Short Reads

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening ge

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

09.05.2018

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming ("AVG") in werking. De verordening heeft rechtstreekse werking in het Nederlandse rechtssysteem. Het gevolg daarvan is dat de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens, een scala handhavingsinstrumenten op grond van de AVG kan inzetten om naleving van de privacywetgeving te bevorderen.

Thans behandelt de Eerste Kamer de Uitvoeringswet Algemene verordening gegevensbescherming ("UAVG"). Beoogd wordt om de UAVG op 25 mei 2018 in werking te laten treden. De UAVG geeft nadere uitvoering aan de AVG die op sommige aspecten aan lidstaten ruimte laat om bepaalde aspecten nader te regelen. De UAVG bevat in aanvulling op en ter uitvoering van de AVG onder meer een aantal belangrijke voorschriften die zien op handhaving. Als gevolg van de inwerkingtreding van de AVG en de UAVG is de Wet bescherming persoonsgegevens ("Wbp") niet meer van toepassing. In deze FAQ zullen wij een aantal vragen die in de praktijk spelen over bestuurlijke handhaving onder de AVG en UAVG nader bespreken.

Welke instantie is in Nederland bevoegd tot handhaving van de AVG?

De AVG bepaalt dat iedere lidstaat van de Europese Unie één of meer toezichthouders moet oprichten, die belast zijn met het toezicht op de  Verordening (artikel 51, eerste lid, AVG). In Nederland is dit de Autoriteit Persoonsgegevens (artikel 6, tweede lid, UAVG).

Welke handhavingsinstrumenten heeft de Autoriteit Persoonsgegevens op grond van de AVG en UAVG?

De AVG vergroot en verzwaart het arsenaal aan handhavingsinstrumenten dat de Autoriteit Persoonsgegevens thans op grond van de Wbp heeft. De AVG biedt de toezichthouder de mogelijkheid om zogeheten 'corrigerende maatregelen' (artikel 58, tweede lid, AVG) op te leggen. Daarnaast biedt de UAVG de Autoriteit Persoonsgegevens ook de mogelijkheid tot oplegging van een last onder bestuursdwang of een last onder dwangsom (artikel 16 UAVG).

Onder 'corrigerende maatregelen' in de AVG vallen onder meer:

  • waarschuwing
  • berisping
  • administratieve geldboete, oftewel een bestuurlijke boete
  • tijdelijke of definitieve verwerkingsbeperking (waaronder een verwerkingsverbod)
  • intrekking van certificaten
  • opschorting van gegevensstromen naar een ontvanger in een derde land.

De UAVG 'vertaalt' de term 'corrigerende maatregelen' met uitzondering van de waarschuwing als 'bestuurlijke sancties' in de zin van de Algemene wet bestuursrecht (artikel 14, vierde lid, UAVG). Dat betekent dus dat de bepalingen uit de Awb die zien op de bestuurlijke sancties ook van toepassing zijn op de desbetreffende corrigerende sancties in de AVG. Daarbij kan  bijvoorbeeld gedacht worden aan de cumulatie van corrigerende sancties (artikel 5:6 Awb) en dat deze sancties preventief kunnen worden opgelegd (artikel 5:7 Awb).

Is de Autoriteit Persoonsgegevens verplicht om handhavend op te treden?

De (U)AVG verplicht de Autoriteit Persoonsgegevens niet om handhavend op te treden. Bovendien verplicht deze wetgeving de Autoriteit niet om voor een bepaald handhavingsinstrument (bijvoorbeeld een boete of last onder dwangsom) te kiezen. Het gaat om discretionaire bevoegdheden die de toezichthouder ruimte laten om zelf handhavingsbeleid te bepalen en in dat kader prioriteiten te kiezen.

Het zou vanwege de rechtszekerheid van betrokken partijen goed zijn wanneer de Autoriteit Persoonsgegevens in beleidsregels duidelijk maakt  onder welke omstandigheden zij handhavend zal optreden en in welke gevallen zij van een bepaald instrument gebruik zal maken.

Hoe hoog zijn de boetes die de Autoriteit Persoonsgegevens maximaal kan opleggen?

De AVG biedt de Autoriteit Persoonsgegevens de bevoegdheid om hoge boetes op te leggen wegens specifieke inbreuken op de AVG. Artikel 83 AVG voorziet in de sanctionering met boetes in twee categorieën overtredingen:

Type overtreding

Maximale boete

Overtreding van bepalingen die zien op o.a. verwerking  van persoonsgegevens, medewerkingsplicht, beveiliging van de verwerking, melding datalek, aanwijzing functionaris gegevensbescherming (art. 83, vierde lid, AVG)

€ 10.000.000

of 2% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

Overtreding van bepalingen over o.a. niet naleven van bevel AP, verwerking van bepaalde persoonsgegevens, doorgiften van persoonsgegevens, overdraagbaarheid van gegevens, recht op gegevenswisseling/rectificatie  (art. 83, vijfde en zesde lid, AVG)

€ 20.000.000

of 4% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

 

Of de Autoriteit Persoonsgegevens daadwerkelijk maximale boetes zal gaan opleggen, is de vraag. Het gaat daarbij om maatwerk. De hoogte van de boete zal in elk geval afhangen van verschillende omstandigheden, zoals de aanwezigheid van opzet, het zijn van first offender, het behaalde financieel voordeel etc. (artikel 83, tweede lid, AVG). Ook het evenredigheidsvereiste speelt daarbij een belangrijke rol (artikel 3:4 lid 2 en artikel 3:46 Awb).

Wie kan worden geconfronteerd met handhaving?

De Autoriteit Persoonsgegevens kan handhavend optreden tegen degene tot wie de normen zich in de AVG richten. Dat zijn de 'verwerkingsverantwoordelijke' (artikel 4, zevende lid, AVG), de 'verwerker' (artikel 4, achtste lid, AVG), en de 'vertegenwoordiger van de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker' (artikel 4, zeventiende lid, AVG). Dat betekent dat elke onderneming, overheidsinstelling of natuurlijk persoon normadressaat van de AVG kan zijn en dus met handhaving kan worden geconfronteerd.

Welke bestuursrechtelijke rechtsbescherming staat open tegen sancties van de Autoriteit Persoonsgegevens?

Een belanghebbende kan zich tegen een door de Autoriteit Persoonsgegevens opgelegde bestuurlijke sanctie verweren. Alvorens een sanctie wordt opgelegd, wordt eerst een ontwerpbesluit opgesteld waartegen een zienswijze mogelijk is. Wordt een sanctie opgelegd, dan kan daartegen een bezwaarschrift bij de Autoriteit Persoonsgegevens worden ingediend. Tegen het besluit op bezwaar van de Autoriteit Persoonsgegevens staat beroep bij de rechtbank open in eerste aanleg en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. Is sprake van een spoedeisende situatie dan kan een voorlopige voorziening hangende bezwaar, beroep en hoger beroep bij de bestuursrechter worden ingediend. De bestuursrechter kan daarbij prejudiciële vragen stellen aan het HvJ EU. Na afronding van de nationale procedure kan de vraag naar de rechtmatigheid van de sanctie onder het EVRM aan het EHRM worden voorgelegd.

Schort de indiening van bezwaar of beroep de werking van een bestuurlijke sanctie op?

Nee, tenzij het gaat om een bestuurlijke boete. Net als onder de Wbp gaat de UAVG er vanuit dat het indienen van een bezwaarschrift bij de Autoriteit Persoonsgegevens en een beroepschrift bij de rechtbank tegen de opgelegde bestuurlijke boete schorsende werking heeft. De bestaande regeling in de Wbp is daarmee in de UAVG gehandhaafd. Dat betekent dat de boete in afwachting van de procedure bij de Autoriteit Persoonsgegevens en in beroep bij de rechtbank niet behoeft te worden betaald (artikel 38 UAVG). Voor andere bestuurlijke sancties, zoals de berisping of het verwerkingsverbod, geldt geen schorsende werking; daarvoor zou eventueel een voorlopige voorziening uitkomst kunnen bieden.

Zal de Autoriteit Persoonsgegevens na 25 mei 2018 meteen boetes uitdelen?

Minister Dekker van Rechtsbescherming heeft op 8 maart 2018 in een debat met de Tweede Kamer gezegd dat de Autoriteit Persoonsgegevens niet direct boetes zal gaan uitdelen als op 25 mei 2018 de nieuwe privacyregels in werking treden. Dat zal voor bedrijven, overheden en instellingen mogelijk een opluchting zijn. Volgens Dekker zal de Autoriteit Persoonsgegevens zich de eerste maanden vooral richten op voorlichting. Echter, de Autoriteit Persoonsgegevens is onafhankelijk toezichthouder dus afgewacht moet worden hoe deze opmerking in de praktijk zal uitwerken.

Team

Related news

30.04.2019 EU law
Climate goals and energy targets: legal perspectives

Seminar - On Tuesday April 30th, Stibbe organizes a seminar on climate goals and energy targets. Climate change has incited different international and supranational institutions to issue climate goals and renewable energy targets. Both the UN and the EU have led this movement with various legal instruments.

Read more

12.04.2019 NL law
Hoogste Europese rechter bevestigt dat overheden onrechtmatige staatssteun proactief moeten terugvorderen

Short Reads - De maand maart 2019 zal vermoedelijk de juridisch handboeken ingaan als een historische maand voor het mededingings- en staatssteunrecht. Niet alleen deed het Hof van Justitie een baanbrekende uitspraak op het gebied van het verhaal van kartelschade. Het heeft in de uitspraak Eesti Pagar (C-349/17) van 5 maart 2019 belangrijke vragen opgehelderd over de handhaving van het staatssteunrecht op nationaal niveau.

Read more

10.04.2019 NL law
Casus Lotto c.s.: Aanpassing naam vergunninghouder bij nieuwe rechtsvorm? Let op de eisen van het Unierecht!

Short Reads - De Kansspelautoriteit kan de tenaamstelling van vergunningen voor onder andere Lotto en de Staatsloterij niet zomaar wijzigen als de rechtsvorm van de vergunninghouders verandert. Dit gezien het door het Unierecht gewaarborgde vrije verkeer van diensten en het daaruit voortvloeiende transparantiebeginsel. Dat blijkt uit een viertal uitspraken van de Afdeling bestuursrechtspraak van de Raad van State ("ABRvS") van 13 maart 2019. Wat betekenen deze uitspraken voor de praktijk?

Read more

10.04.2019 NL law
Gevolgen van de Wnra: schorsing voortaan met behoud van loon en de wettelijke verhoging van loonvorderingen

Short Reads - Vanaf het moment dat ambtenaren werkzaam zijn op basis van een arbeidsovereenkomst, worden ook de civielrechtelijke bepalingen ten aanzien van deze overeenkomst van toepassing. Het gevolg is dat de overheidswerkgever en zijn werknemers te maken krijgen met fenomenen die zich in het ambtenarenrecht niet voordoen. Dit geldt bijvoorbeeld voor de mogelijkheid van schorsing zonder behoud van loon, de termijn waarbinnen aanspraak kan worden gemaakt op (ten onrechte niet betaald) loon en de wettelijke verhoging van loonvorderingen.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring