AP publiceert gewijzigde boetebeleidsregels

10 mei 2019 | Blog

De Autoriteit Persoonsgegevens ("AP") heeft gewijzigde boetebeleidsregels gepubliceerd. Met de gewijzigde boetebeleidsregels beoogt de AP enerzijds inzicht te geven in de factoren die de hoogte van de boete bepalen, anderzijds bieden deze gewijzigde boetebeleidsregels de AP de nodige flexibiliteit om in individuele gevallen maatwerk te leveren. De boetebeleidsregels zijn een wijziging van de vorige boetebeleidsregels uit 2016 en worden door de AP gehanteerd bij overtreding van de Algemene Verordening Gegevensbescherming ("AVG") en de Uitvoeringswet AVG ("UAVG"), maar ook bij overtreding van bepaalde artikelen van de:

  • Algemene wet bestuursrecht;
  • Telecommunicatiewet;
  • Verordening (EU) nr. 910/2014 (eIDAS-verordening);
  • Wet Justitiële en strafvorderlijke gegevens; en de
  • Wet politiegegevens.

Boetecategorieën
De AP heeft de overtredingen van de wetten waarop zij toezicht houdt ingedeeld bepaalde boetecategorieën. De boetecategorieën zijn afhankelijk van elk wettelijk boetemaximum en zijn ingedeeld in 3 tot 4 boetecategorieën. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht. Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte en een basisboete die de AP passend voorkomt. Dit houdt in dat de boete evenredig en voldoende afschrikwekkend moet zijn voor zowel de overtreder als andere potentiële overtreders. Dit resulteert voor overtreding van de AVG of de UAVG in de volgende categorieën, boetebandbreedtes en basisboetes:

Categorie I Boetebandbreedte tussen €0 en €200.000 Basisboete: €100.000
Categorie II Boetebandbreedte tussen €120.000 en €500.000 Basisboete: €310.000
Categorie III Boetebandbreedte tussen €300.000 en €750.000 Basisboete: €525.000
Categorie IV Boetebandbreedte tussen €450.000 en €1.000.000 Basisboete: €725.000

De basisboete zoals opgenomen in de derde kolom is het uitgangspunt voor de berekening van de boete in ieder afzonderlijk geval bij een overtreding van de AVG of UAVG. Voor overtreding van een van de wetsartikelen van andere wetten dan de AVG en de UAVG waarop de AP toezicht houdt, gelden afwijkende (lagere) boetebandbreedtes.

Aanpassen basisboete
De AP kan, naargelang er relevante factoren meespelen, de basisboete verhogen of verlagen.

De hoogte van de op te leggen boete wordt afgestemd door aan de hand van de relevante factoren te 'plussen en minnen' binnen de boetebandbreedte van de aan die overtreding gekoppelde boetecategorie. Relevante factoren zijn hierbij bijvoorbeeld de aard, ernst en de duur van de overtreding, het aantal betrokkenen, de omvang van de schade. Verder is van belang in hoeverre een overtreding aan de overtreder kan worden verweten en geldt dat in de omstandigheid dat ten tijde van het begaan van een overtreding nog geen vijf jaren zijn verstreken sinds het opleggen van een bestuurlijke boete door de AP voor een eenzelfde of soortgelijke overtreding (recidive) de AP de boete met 50% kan verhogen. Een volledig overzicht van de relevante factoren is terug te vinden in de onderdelen a tot en met k van artikel 7 van de boetebeleidsregels.

In de boetebeleidsregels zijn  bijlagen met tabellen opgenomen waarin overtredingen zijn gecategoriseerd. In de eerste bijlage is een tabel opgenomen met concrete categorische invullingen aan bepaalde overtredingen van de AVG, zoals:

Wetsartikel Omschrijving Categorie
Art. 30, behoudens het derde lid, AVG register van de verwerkingsactiviteiten II
art. 30, derde lid, AVG register van de verwerkingsactiviteiten I

Uit dit onderdeel van de tabel volgt dat, naar de indeling van de AP, het niet hanteren van een verwerkingsregister in schriftelijke vorm, waaronder in elektronische vorm, tot een boete uit categorie I en daarmee tot een basisboete van €100.000,- leidt. Voor het hanteren van een verwerkingsregister waarin niet alle vereisten van artikel 30 in zijn verwerkt geldt een basisboete van €310.000,-.

Boete maximeren
Indien de AP van oordeel is dat een overtreding waarop een bepaalde basisboete staat toch geen passende bestraffing is, kan zij alsnog overgaan tot het opleggen van hogere boete en daarmee alsnog buiten de boetebandbreedte treden. Een overtreding van de eerste categorie kan daarmee nog altijd leiden tot een boete tot ten hoogste €10.000.000,- of 2% van de totale wereldwijde jaaromzet. Voor een overtreding van de tweede categorie geldt €20.000.000,- of 4% de totale wereldwijde jaaromzet. Hierbij geldt het uitgangspunt dat gekozen wordt voor het percentage van de totale wereldwijde jaaromzet indien dat bedrag hoger uitkomt.

Inherente afwijkingsbevoegdheid
Voorts biedt artikel 4:84 Algemene Wet Bestuursrecht ("Awb") de AP de mogelijkheid om van deze beleidsregels, met betrekking tot het bepalen van de hoogte van de boetes, af te wijken vanwege bijzondere gevallen die niet in de in de beleidsregels zijn verdisconteerd. Boeteoplegging blijft dus altijd maatwerk.

Europese richtsnoeren
De door de AP gepubliceerde boetebeleidsregels zijn van tijdelijke aard. Uit de toelichting op de beleidsregels blijkt namelijk dat binnen de European Data Protection Board ("EDPB") het streven bestaat om te komen tot gezamenlijke uitgangspunten aangaande de berekening van boetes wegens overtredingen van de AVG. De EDPB heeft deze gezamenlijke uitgangspunten nog niet vastgesteld. De boetebeleidsregels zullen dan ook door de AP worden toegepast totdat er de Europese richtsnoeren zijn voor de berekening van de hoogte van de boetes.

Meld u aan voor onze nieuwsbrieven