Administracja rządowa i samorządowa nie będą podlegały karom za złamanie przepisów o ochronie danych osobowych. To nieuczciwe – mówią przedsiębiorcy, którym grozić ma nawet 20 mln euro
Kary finansowe nierówno rozłożone / Dziennik Gazeta Prawna
REJESTRY
Zaprezentowany niedawno przez Ministerstwo Cyfryzacji wstępny projekt nowej ustawy o ochronie danych osobowych w ślad za unijnym rozporządzeniem 2016/679 przewiduje gigantyczne wprost kary za naruszenie przepisów. Ich maksymalna wysokość wyniesie nawet 20 mln euro. Szybko zauważono, że maksymalne kary grożące instytucjom publicznym, takim jak Zakład Ubezpieczeń Społecznych czy Narodowy Fundusz Zdrowia, będą ok. 840 razy niższe, gdyż górna ich granica wyniesie 100 tys. zł. Nie wszyscy natomiast dostrzegli, że cała administracja rządowa i samorządowa ma zostać całkowicie wyłączona spod sankcji finansowych.
Przesądza o tym art. 50 projektu ustawy, zgodnie z którym Urząd Ochrony Danych Osobowych (zastąpi obecnego generalnego inspektora ochrony danych osobowych) będzie mógł nakładać kary finansowe na podmioty wskazane w art. 9 pkt 8–14 ustawy o finansach publicznych (t.j. Dz.U. z 2016 r. poz. 1870 ze zm.). Zatem organy administracji rządowej, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, jednostki budżetowe czy samorządowe zakłady budżetowe wskazane we wcześniejszych punktach przepisu nie będą podlegały jakimkolwiek sankcjom pieniężnym.
Nie karać obywateli
Z planowanym wyłączeniem nie zgadzają się środowiska skupiające przedsiębiorców.
„Proponowane rozwiązania stawiają w uprzywilejowanej pozycji podmioty sektora finansów publicznych, dyskryminując przedsiębiorców i inne podmioty przetwarzające dane osobowe, bez dostatecznego uzasadnienia różnicując sytuację prawną podmiotów przetwarzających dane osobowe” – napisała Polska Izba Informatyki i Telekomunikacji w opinii do projektu ustawy.
Czym resort cyfryzacji tłumaczy całkowite wyłączenie administracji rządowej i samorządowej spod kar?
– Przyjęliśmy takie założenie ze względu na rolę, jaką odgrywa administracja publiczna. Uznaliśmy, że nakładane na nią kary finansowe tak naprawdę obciążałyby obywateli. Nałożenie kary w wysokości miliona złotych na urząd, którego cały budżet wynosi powiedzmy 16 mln zł, mogłoby sparaliżować jego pracę i uniemożliwić realizację zadań publicznych – tłumaczy dr Maciej Kawecki z Ministerstwa Cyfryzacji, który pracuje nad nową ustawą. Jego zdaniem wnoszenie kar przez administrację publiczną jest też pozbawione sensu, gdyż tak naprawdę oznacza tylko przekładanie pieniędzy w ramach tych samych zasobów.
Argumentacja ta nie przekonuje ekspertów, a przynajmniej nie wszystkich.
– Czy rozsądne jest sankcjonowanie bezkarności podmiotów rutynowo przetwarzających rekordy milionów Polaków? Co z samorządami i podmiotami od nich zależnymi, np. szkołami? Co jeśli np. w przypadku skrajnym okaże się, że w taki sposób powstają enklawy obchodzące unijne rozporządzenie i dojdzie do poważnej redefinicji sposobu ich funkcjonowania? – stawia pytania dr Łukasz Olejnik, niezależny konsultant cyberbezpieczeństwa i prywatności.
Funkcja prewencyjna
Unijne rozporządzenie pozwala państwom członkowskim na rezygnację z karalności podmiotów publicznych. Pojawia się jednak pytanie, czy akurat Polska powinna z tego wyłączenia korzystać. Nasz system ochrony prywatności jest jeszcze słabo rozwinięty, wiele ministerstw, urzędów czy choćby szkół wciąż traktuje przepisy o ochronie danych osobowych jako niepotrzebny gorset formalny i jeśli tylko może, unika ich stosowania. Pokazują to kontrole przeprowadzane przez GIODO. Tymczasem nowe przepisy nałożą na administratorów danych wiele nowych obowiązków, które nie mogą pozostać jedynie martwymi zapisami.
– Biorąc pod uwagę dzisiejsze realia ochrony danych i istotne trudności GIODO w przymuszaniu do stosowania przepisów, pomysł całkowitego wyłączenia możliwości karania części podmiotów sektora publicznego oraz tak znacznego ograniczenia wysokości kar dla pozostałej grupy tych podmiotów wydaje się zbyt daleko idący. Zwłaszcza że w tych podmiotach, w obliczu postępującej cyfryzacji, ochrona danych osobowych powinna być szczególnie istotnym elementem budowania zaufania obywatela do państwa – uważa Katarzyna Witkowska, prawnik z Kancelarii Radców Prawnych Lubasz i Wspólnicy. Dodaje, że do pewnego stopnia rozumie argumentację resortu cyfryzacji, ale skoro decyduje się on na rezygnację z kar finansowych, to powinien zaproponować inne skuteczne mechanizmy dyscyplinowania urzędników. Sankcje pieniężne mają bowiem nie tylko represyjny charakter.
– Odgrywają też rolę prewencyjną, odstraszającą od dokonywania kolejnych naruszeń i przymuszającą do stosowania przepisów. Mają więc charakter dyscyplinujący, który jest tak samo ważny w sektorze prywatnym, jak i publicznym – uważa Katarzyna Witkowska.
Rażąca dysproporcja
Część instytucji publicznych będzie mogła być ukarana przez UODO, z tym że maksymalna wysokość kary wyniesie 100 tys. zł. Chodzi m.in. o wspomniany już ZUS czy NFZ. Ministerstwo tłumaczy, że instytucje te przetwarzają zbyt duże ilości danych, na dodatek często wrażliwych, by całkowicie wyłączyć je spod sankcji finansowych.
– Może zastanawiać, czemu karany ma być ZUS czy NFZ, a nie ministerstwa czy organy samorządu. Chociażby Ministerstwo Rodziny, Pracy i Polityki Społecznej, które jest administratorem ogromnych baz danych obejmujących miliony obywateli. Te bazy niczym nie ustępują pod względem skali tym prowadzonych np. przez ZUS – komentuje Jędrzej Niklas z Fundacji Panoptykon.
Projektowana ustawa zwalnia też z odpowiedzialności finansowej samo Ministerstwo Cyfryzacji, które jest administratorem chociażby bazy PESEL. Choć głośny przed rokiem wyciek danych z tej bazy okazał się nieprawdą, to nie można mieć pewności, że nigdy do niego nie dojdzie. Nawet gdyby okazało się, że resort w sposób ewidentny nie dopełnił swoich obowiązków, to i tak uniknie kary.
Obniżona kara finansowa będzie natomiast grozić uczelniom publicznym czy samodzielnym publicznym zakładom opieki zdrowotnej. Tu znów przedsiębiorcy wskazują na nierówne traktowanie. Choć obowiązki będą dokładnie te same, to prywatnej uczelni grozić ma nawet do 20 mln euro kary, a publicznej już tylko 100 tys. zł. Podobnie rozróżnienie będzie dotyczyć szpitali czy przychodni.

„Tak rażącą dysproporcję projektodawca uzasadnia troską o realizację zadań publicznych przez organy władzy publicznej. Zwracamy się z uprzejmą prośbą, aby projektodawca z równą troską pochylił się nad potrzebami przedsiębiorców i rozwojem gospodarczym, zagrożonych karami w wysokości do 84 mln zł za każde naruszenie” – napisała PIIT w swojej opinii.