Short Reads

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

21.06.2019 NL law

Op 14 maart 2019 zijn de nieuwe Boetebeleidsregels Autoriteit Persoonsgegevens 2019 ("Boetebeleidsregels") van de Autoriteit Persoonsgegevens ("AP") gepubliceerd. Dit boetebeleid heeft de AP opgesteld vanwege de inwerkingtreding van de Algemene verordening gegevensverwerking ("AVG") en omdat er op Europees niveau nog geen boeterichtsnoeren zijn opgesteld.

In dit beleid werkt de AP uit hoe zij de boetehoogte voor overtreding van onder meer de AVG, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en de Telecommunicatiewet bepaalt. In dit blogbericht bespreken wij dit beleid op hoofdlijnen.

AP past boetebeleid aan

De Boetebeleidsregels zien op boetes die de AP kan opleggen voor overtreding van voorschriften van de AVG, de Uitvoeringswet AVG, de Algemene wet bestuursrecht, de Telecommunicatiewet, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en de elDAS-verordening (Verordening EU nr. 910/2014). Met de Boetebeleidsregels past de AP haar oude boetebeleid aan dat op 14 maart 2019 is ingetrokken. Dit nieuwe beleid, voor zoverre het ziet op overtredingen van de (U)AVG,  is volgens de AP van tijdelijke aard en geldt totdat op Europees niveau richtsnoeren voor het vaststellen van de hoogte van boetes door de Europese toezichthouders zijn vastgesteld. Die richtsnoeren moeten ervoor gaan zorgen dat de hoogte van boetes voor de naleving van de privacywetgeving in de gehele Europese Unie wordt geharmoniseerd.

De bepaling van de hoogte van de boete: algemene systematiek

De Boetebeleidsregels maken allereerst onderscheid in de verschillende wettelijke boetemaxima die op grond van de hiervoor genoemde wetgeving kan worden opgelegd. Vervolgens heeft de AP binnen het desbetreffende boetemaximum een categorie-indeling, boetebandbreedtes en de daarbij behorende basisboetebedragen vastgesteld. In de bijlage bij de Boetebeleidsregels staat welke overtreding onder welke categorie valt. Onderstaand voorbeeld verduidelijkt dit voor overtredingen van de AVG. Daaruit blijkt dat de zwaarste boete voor de niet-naleving van de AVG de vierde categorie is. Daarvoor geldt een boetebandbreedte tussen € 450.000 en € 1.000.000, waarbij van een basisboetebedrag van € 725.000 wordt uitgegaan:

Boetebandbreedtes

De hoogte van de boete in een concrete zaak wordt bepaald aan de hand van de basisboete die eventueel naar boven of naar beneden wordt bijgesteld afhankelijk van bepaalde factoren (artikel 7). Enkele voorbeelden van dergelijke factoren zijn de aard en ernst van de inbreuk, de mate van samenwerking met de toezichthouder, opzet, en de maatregelen die zijn genomen door om de schade van de betrokkene te beperken. Ook kan draagkracht een rol (artikel 9) spelen. De bijstelling naar boven leidt in beginsel tot ten hoogste het maximum van de bandbreedte van de desbetreffende categorie. Dat betekent voor het hiervoor genoemde voorbeeld dat de AP voor overtreding van de bepalingen in de AVG in beginsel maximaal een boete van 1 miljoen euro zal opleggen.

Uitzonderingen: hogere boetes mogelijk

Bedacht moet wel worden dat de hiervoor besproken systematiek niet in alle gevallen tot een passende boetehoogte zal leiden. Daarom heeft de AP uitzonderingen gecreëerd in de Beleidsregels die ertoe kunnen leiden dat niet alleen lagere boetes, maar juist ook hogere boetes kunnen worden opgelegd (artikel 8). Dat geldt in de eerste plaats als sprake is van recidive, dan kan de boete met 50% worden verhoogd. In de tweede plaats geldt dat indien de boetebandbreedte en het daaraan gekoppelde basisboetebedrag in kwestie geen passende bestraffing toelaten voor overtreding van de AVG deze kunnen worden losgelaten en zelfs de maximumboetes die in de AVG zijn bepaald (10 of 20 miljoen euro of een percentage van de totale wereldwijde jaaromzet afhankeijk van de de overtreding) kunnen worden opgelegd. Daarmee wil de AP naar ons idee in lijn blijven met de zeer hoge boetes die de Europese wetgever heeft voorgeschreven voor privacyschendingen in de AVG.

Conclusie

Het nieuwe boetebeleid van de AP brengt geen grote verrassingen met zich. In dit beleid houdt de AP bij het bepalen van de hoogte van de boete rekening met een groot aantal factoren, zoals de aard, ernst en duur van de inbreuk, opzet, getroffen maatregelen en draagkracht. Daarmee loopt dit beleid in de pas met het boetebeleid van andere toezichthouders zoals de AFM en de ACM. We moeten nog zien of de AP van dit beleid gebruik zal gaan maken voor overtredingen van de (U)AVG. Zodra er richtsnoeren op Europees niveau worden vastgesteld (nog niet duidelijk is wanneer die gereed zullen zijn) met betrekking tot de bepaling van de hoogte van boetes voor schending van de AVG, zal het nieuwe beleid komen te vervallen.

Het bericht ‘Nieuw boetebeleid van de Autoriteit Persoonsgegevens’ is een bericht van Stibbeblog.nl.

Team

Related news

15.07.2019 NL law
Minister voor Rechtsbescherming bevestigt: De Awb kent twee vormen van preventieve handhaving

Short Reads - Op 21 juni 2019 heeft de Minister voor Rechtsbescherming (de "Minister") een aantal Kamervragen beantwoord over preventieve handhaving in het bestuursrecht. Deze Kamervragen gaan over twee vormen van preventieve handhaving: (i) handhaven wanneer een overtreding dreigt en (ii) handhaven wanneer een herhaling dreigt van een eerdere overtreding. Voor het toestaan van de eerste vorm van handhaving hanteren rechters een strengere maatstaf dan voor de tweede vorm.

Read more

02.07.2019 NL law
Debate night: HR Analytics: opportunity or threat?

Seminar - On 2 July 2019, Stibbe's Digital Economy Group will host a debate night in Amsterdam on the hot topic of HR analytics. During Stibbe's debate night, speakers from the world of business, politics, science and law will exchange views on HR analytics, how they can be used in practice, and their development in the context of employment and privacy law.

Read more

15.07.2019 EU law
ICO to impose record-breaking fines for inadequate security measures and data breaches

Short Reads - Though the European data protection authorities have taken their time in enforcing the GDPR, two announcements by the ICO in the UK regarding proposed fines for British Airways and Marriott demonstrate that large fines are about to start landing regularly. Both of the substantial fines are to be handed out as a result of shortcomings in handling data breaches caused by cyber-attacks.

Read more

27.06.2019 NL law
Stibbe launches website about Digital Economy

Inside Stibbe - Stibbe's Digital Economy group published a new website this week: Stibbedigital.com With this new website we aim to view technological developments including artificial intelligence (AI), blockchain, the Internet of Things, smart mobility and the rise of digital platforms from a legal perspective.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring