Autoriteit Persoonsgegevens wijzigt boetebeleid

0
304

De Autoriteit Persoonsgegevens (AP) heeft de boetebeleidsregels aangepast omdat de oude regels betrekking hadden op overtredingen van eerdere privacywetgeving.

De boetebeleidsregels geven inzicht in de manier waarop de AP de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive.

Wettelijk boetemaximum AVG
De AP kan boetes opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.

  1. Wie persoonsgegevens verwerkt heeft verplichtingen, zoals een verwerkingsregister bijhouden. Gebeurt dat niet dan kan de AP een boete opleggen tot 10 miljoen euro, of 2% van de jaaromzet.
  2. Overtreedt een verantwoordelijke pryvacyrechten of de beginselen van de AVG, dan kan de AP een boete opleggen tot 20 miljoen euro, of 4% van de jaaromzet.

Boetecategorieën
De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Basisboete
Elke boetecategorie is vervolgens gekoppeld aan boetebandbreedtes. De hoogte daarvan moet voldoende afschrikwekkend zijn voor potentiële overtreders. Daarbinnen heeft de AP een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.

Factoren
De basisboete kan per geval vervolgens verhoogd of verlaagd worden aan de hand van een aantal factoren. Bijvoorbeeld de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Ook is van belang in hoeverre de overtreding aan de overtreder kan worden verweten en of er sprake is van recidive.

Omstandigheden
Bij het vaststellen van de boete kan de AP ook rekening houden met de financiële omstandigheden waarin de overtreder verkeert. Zoals in het geval van micro, kleine en middelgrote ondernemingen.

Europese richtsnoeren
Op 25 mei 2018 heeft European Data Protection Board (EDPB) richtsnoeren vastgesteld voor de toepassing en vaststelling van administratieve geldboeten. In deze richtsnoeren is vastgelegd wanneer welk sanctiemiddel het meest passend is. Andere sanctiemiddelen zijn bijvoorbeeld een last onder dwangsom en een verwerkingsverbod.

Aangezien de EDPB (nog) geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld, heeft de AP nu voor haar toezicht in Nederland beleid vastgesteld voor de berekening van de hoogte van boetes. De beleidsregels worden door de AP toegepast totdat er ook Europese richtsnoeren zijn voor de berekening van de hoogte van boetes.

Bron: Autoriteit Persoonsgegevens, 14 maart 2019