Na jakiej podstawie definiuje się kary administracyjne dla podmiotów publicznych z tytułu RODO?

Piszę (powiedzmy, że) projekt ustawy (chcę go przedstawić komisji ds. petycji Sejmu RP) dot. zasad dla podmiotów publicznych w Internecie i rozpisałem sobie taki artykuł:

Art. 6. Przeciwko podmiotom publicznym, które nie wdrożą terminowo zaleceń rozpisanych w art. 3., mogą zostać zarządzone następujące kary administracyjne:
a) w przypadku art. 3 lit. a, b i c, zgodne z art. 23 ustawy o dostępie do informacji publicznej;
b) w przypadku art. 3 lit. d, zgodne z art. 83 rozporządzenia o ochronie danych osobowych.

Termin bazowy to 9 miesięcy po wdrożeniu w życie, z możliwością wydłużenia do nieprzekraczalnych 12 miesięcy (dodatkowe 3).

“art. 3.” to jest poniższe:

Art. 3. Podmioty publiczne prowadzące swoją działalność w sieci Internet zobowiązane są do bezwzględnego przestrzegania niniejszych wytycznych:

  • stawianie za priorytet publikacji na swojej własnej stronie internetowej lub innych publicznych usługach pod wyłączną kontrolą podmiotu publicznego informacji, które są objęte obowiązkiem publikacji zgodnie z innymi obowiązującymi przepisami;
  • stosowanie wyłącznie krótkich zajawek w kontach na portalach społecznościowych, o ile takie są w posiadaniu danego organu państwowego, gdzie:
    • „krótka zajawka” oznacza maksymalnie dwuzdaniową i długą na maksymalnie 500 znaków publikację;
    • zajawka powinna posiadać odnośnik do powiązanego dokumentu na stronie internetowej podmiotu publicznego.
  • posiadanie kanałów RSS lub kanałów Atom, żeby osoby zainteresowane działalnością wybranych podmiotów publicznych mogły obserwować na bieżąco ich działania;
  • nieodwoływanie się do skryptów lub ramek pochodzących od podmiotów trzecich w jakimkolwiek wypadku, zamiast tego korzystając wyłącznie ze zwykłych odnośników do serwisów zewnętrznych, gdy służą one nadaniu kontekstowi prowadzonej przez podmiot publiczny strony.

Nie mam 100% pewności, czy wszystko rozpisałem dobrze. Może jest coś, co jest źle zdefiniowane, a o tym po prostu nie wiem?

Chętnym wyślę cały plik ODT z moimi “wypocinami”.

CC @prawny

Nie art. 83 RODO, tylko art. 102 ustawy o ochronie danych osobowych.