De Autoriteit Persoonsgegevens past de boetebeleidsregels aan die gelden bij een overtreding van de privacywet AVG. De AP heeft de boetebeleidsregels in afwachting van Europees beleid alvast aangepast, omdat de oude regels betrekking hadden op overtredingen van eerdere privacywetgeving (Wet bescherming persoonsgegevens).
De boetebeleidsregels geven inzicht in de manier waarop de toezichthouder de hoogte van een boete berekent. Die hoogte verschilt per type overtreding. Andere factoren die meespelen bij het vaststellen van de hoogte van een boete zijn onder meer de ernst, omvang en duur van de overtreding en of er sprake is van opzet of recidive.
Boetes bij overtreding AVG, telecomwet
De AP kan boetes opleggen bij overtredingen van zowel Algemene verordening gegevensbescherming (AVG) zelf als de Uitvoeringswet van de AVG. Verder kan de AP een boete opleggen bij overtredingen op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens en bij bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht. Tegenover Nu.nl heeft de AP laten weten dat het mogelijk dit jaar al boetes gaat uitdelen in het kader van overtredingen van de AVG.
In mei 2018 heeft European Data Protection Board (EDPB) richtsnoeren vastgesteld voor de toepassing en vaststelling van administratieve geldboetes. In deze richtsnoeren is vastgelegd wanneer welk sanctiemiddel het meest passend is. Andere sanctiemiddelen zijn bijvoorbeeld een last onder dwangsom en een verwerkingsverbod.
Aangezien de koepel van Europese privacy-toezichthouders nog geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld, besloot de AP voor haar toezicht in Nederland zelf beleid vastgesteld voor de berekening van de hoogte van boetes. De beleidsregels worden door de AP toegepast totdat er ook Europese richtsnoeren zijn voor de berekening van de hoogte van boetes.
Bepalen van boete
Bij het vaststellen van een boete houdt de AP in eerste instantie rekening met het maximale bedrag dat in de wet is vermeld. De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.
- Verantwoordelijken, degenen die persoonsgegevens verwerken, hebben onder de AVG verplichtingen zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een verantwoordelijke een verplichting niet na, dan kan de AP een boete opleggen van maximaal 10 miljoen euro of maximaal 2 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
- Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG of de privacyrechten van de betrokkenen: dan kan de AP een boete opleggen van maximaal 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
De AP heeft de overtredingen van wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in drie tot vier boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.
Basisboete
Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte van een minimum- en een maximumbedrag. De hoogte moet voldoende afschrikwekkend zijn voor potentiële overtreders. Binnen de verschillende boetebandbreedtes heeft de AP steeds een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.
De basisboete kan per geval verhoogd of verlaagd worden aan de hand van factoren zoals de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Bij het vaststellen van de boete kan de AP ook rekening houden met de financiële omstandigheden waarin de overtreder verkeert.
