Nieuwe boetebeleidsregels AVG, wat betekenen ze voor jou?

Nieuwe boetebeleidsregels AVG, wat betekenen ze voor jou?

Door Inge Brattinga, VRF Advocaten

Op grond van artikel 83 AVG kan voor een overtreding van de AVG een boete worden
opgelegd, afhankelijk van de geschonden norm tot maximaal 10 mln of 20 mln of 2% en 4% van de totale wereldwijde jaaromzet. Artikel 83 lid 2 AVG geeft 11 aspecten waarmee rekening gehouden moet worden bij het bepalen van de hoogte van de boete. Dit zijn echter behoorlijk
open richtlijnen.

Op 24 mei 2023 heeft de Europese Data Protection Board (EDPB) een nieuwe richtlijn uitgevaardigd voor de berekening van de boetes onder de AVG. De Autoriteit Persoonsgegevens (AP) is gebonden aan deze regels voor het bepalen van een boete bij overtreding van de AVG met uitzondering van boetes aan overheidsinstanties, die zijn uitgezonderd van de boetebeleidsregels van de EDPB. In dit artikel geef ik een overzicht van wat de nieuwe boetebeleidsregels voor jou betekenen als je onverhoopt een norm van de AVG schendt. Om het eenvoudig te houden gaan we hierbij uit van één overtreding.

Stappenplan

Stap 1: Wat is de overschreden norm?
Stap 2: Bepaal het boetemaximum van de overschreden norm

Boetemaximum Categorie 1 : 10 miljoen of 2% van de wereldwijde omzet overtredingen van verplichtingen van verwerkingsverantwoordelijken en verwerkers zoals artikel 8, 11, 25 t/m 39, 42 en 43 AVG

Boetemaximum Categorie 2 : 20 miljoen of 4% van de wereldwijde omzet overtreding van beginselen of grondslagen AVG, privacyrechten van betrokkenen zoals artikel 5,6,7,9, 12 t/m 22, 44 t/m 48 AVG

Stap 3: Wat is de ernst van de overtreding

De ernst van de overtreding wordt door de AP bepaald aan de hand van de volgende factoren:

• De aard van de overtreding
• De zwaarte van de overtreding, zoals:
  • de aard van de verwerking
  • de omvang van de verwerking
  • het doel van de verwerking
  • het aantal getroffen betrokkenen
  • de omvang van de door betrokkenen geleden schade
• De duur van de overtreding
• De opzettelijke of nalatige aard van de inbreuk
• De categorieën van persoonsgegevens (bijzondere persoonsgegevens zullen het niveau van ernst naar verwachting verhogen)

Het voorgaande leidt dan vervolgens tot een beoordeling van:

Hoe dit helemaal in een individueel geval zijn uitwerking gaat krijgen valt te bezien in de toekomst in praktijksituaties.

Stap 4: Omzet van de onderneming

Stap 5: Verhogen of verlagen?
Afhankelijk van de omstandigheden kan de AP de boete verminderen of verhogen, echter nooit hoger dan het maximum boetebedrag.

Rekenvoorbeeld:
Stap 1: De verwerking van de persoonsgegevens is niet voor een welbepaald, uitdrukkelijk omschreven een gerechtvaardigd doel. Overtreding artikel 5 lid 1 onder b AVG.

Stap 2: 20 miljoen of 4% van de wereldwijde omzet indien dit bedrag hoger is.
Laten we er even vanuit gaan dat 4% van de wereldwijde omzet niet hoger is dan 20 miljoen, dan is de maximum boete 20 miljoen.

Stap 3: Laten we er vanuit gaan dat de beoordeling van factoren zorgt voor een gemiddeld niveau van ernst.
Het startbedrag is dan tussen € 2.000.000,00 (10%) en 4.000.000,00 (20%).

Stap 4: omzet van de onderneming is 2-10 mln per jaar
De boete komt dan uit tussen € 6.000,00 (0,3%van 2 mln) en € 80.000,00 (2% van 4 mln)

Stap 5: verhogen of verlagen is dan afhankelijk van alle omstandigheden. Laten we er voor het voorbeeld vanuit gaan dat er geen reden is voor verhogen of verlagen.
De boete komt dan uit tussen € 6.000 en € 80.000. Een behoorlijke marge, maar het geeft in ieder geval enig houvast.

Lees ook
Is inzage in de mailbox van een medewerker toegestaan?
ChatGPT gebruiken voor recruitment – juridische aspecten
Delen persoonsgegevens met VS, nog lang geen witte rook?