Boetebeleidsregels Autoriteit Persoonsgegevens 2019

apr 23
Maatwerk en open inschrijvingen

Printen?
Download hieronder het pdf bestand.

Download PDF nieuwsbericht

Inleiding

De Autoriteit Persoonsgegevens (hierna: AP) is een onafhankelijke toezichthouder, belast met het wettelijk toezicht op de verwerking van persoonsgegevens. De taken en bevoegdheden  van de AP vloeien voor het overgrote deel rechtstreeks voort uit de Algemene verordening gegevensbescherming (hierna: AVG) en zijn nader uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: Uitvoeringswet AVG).

Op 3 oktober 2017 heeft de toenmalige Groep gegevensbescherming “Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679” goedgekeurd.

Op 25 mei 2018 heeft het Europees Comité voor gegevensbescherming (European Data Protection Board; hierna: EDPB) deze richtsnoeren bekrachtigd.

In de richtsnoeren zijn regels en uitgangspunten opgenomen met het oog op een consistente aanwending van de boetebevoegdheid onder de AVG.

In de Staatscourant, nr. 14589, van 14 maart 2019 heeft de AP de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 gepubliceerd.

Waarom Boetebeleidsregels Autoriteit Persoonsgegevens 2019?

Het EDPB heeft (nog) geen gezamenlijke uitgangspunten voor de berekening van boetes vastgesteld voor alle landen waar de AVG van toepassing is.

De AP heeft daarom zelf beleid vastgesteld om invulling te geven aan de bevoegdheid tot het opleggen van een boete onder de AVG en de Uitvoeringswet AVG.

Het beleid heeft betrekking op het bepalen van de hoogte van een boete, omwille van de rechtsgelijkheid en rechtszekerheid.

Tijdelijkheid Boetebeleidsregels Autoriteit Persoonsgegevens 2019

Binnen de EDPB bestaat het streven om te komen tot gezamenlijke uitgangspunten aangaande de berekening van boetes wegens overtredingen van de AVG. Het door de AP  vast te stellen beleid op dit punt is derhalve in beginsel tijdelijk van aard.

Wettelijk boetemaximum Boetebeleidsregels Autoriteit Persoonsgegevens 2019

Bij het vaststellen van (de hoogte van) de boete houdt de AP in eerste instantie rekening met het maximale bedrag van de boete dat in de AVG is vermeld. De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.

  1. Verwerkingsverantwoordelijken en verwerkers hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komen ze (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal EUR 10 miljoen. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
  2. Overtreedt een verwerkingsverantwoordelijke of verwerker de beginselen of grondslagen van de AVG? Dan kan de AP een boete opleggen van maximaal EUR 20 miljoen. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Boetecategorieën Boetebeleidsregels Autoriteit Persoonsgegevens 2019

De AP heeft de overtredingen van de AVG en de andere wetten waarop hij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Elke boetecategorie is vervolgens gekoppeld aan een bepaalde boetebandbreedte van een minimum- en een maximumbedrag. De hoogte van de boetebandbreedtes moet voldoende afschrikwekkend zijn voor potentiële overtreders. Binnen de verschillende boetebandbreedtes heeft de AP steeds een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.

Factoren Boetebeleidsregels Autoriteit Persoonsgegevens 2019

De basisboete kan per geval vervolgens verhoogd of verlaagd worden aan de hand van een aantal factoren. Bijvoorbeeld de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Ook is van belang in hoeverre de overtreding aan de overtreder kan worden verweten en of er sprake is van recidive.

Bij het vaststellen van de boete kan de AP ook rekening houden met de financiële omstandigheden waarin de overtreder verkeert. Zoals in het geval van micro, kleine, middelgrote en grote ondernemingen.

Voorbeeld Boetebeleidsregels Autoriteit Persoonsgegevens 2019

De AP stelt de basisboete vast voor overtredingen waarvoor een wettelijk boetemaximum geldt van EUR 10 miljoen of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, dan wel EUR 20 miljoen  of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, binnen de volgende  boetebandbreedtes:

Categorie I Boetebandbreedte tussen

EUR 0 en EUR 200.000

Basisboete: EUR 100.000

 

Categorie II Boetebandbreedte tussen

EUR 120.000 en EUR 500.000

Basisboete: EUR 310.000

 

Categorie III Boetebandbreedte tussen

EUR 300.000 en EUR 750.000

Basisboete: EUR 525.000

 

Categorie IV Boetebandbreedte tussen

EUR 450.000 en EUR 1.000.000

Basisboete: EUR 725.000

 

 

In de bijlagen van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 geeft de AP aan welke categorie geldt bij welke overtreding.

Boetes buiten de bandbreedte Boetebeleidsregels Autoriteit Persoonsgegevens 2019

Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de AP bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen.

De AP hanteert het uitgangspunt om in geval van recidive de boete met 50% te verhogen, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn. De AP kan

daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum.

Indien de toepasselijke boetebandbreedte naar het oordeel van de AP geen passende bestraffing toelaat, kan de AP een hogere boete opleggen tot ten hoogste het wettelijke boetemaximum. De AP treedt daarbij buiten de grenzen van de boetebandbreedtes.

Disclaimer
Swalef streeft er naar de informatie correct en actueel te verstrekken. Aan de informatie die is verstrekt kunnen echter geen rechten worden ontleend.
Swalef aanvaardt geen enkele aansprakelijkheid voor de inhoud en de informatie in dit nieuwsbericht.