Sama możliwość nakładania kar na administratora nie budzi zastrzeżeń, ale dywersyfikacja ich wysokości, w zależności od statusu prawnego administratora danych, już tak. Dla przykładu zgodnie z zapisami art. 83 RODO administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których jest mowa w art. 58 ust. 2 lit. a–h oraz j RODO. Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku na:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie;
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
- jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
- stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42;
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Kary pieniężne jakie są zawarte w RODO można nałożyć w wysokości:
do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego za:
- nieprawidłowość w zakresie przetwarzania danych,
- niewłaściwe prowadzenie rejestru czynności lub jego całkowity brak,
- brak współdziałania z organem nadzorczym,
- niewłaściwe zabezpieczenie danych osobowych,
- niezgłoszenie lub niezawiadomienie naruszenia danych osobowych osób, których dane dotyczą;
do 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego za:
- przetworzenie danych osobowych sprzecznie z zasadami RODO,
- przetworzenie danych osobowych bez podstawy prawnej,
- niedotrzymanie warunków zgody na przetwarzanie danych osobowych,
- niedopełnienie obowiązków w zakresie realizacji praw osoby, których dane bezpośrednio dotyczą;
- przekazanie danych osobowych państwom trzecim lub organizacjom międzynarodowym – jest to zabronione.
Jak widać z przytoczonych powyżej zapisów RODO kary pieniężne mogą osiągać olbrzymie wartości finansowe. Warto tutaj zauważyć jednak dwa elementy dodatkowe w kwestii kar w zapisach RODO. Pierwszy stwierdzający, że administracyjne kary pieniężne nie mają obligatoryjnego charakteru, czyli – nawet mimo stwierdzenia nieprawidłowości organ nadzorczy nie jest zobowiązany do jej wymierzenia. Drugi – przy określaniu wysokości kary organ nadzorczy musi uwzględnić szereg czynników, mogących wpłynąć na jej wysokość (charakter, waga, czas naruszenia, charakter umyślny lub nieumyślny, działania podjęte przez administratora w celu zmniejszenia wyrządzonej szkody, przeszłość administratora – czy to pierwszy incydent).
W samym sektorze publicznym kara pieniężna wynosi od 10 000 złotych na państwowe i samorządowe instytucje kultury do 100 000 złotych na jednostki sektora finansów publicznych, instytucji badawczych lub NBP. Środki z administracyjnej kary pieniężnej stanowią dochód do budżetu państwa. Nie zasilają one samego Urzędu. Administracyjną karę pieniężną uiszcza się w terminie do 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na wniosek podmiotu ukaranego Prezes UODO może odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty, jeżeli przemawia za tym ważny interes wnioskodawcy.
Doskonałym przykładam różnic w karach jest kazus firmy Morele.net, na którą została nałożona kara 2 830 410 zł. Jeżeli podmiot ten byłby organizacją publiczną, to kara nałożona na nią w świetle istniejących przepisów, które uwzględniają kwotowe czynniki w wysokości 3.3 %, wynosiłaby 3000 zł.
Prezes UODO powinien dostosować karę w pierwszej kolejności do charakteru, wagi, czasu i trwania tego naruszenia. Problemem w zaistniałej sytuacji jest to, że polski ustawodawca uzasadniając różnicę w karach administracyjnych wskazuje, że w przypadku nałożenia kary na podmioty publiczne środki z tej kary pośrednio trafiłyby do tego podmiotu, którego kara ta nie spełniałaby swego celu jakim jest represja. Uwzględniając fakt, że środki publiczne pochodzą również z obciążeń podatkowych, które są wnoszone przez obywateli, nakładanie kar na administrację publiczną w znacznych ilościach pośrednio obciążałoby obywateli RP. Ustawodawca podjął również decyzję, aby wprowadzić wyjątek w zakresie nakładania administracyjnych kar finansowych, wyłączając z możliwości objęcia takimi karami państwowe i samorządowe instytucje kultury.
Najwyższy wymiar kary w sektorze publicznym, czyli 100 000 złotych została nałożona decyzją Prezesa UODO z 24.8.2020 r. (DKN.5112.13.2020) na Głównego Geodetę Kraju. Jak można przeczytać w samej treści decyzji, Prezes UODO nakazuje Głównemu Geodecie Kraju dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679, w terminie 14 dni od dnia doręczenia niniejszej decyzji, poprzez: zaprzestanie udostępniania na portalu o nazwie „GEOPORTAL2” („geoportal.gov.pl”) danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków (prowadzonej przez starostów). Zgodnie z tą decyzją numery ksiąg wieczystych są uznawane za dane osobowe. Wczytując się dalej w uzasadnienie decyzji należy zwrócić uwagę na fragment:
„Należy uznać, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Główny Geodeta Kraju stosować będzie się do obowiązujących przepisów prawa i zaprzestanie na stałe dalszego naruszenia ochrony danych osobowych poprzez ujawnianie numerów ksiąg”.
Jak widać Prezes UODO oprócz kary finansowej zobowiązał też, by Główny Geodeta Kraju zaprzestał ujawniać dane osobowe jakimi są numery ksiąg wieczystych w GEOPORTAL2.
Widoczna jest tutaj skala niskich kar, jakie może nałożyć Prezes UODO na podmioty administracji publicznej. Jest to zasadniczy problem, gdyż przy złamaniu tego samego przepisu organy publiczne są praktycznie bezkarne, natomiast na podmioty prywatne są nakładane horrendalne kary. Problem kar przewijał się wielokrotnie podczas tworzenia polskiej ustawy o ochronie danych osobowych. Jak widać na chwilę obecną system ten jest dość mocno problematyczny, gdyż podmioty publiczne są na uprzywilejowanej pozycji, a co za tym idzie niejednokrotnie kwestie ochrony danych osobowych marginalizują.