Op 12 mei 2022 heeft de European Data Protection Board (EDPB), de koepelorganisatie waarin alle Europese privacy toezichthouders zijn vertegenwoordigd, een nieuw beleid gepubliceerd voor het berekenen van boetes na overtreding van de Algemene verordening gegevensbescherming (AVG): de ‘fining guidelines’. Het doel? Zorgen dat alle privacy toezichthouders in de Europese Unie (EU) voortaan op dezelfde manier de hoogte van boetebedragen berekenen. Belanghebbenden konden tot 27 juni 2022 reageren op het concept. Inmiddels is de definitieve versie aangenomen.
1. Omzet bedrijf speelt een grotere rol
De omzet van ondernemingen krijgt een grotere rol in het bepalen van het startbedrag van de boete. Onder de oude regels van het boetebeleid van de Autoriteit Persoonsgegevens (AP) kwam de factor ‘omzet’ pas aan het einde van de rit in beeld. Onder de nieuwe regels starten de toezichthouders voor de berekening van de hoogte van een boete met een startbedrag. Wanneer de jaarlijkse omzet van een onderneming hoger is, mag de toezichthoudende autoriteit ook een hoger starbedrag hanteren. Ook de omzet van het moederbedrijf van de overtreder telt mee.
2. Er zijn 3 niveaus voor de ernst van de overtreding
Het tweede punt waarop de nieuwe boeteregels verschillen met de voorgaande regels, is dat er drie categorieën zijn voor de ernst van de overtreding: laag, midden en hoog. Er geldt per categorie een ander startbedrag voor de boete. In principe keek de AP al naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar ze hingen daar nog geen categorie aan vast.
3. Boetebandbreedtes worden gehanteerd als boetestartbedrag
Toezichthouders starten de berekening van de hoogte van de boete met een startbedrag. Daarna kijken ze of er redenen zijn om de boete aan te passen. Bijvoorbeeld, een verhoging van de boete wanneer het bedrijf eerder een vergelijkbare overtreding heeft begaan. Boetes kunnen onder de nieuwe regels, net als onder de oude, oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf.
De nieuwe regels gaan ALLEEN gelden voor bedrijven, omdat niet alle lidstaten van de EU de mogelijkheid kennen om overheidsinstanties te beboeten. De Autoriteit Persoonsgegevens mag dit wel. Voorlopig blijven dus de oude boetebeleid regels gelden voor overheidsinstanties. Er is een onderzoek lopende om te zien welke regels de AP in de toekomst wil hanteren voor het berekenen van boetehoogtes voor overheidsinstanties binnen de EU.
De aanname van de Europese boetebeleidregels hebben in bepaalde mate gevolgen voor de organisaties die vallen onder het toezicht van de AP. De AP moet werken langs de Europese regels en kan dus niet langer haar eigen Nederlandse beleid hanteren. De nieuwe regels zijn veel strikter en dit zal ervoor zorgen dat er hogere boetes zullen worden uitgedeeld.