, a środków mniej, administracja rządowa stanie więc przed wyborem: albo znowelizować budżet, albo nie wykonać części zadań. W pierwszym wypadku koszty poniesiemy, my, społeczeństwo, w drugim też. Podobnie sprawa będzie się miała w odniesieniu do administracji samorządowej i podmiotów w rodzaju szpitale czy uczelnie – pozbawienie ich pewnej części środków spowoduje albo konieczność przekazania im tych środków w innym trybie, albo ograniczenie ich zakresu zadań. Tak czy inaczej w końcowym rozrachunku ta odpowiedzialność dotknie nas, obywateli.

Wyścig donikąd

Czy więc kary nakładane na podmioty publiczne za naruszenie przepisów RODO mają w ogóle sens? Owszem, mają. Pozwalają na ukaranie pracownika lub pracowników, których zaniedbania doprowadziły do nałożenia kary. Natomiast wyścig na kwoty kar w sektorze publicznym prowadzi donikąd – w końcowym rozrachunku koszty tych kar i tak spadną na nas, obywateli. RODO wymaga innego podejścia do kwestii ochrony danych osobowych – w myśl zasady privacy by desing (uwzględnianie ochrony danych osobowych w fazie projektowania), preferowanym podejściem jest podejście proaktywne, a nie reaktywne; przeciwdziałanie zagrożeniom, a nie niwelowanie ich skutków. Widać to w szczególności w sektorze publicznym, który zwiększone środki budżetowe powinien przeznaczać na podnoszenie poziomu ochrony danych osobowych. ?

Autor jest adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, ekspertem Instytutu Allerhanda

W wielu dyskusjach dotyczących nowego europejskiego prawa ochrony danych osobowych na pierwszy plan wysuwa się jedno słowo – kary. I chociaż jest to ogromne uproszczenie, to nie sposób nie zauważyć, że kary za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO) to rzeczywiście całkowita nowość w polskich realiach.

Kary w przepisach RODO określone zostały kwotowo lub procentowo w zależności od obrotów ukaranego podmiotu. Będą mogły być nakładane przez prezesa Urzędu Ochrony Danych Osobowych (następca GIODO) za szereg konkretnych naruszeń wskazanych w RODO. Co ciekawe, będą mogły być nakładane na podmioty publiczne i prywatne – i tutaj docieramy do sedna zagadnienia: jak karać podmioty publiczne?

Pozostało 89% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Opinie Prawne
Łukasz Guza: Ubezpieczają się naiwniacy? Tak można sądzić po słowach Mateusza Morawieckiego
Opinie Prawne
Marek Isański: NSA świadomie zachęca fiskusa do okradania zwykłych obywateli
Opinie Prawne
Marek Kobylański: Fundusz nieprawidłowości. Ktoś za to odpowie, ale czy ci, którzy powinni?
Opinie Prawne
Robert Gwiazdowski: ZUS in Digital Age, czyli zlikwidować urzędy skarbowe
Opinie Prawne
Ewa Szadkowska: Kampania za rządowe pieniądze? Krzysztof Szczucki prochu nie wymyślił
Materiał Promocyjny
CERT Orange Polska: internauci korzystają z naszej wiedzy