De Autoriteit Persoonsgegevens heeft de boetebeleidsregels aangepast die worden gebruikt wanneer de Algemene verordening gegevensbescherming (AVG) wordt overtreden. De oude regels hadden namelijk betrekking op overtredingen van de eerdere privacywetgeving die vorig jaar door de AVG werd vervangen.

De Europese Databeschermingsraad (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de AVG, kwam vorig jaar met regels om administratieve geldboeten vast te stellen. In deze richtlijnen staat vermeld wanneer welk sanctiemiddel het meest passend is, zoals bijvoorbeeld een last onder dwangsom of een verwerkingsverbod.

De EDPB heeft nog geen gezamenlijk uitgangspunt voor het berekenen van boetes vastgesteld. Daarom heeft de Autoriteit Persoonsgegevens nu voor haar toezicht in Nederland beleid vastgesteld om de hoogte van boetes te berekenen (pdf). De toezichthouder zal deze regels toepassen totdat er Europese regels zijn om de hoogte van privacyboetes vast te stellen.

Maximale boetes

De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes. De eerste categorie betreft partijen die persoonsgegevens verwerken en de verplichtingen van de AVG niet nakomen. De AP kan deze partijen een boete opleggen van maximaal 10 miljoen euro. Of een boete van maximaal 2 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Wanneer de beginselen of grondslagen van de AVG worden overtreden of de privacyrechten van de betrokkenen kan de toezichthouder een boete opleggen van maximaal 20 miljoen euro. Of een boete van maximaal 4 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Voor deze twee categorieën heeft de Autoriteit Persoonsgegevens verschillende boetebandbreedtes opgesteld, waarbij de hoogste boete 1 miljoen euro bedraagt. In de beleidsregels staat echter ook vermeld dat wanneer de toezichthouder vindt dat de boetebandbreedte geen passende bestraffing toelaat, het een hogere boete kan opleggen die buiten de boetebandbreedtes treedt. Het gaat dan maximaal om boetes tot 20 miljoen euro of 4 procent van de totale wereldwijde jaaromzet.

Image