Aan het begin van deze maand heeft de Autoriteit Persoonsgegevens (‘AP’) bekendgemaakt dat zij voortaan nieuwe regels hanteren voor de berekening van boetes voor bedrijven die de Algemene verordening gegevensbescherming (AVG) overtreden. In deze blog lichten wij verder toe wat de nieuwe beleidsregels inhouden.
Achtergrond
De European Data Protection Board (EDPB) is als samenwerkingsverband van Europese privacytoezichthouders tot een nieuw boetebeleid gekomen. De regels van deze richtlijn zijn meteen van kracht, dus deze gelden ook voor de lopende zaken. Het doel van de richtlijn is dat voortaan de hoogte van de boetes door alle privacytoezichthouders in de Europese Unie (EU), zoals onder andere de AP, op dezelfde wijze worden berekend. Ook kunnen de toezichthouders elkaar beter controleren wanneer zij meekijken bij het onderzoek van een collega-toezichthouder.
Het nieuwe boetebeleid verschilt op drie belangrijke punten van de boetebeleidsregels die de AP tot nu toe gebruikte, namelijk:
- De omzet van een bedrijf heeft een grotere rol;
- Er zijn nieuwe categorieën voor de ernst van de overtreding, en;
- Er is een bandbreedte voor het startbedrag van een boete.
Omzet van een bedrijf
In de richtlijn speelt de omzet van een bedrijf een grotere rol bij het bepalen van de hoogte van een boete. Zo zal bij het opleggen van een boete de omzet aan het begin worden meegenomen in de berekening van het startbedrag. Onder de oude regels van de AP werd dit pas gedaan aan het einde van de berekening.
Bedrijven kunnen de richtlijn raadplegen om te weten te komen welk bedrag als startpunt wordt gebruikt voor het berekenen van een boete voor een bepaalde overtreding. Afhankelijk van de grootte van het bedrijf zal het startbedrag verschillen. Ook telt de omzet van het moederbedrijf van de overtreder mee.
Categorieën ernst overtreding
Onder de oude regels van de AP werd er geen categorie gekoppeld aan de overtreding, maar werd alleen gekeken naar de ernst van de overtreding. Met de nieuwe regels zijn er drie nieuwe categorieën geïntroduceerd om de ernst van een overtreding te bepalen: laag, midden en hoog. Afhankelijk van de categorie van een overtreding zal een ander startbedrag gelden. De verschillende categorieën en de startbedragen per categorie zijn terug te vinden in de richtlijn.
Bandbreedte voor startbedrag
Voorheen werd door de AP een boetebedrag bepaald aan de hand van de bandbreedte in de oude AP-boetebeleidsregels. In de nieuwe richtlijn wordt er gebruik gemaakt van een bandbreedte voor het bepalen van het startbedrag van de boete. Vervolgens kan dat bedrag nog worden verhoogd of verlaagd voor de definitieve boete aan een bedrijf.
Toezichthouders starten dus eerst met het berekenen van het startbedrag. De hoogte van de boete kan daarna worden aangepast als daar redenen voor zijn. De boete kan bijvoorbeeld worden verhoogd als de onderneming al eerder een soortgelijke overtreding heeft begaan. Of worden verlaagd als de onderneming er alles aan heeft gedaan om de gevolgen voor de slachtoffers te beperken.
Tot slot
Boetes kunnen onder de nieuwe regels, net als onder de oude, oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf. De regels zijn meteen van kracht. Ook voor lopende zaken.
De regels gaan alleen gelden voor bedrijven en niet voor overheden. Dit komt omdat niet alle privacytoezichthouders in de EU-boetes op mogen leggen aan overheden.
Bron: AP
