Europese harmonisatie boeteregels bij overtreding AVG
Er zijn nieuwe AVG-boeteregels op komst waarmee boetes voor bedrijven bij overtreding van de Algemene verordening gegevensbescherming binnen de EU uniform worden vastgesteld: een beknopt overzicht van de nieuwe voorstellen.
De nieuwe AVG-boetebeleidsregels (pdf) zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders. Met die regels bepalen alle Europese privacytoezichthouders afzonderlijk op dezelfde manier de hoogte van privacyboetes. Nu heeft elke privacytoezichthouder in de EU nog zijn eigen boeteregels. De EDPB heeft de nieuwe uniforme regels opgesteld om de methode te harmoniseren die privacytoezichthouders gebruiken bij het vaststellen van het bedrag van de boete. Die methode bestaat uit de volgende 5 stappen die een toezichthoudende autoriteit dient te nemen om een boete te bepalen.
Stap | Actie |
1. | Overtredingen vaststellen waarbij in het geval van meerdere overtredingen wordt nagegaan welke verwerking de zwaarste inbreuk oplevert. De totaal op te leggen boete mag namelijk niet hoger zijn dan die voor de zwaarste inbreuk. |
2. | De basisboete bepalen. Dit gebeurt door 1) evaluatie van de classificatie van de inbreuk in de AVG, 2) beoordeling van de ernst van de inbreuk in het licht van de omstandigheden van het geval, en – last but not least – 3) de omzet van de onderneming. |
3. | Analyseren van verzwarende en verzachtende omstandigheden die verband houden met gedrag in het verleden of heden van de verwerkingsverantwoordelijke/verwerker en de boete dienovereenkomstig verhogen of verlagen. |
4. | Het vaststellen van de relevante wettelijke maxima voor de verschillende verwerkingen. Verhogingen toegepast op basis van de eerste drie stappen kunnen deze maxima nooit overschrijden. |
5. | Analyseren of het uiteindelijke bedrag van de berekende boete voldoet aan de eisen van doeltreffendheid, afschrikwekkendheid en evenredigheid, zoals vereist door de AVG, en de boete dienovereenkomstig verhogen of verlagen. |
De drie belangrijkste verschillen
De nieuwe regels wijken op drie belangrijke punten af van de huidige voor Nederland geldende boetebeleidsregels. Wellicht heb je ze al herkend.
- De omzet van een bedrijf legt meer gewicht in de schaal.
Onder de huidige Nederlandse boeteregels wordt de omzet van het bedrijf pas aan het einde meegewogen als boeteverhogende of -verlagende omstandigheid: dus pas nadat het basisboetebedrag is vastgesteld. Bij de EDPD-boetebeleidsregels is de omzet maatgevend voor het vaststellen van de basisboete. Bedrijven kunnen dan in de boeteregels zien welke bedrag als startpunt voor de berekening van de boete voor een bepaalde overtreding wordt gebruikt voor een bedrijf van hun grootte, aldus de Autoriteit Persoonsgegevens. - Categorische indeling ernst overtreding.
In de nieuwe regels zijn er drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Nu kijkt de AP ook naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar zonder er een categorie aan te hangen. Met de nieuwe regels geldt per categorie een andere basisboete. - Basisboete ligt niet standaard in het midden van de bandbreedte.
Net als binnen de huidige boeteregels wordt de basisboete binnen een vaste bandbreedte voor een specifieke overtreding bepaald. Anders dan bij de huidige boeteregels ligt die basisboete echter niet standaard in het midden van de bandbreedte.
EDPB-regels gelden alleen voor bedrijven
Het is van belang te vermelden dat de EDPB-boeteregels alleen voor bedrijven zullen gaan gelden. Dit omdat het niet in alle EU-landen mogelijk is om overheidsinstanties te beboeten. Voor overheden zullen nog afzonderlijke boeteregels worden opgesteld. Overigens blijft de berekening van de boete ter beoordeling aan de nationale toezichthoudende autoriteit, met inachtneming van de regels die in de AVG zijn vastgelegd.
Openbare consultatie
Houd er verder rekening mee dat de nieuwe EDPB-boeteregels momenteel ter consultatie voorliggen. Het Europese comité voor gegevensbescherming verwelkomt opmerkingen over de hierboven besproken richlijnen voor de berekening van administratieve boetes onder de AVG.
Over de auteur: Sil Kingma is advocaat bij Cordemeyer & Slager Advocaten.
Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond