Short Reads

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

21.06.2019 NL law

Op 14 maart 2019 zijn de nieuwe Boetebeleidsregels Autoriteit Persoonsgegevens 2019 ("Boetebeleidsregels") van de Autoriteit Persoonsgegevens ("AP") gepubliceerd. Dit boetebeleid heeft de AP opgesteld vanwege de inwerkingtreding van de Algemene verordening gegevensverwerking ("AVG") en omdat er op Europees niveau nog geen boeterichtsnoeren zijn opgesteld.

In dit beleid werkt de AP uit hoe zij de boetehoogte voor overtreding van onder meer de AVG, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en de Telecommunicatiewet bepaalt. In dit blogbericht bespreken wij dit beleid op hoofdlijnen.

AP past boetebeleid aan

De Boetebeleidsregels zien op boetes die de AP kan opleggen voor overtreding van voorschriften van de AVG, de Uitvoeringswet AVG, de Algemene wet bestuursrecht, de Telecommunicatiewet, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en de elDAS-verordening (Verordening EU nr. 910/2014). Met de Boetebeleidsregels past de AP haar oude boetebeleid aan dat op 14 maart 2019 is ingetrokken. Dit nieuwe beleid, voor zoverre het ziet op overtredingen van de (U)AVG,  is volgens de AP van tijdelijke aard en geldt totdat op Europees niveau richtsnoeren voor het vaststellen van de hoogte van boetes door de Europese toezichthouders zijn vastgesteld. Die richtsnoeren moeten ervoor gaan zorgen dat de hoogte van boetes voor de naleving van de privacywetgeving in de gehele Europese Unie wordt geharmoniseerd.

De bepaling van de hoogte van de boete: algemene systematiek

De Boetebeleidsregels maken allereerst onderscheid in de verschillende wettelijke boetemaxima die op grond van de hiervoor genoemde wetgeving kan worden opgelegd. Vervolgens heeft de AP binnen het desbetreffende boetemaximum een categorie-indeling, boetebandbreedtes en de daarbij behorende basisboetebedragen vastgesteld. In de bijlage bij de Boetebeleidsregels staat welke overtreding onder welke categorie valt. Onderstaand voorbeeld verduidelijkt dit voor overtredingen van de AVG. Daaruit blijkt dat de zwaarste boete voor de niet-naleving van de AVG de vierde categorie is. Daarvoor geldt een boetebandbreedte tussen € 450.000 en € 1.000.000, waarbij van een basisboetebedrag van € 725.000 wordt uitgegaan:

Boetebandbreedtes

De hoogte van de boete in een concrete zaak wordt bepaald aan de hand van de basisboete die eventueel naar boven of naar beneden wordt bijgesteld afhankelijk van bepaalde factoren (artikel 7). Enkele voorbeelden van dergelijke factoren zijn de aard en ernst van de inbreuk, de mate van samenwerking met de toezichthouder, opzet, en de maatregelen die zijn genomen door om de schade van de betrokkene te beperken. Ook kan draagkracht een rol (artikel 9) spelen. De bijstelling naar boven leidt in beginsel tot ten hoogste het maximum van de bandbreedte van de desbetreffende categorie. Dat betekent voor het hiervoor genoemde voorbeeld dat de AP voor overtreding van de bepalingen in de AVG in beginsel maximaal een boete van 1 miljoen euro zal opleggen.

Uitzonderingen: hogere boetes mogelijk

Bedacht moet wel worden dat de hiervoor besproken systematiek niet in alle gevallen tot een passende boetehoogte zal leiden. Daarom heeft de AP uitzonderingen gecreëerd in de Beleidsregels die ertoe kunnen leiden dat niet alleen lagere boetes, maar juist ook hogere boetes kunnen worden opgelegd (artikel 8). Dat geldt in de eerste plaats als sprake is van recidive, dan kan de boete met 50% worden verhoogd. In de tweede plaats geldt dat indien de boetebandbreedte en het daaraan gekoppelde basisboetebedrag in kwestie geen passende bestraffing toelaten voor overtreding van de AVG deze kunnen worden losgelaten en zelfs de maximumboetes die in de AVG zijn bepaald (10 of 20 miljoen euro of een percentage van de totale wereldwijde jaaromzet afhankeijk van de de overtreding) kunnen worden opgelegd. Daarmee wil de AP naar ons idee in lijn blijven met de zeer hoge boetes die de Europese wetgever heeft voorgeschreven voor privacyschendingen in de AVG.

Conclusie

Het nieuwe boetebeleid van de AP brengt geen grote verrassingen met zich. In dit beleid houdt de AP bij het bepalen van de hoogte van de boete rekening met een groot aantal factoren, zoals de aard, ernst en duur van de inbreuk, opzet, getroffen maatregelen en draagkracht. Daarmee loopt dit beleid in de pas met het boetebeleid van andere toezichthouders zoals de AFM en de ACM. We moeten nog zien of de AP van dit beleid gebruik zal gaan maken voor overtredingen van de (U)AVG. Zodra er richtsnoeren op Europees niveau worden vastgesteld (nog niet duidelijk is wanneer die gereed zullen zijn) met betrekking tot de bepaling van de hoogte van boetes voor schending van de AVG, zal het nieuwe beleid komen te vervallen.

Het bericht ‘Nieuw boetebeleid van de Autoriteit Persoonsgegevens’ is een bericht van Stibbeblog.nl.

Team

Related news

02.10.2019 EU law
Seminar: Data protection implications of (a no-deal) Brexit

Seminar - On October 2nd at 4 pm, we organize a seminar where we will discus the implications of a (no-deal) Brexit on data protection.  These issues affect all businesses interacting between UK and EEA (including EU) and which send or receive data to and from UK. We will highlight the main challenges both in the case of a hard Brexit on 31 October 2019 and in other scenarios. We will also offer guidelines to help your organisation mitigate the respective risks.

Read more

28.08.2019 NL law
Masterclass: e-signature and electronic identifiers

Masterclass - Stibbe is organising a Masterclass on 26 September 2019 in Amsterdam on the subject of e-signature and electronic identifiers. This Masterclass will cover the legal framework and focus especially on the numerous possibilities for applying the various electronic signatures in different situations. In addition, we explain the regulations governing electronic identifiers, and the mandatory European recognition they receive.

Read more

27.09.2019 NL law
Stibbe is attending the IBA's annual conference in Seoul

Conference - The annual conference of the International Bar Association (IBA) is currently taking place in Seoul. There are fourteen partners from Stibbe attending the event. Several of them have speaking slots on a wide range of legal topics and will take part in various panel discussions.

Read more

04.09.2019 NL law
Relativiteitsvereiste staat in de weg aan beroep van niet-bewoner op huisrecht bij onrechtmatig binnentreden van woning

Short Reads - Op 15 mei 2019 deed de Afdeling bestuursrechtspraak van de Raad van State ("Afdeling") een voor de bestuurlijke boetepraktijk belangrijke uitspraak over het vermeende onrechtmatig binnentreden van een woning door een toezichthouder en de gevolgen daarvan voor de opgelegde boete. Volgens de Afdeling levert het binnentreden door een toezichthouder alleen dan onrechtmatig verkregen bewijs op indien het huisrecht van de bewoner is geschaad.

Read more

19.08.2019 EU law
Enable “likes” and bear joint-controllership

Articles - The Court of Justice of the European Union recently ruled, in Case C-40/14 Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV,  that a website operator that features “Like” social-media plugin from Facebook likely qualifies as joint-controller with Facebook for its website visitors’ personal data collection and transmission to Facebook.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring