Kara RODO w euro czy złotówkach?

Poseł Artur Gierda skierował do ministerstwa cyfryzacji interpelację poselską nr 31964 w sprawie potencjalnych kar finansowych za naruszenie przepisów o ochronie danych osobowych w oświacie.

Poseł pisze, że prawidłowe funkcjonowanie szkół i placówek oświatowych wiąże się z wykorzystywaniem danych osobowych oraz z koniecznością przestrzegania przepisów o ochronie danych osobowych. Od dnia 25 maja 2018 roku szkoły i placówki oświatowe są związane nowymi przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zgodnie z rozporządzeniem naruszenie przepisów może wiązać się z nałożeniem kar finansowych.

Poseł pyta, czy istnieją różnice w spłaceniu potencjalnej kary finansowej wynikającej ze złamania zapisów wynikających z RODO pomiędzy szkołą publiczną a placówką edukacyjną prowadzoną przez stowarzyszenie? Poseł dodaje, że z informacji, które wpłynęły do niego wynika, że szkoły publiczne potencjalne kary płacą w walucie PLN, natomiast stowarzyszenia prowadzące placówki edukacyjne - bez Karty Nauczyciela - w EURO.

Minister cyfryzacji w odpowiedzi na interpelacje odpowiedział, że  zgodnie z nowymi przepisami ogólnego rozporządzenia o ochronie danych osobowych (zwane dalej „RODO”) naruszenie przepisów o ochronie danych osobowych może wiązać się z nałożeniem kar finansowych. W ww. rozporządzeniu wskazano, że „bez uszczerbku dla uprawnień naprawczych organu nadzorczego, ….., każde państwo członkowskie może określić czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne, ustanowione w tym państwie członkowskim”. Polska skorzystała z tego prawa i ustawodawca uregulował maksymalną wysokość administracyjnych kar pieniężnych, jakie mogą być nakładane na podmioty publiczne.

Kary w odniesieniu do podmiotów sektora finansów publicznych mają być uiszczone w złotych. Kara wyrażona w euro, zgodnie z ustawą o ochronie danych osobowych, powinna zostać przeliczona na poniższych zasadach:

• według średniego kursu euro ogłaszanego przez NBP w tabeli kursów na dzień 28 stycznia każdego roku,
• jeżeli NBP nie ogłosił 28 stycznia średniego kursu euro, zastosowanie przy przeliczeniu kary ma mieć średni kurs euro ogłoszony w najbliższej po tej dacie tabeli kursów NBP.

Z przepisu nie wynika wprost, czy w decyzji nakładającej na podmiot karę ma zostać podana kwota wyrażona w euro i organizacja ma ją przeliczyć, czy to organ nadzorczy w decyzji ma już dokonać przeliczenia na złote polskie. Obecnie stosuje się oba podejścia. Jako że art. 101 ustawy o ochronie danych osobowych, w zakresie nakładania kar i ich wysokości bezpośrednio odnosi się do art. 83 RODO, to można przypuszczać, że kwota powinna być wyrażona przez organ nadzorczy w euro. Jednakże z przepisów taki obowiązek bezpośrednio nie wynika, z braku przeliczenia, organizacja będzie musiała sama go dokonać, uwzględniając powyżej przytoczone przepisy.