Boetesysteem
Wanneer loop ik risico op een boete?
Als je als Verwerkingsverantwoordelijke of Verwerker de AVG niet naleeft kan de Autoriteit Persoonsgegevens een boete opleggen. Een boete moet doeltreffend, proportioneel en voldoende afschrikwekkend zijn. Daarnaast kan de toezichthouder een corrigerende maatregel opleggen, zoals een waarschuwing, een bindende aanwijzing of een last onder dwangsom.
Soorten maatregelen
Er zijn 2 boetecategorieën:
- Boete voor overtredingen van voornamelijk ‘administratieve’ bepalingen uit de AVG. De maximale boete is 10.000.000 euro of 2 % van de wereldwijde (netto) jaaromzet als dit bedrag hoger is.
- Boete voor meer fundamentele overtredingen van de AVG, of het niet opvolgen van aanwijzing van de toezichthouder. De maximale boete is 20.000.000 euro of 4 % van de wereldwijde (netto) jaaromzet als dit bedrag hoger is.
De toezichthouder kan eerst waarschuwen of een aanwijzing geven voordat hij een boete oplegt. Dit is echter niet verplicht. De toezichthouder kan ook direct een boete opleggen. Dit zal aan de orde zijn in situaties waarin evident opzettelijk of ernstig nalatig de verplichtingen van de AVG worden overtreden.
Een boete kan niet of minder snel worden opgelegd als het voor de Verwerkingsverantwoordelijke of Verwerker in redelijkheid niet helder kan zijn wat van hem concreet wordt verwacht. Wanneer sprake is van een open norm kan het direct opleggen van een boete zelfs in strijd zijn met de beginselen van behoorlijk bestuur. Een rechter kan toetsen of in redelijkheid helder is wat van een Verwerkingsverantwoordelijke of Verwerker wordt verwacht.
Soorten overtredingen categorie 1
Een boete in categorie 1 wordt met name opgelegd bij het niet nakomen van diverse voornamelijk ‘administratieve’ verplichtingen die de AVG oplegt. Hieronder vallen o.a. de volgende overtredingen:
- verwerken persoonsgegevens van kinderen < 16 jaar zonder toestemming van het ouderlijk gezag
- uitvoering geven aan rechten klant zonder de Betrokkene te identificeren
- samenwerken met Verwerker zonder afdoende garanties (voor organisatorische en technische beveiligingsmaatregelen, voor naleving van de vereisten van de AVG en voor de bescherming van de rechten van Betrokkenen)
- onbevoegd laten verwerken van persoonsgegevens (door ander dan Verwerkingsverantwoordelijke of Verwerker)
- niet (juist) bijhouden van een Register voor de gegevensverwerking
- niet meewerken aan de opvolging van een verzoek van de toezichthouder
- niet voldoen aan de eisen voor passende organisatorische en technische beveiligingsmaatregelen
- niet melden van een datalek aan de toezichthouder
- niet aanwijzen van een Functionaris Gegevensbescherming (FG) terwijl dit wel verplicht is
- niet tijdig en naar behoren betrekken van de FG bij privacy aangelegenheden
- niet laten uitvoeren van de taken van de FG
- niet uitvoeren van een gegevenseffectbeoordeling (Privacy Impact Assesment PIA) terwijl dit wel noodzakelijk was of het verzuimen van een noodzakelijke voorafgaande raadpleging van de toezichthouder over de uitkomst ervan
Soorten overtredingen categorie 2
Een boete in categorie 2 (Fundamentele overtredingen) wordt met name opgelegd bij het overtreden van de grondslagen van de AVG of het overtreden van de privacy-rechten van Betrokkenen. Hieronder vallen o.a. de volgende overtredingen:
- niet naleven van de beginselen voor gegevensverwerking
- verwerken van persoonsgegevens zonder geldige grondslag
- niet kunnen aantonen dat Betrokkene toestemming heeft gegeven voor de gegevensverwerking als de rechtsgrond voor de gegevensverwerking gebaseerd is op ‘toestemming’
- overtreden van voorwaarden voor de verwerking van bijzondere gegevens (zoals gezondheidsgegevens)
- niet naleven regels voor (transparantie) rechten Betrokkenen
- doorgeven van persoonsgegevens aan een derde land of internationale organisaties waarvan de Europese toezichthouders niet hebben besloten dat een passend beschermingsniveau is gewaarborgd
- niet naleven of opvolgen van bevelen van de toezichthouder (verstrekken van onderzoeks-informatie aan de toezichthouder of het opvolgen van corrigerende maatregelen van de toezichthouder)
Hoogte van de boete
Bij het opleggen van een boete zal de Autoriteit Persoonsgegevens gemotiveerd moeten aangeven hoe de hoogte van de boete binnen de boete-categorie is bepaald. De hoogte van de boete is afhankelijk van meerdere factoren. Deze zijn:
Boeteverzwarend
- de aard, ernst en duur van de inbreuk op persoonsgegevens; hierbij weegt mee het aantal getroffen betrokkenen, en de schade die is geleden
- of sprake is van opzettelijk of nalatig handelen
- eventuele eerdere vergelijkbare inbreuken
- of de inbreuk ook betrekking heeft op bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens of BSN
- niet naleven van een eerder door de toezichthouder opgelegde corrigerende maatregel (indien van toepassing) ten aanzien van eenzelfde situatie
- andere omstandigheden die op een inbreuk betrekking hebben; bijvoorbeeld behaald financieel voordeel of verliezen die gemeden zijn in relatie tot een inbreuk op de persoonsgegevens.
Boeteverzachtend
- de getroffen maatregelen om de schade te beperken (je kan de boete proberen te dempen door maatregelen te nemen om de schade te beperken)
- de mate van samenwerking met Autoriteit Persoonsgegevens om de inbreuk op persoonsgegevens te verhelpen en negatieve gevolgen te beperken
- een inbreuk op de persoonsgegevens zelf melden aan de Autoriteit Persoonsgegevens
- wel naleven van een eerder door de toezichthouder opgelegde corrigerende maatregel (indien van toepassing) ten aanzien van eenzelfde situatie