Op 14 maart 2019 zijn aangepaste boetebeleidsregels van de Autoriteit Persoonsgegevens (AP) gepubliceerd in de Staatscourant (nr. 14586). De oude boetebeleidsregels waren achterhaald sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG). Met de aangepaste boetebeleidsregels geeft de AP inzicht op welke wijze de hoogte van een boete wordt berekend bij schending van onder meer de AVG.
Uit hoofde van artikel 83 AVG kan voor een overtreding van de AVG – afhankelijk van welke norm is geschonden – een maximumboete van € 10.000.000 respectievelijk € 20.000.000 of, voor ondernemingen, tot 2% respectievelijk 4% van de totale wereldwijze jaaromzet in het voorgaande boekjaar worden opgelegd.
Categorie I: Boetebandbreedte tussen €0 en €200.000 - Basisboete: €100.000
Categorie II: Boetebandbreedte tussen €120.000 en €500.000 - Basisboete: €310.000
Categorie III: Boetebandbreedte tussen €300.000 en €750.000 - Basisboete: €525.000
Categorie IV: Boetebandbreedte tussen €450.000 en €1.000.000 - Basisboete: €725.000
In beginsel hanteert de AP bij overtredingen van de AVG de in de boetebeleidsregels per boetecategorie vastgestelde boetebandbreedtes. Als echter een toepasselijke boetebandbreedte in het concrete geval geen passende bestraffing toelaat, dan kan de AP deze bandbreedte loslaten en hogere boetes opleggen tot de maximumbedragen uit hoofde van de AVG.De basisboete is het startbedrag voor een te bepalen boete. De uiteindelijke hoogte van het boetebedrag zal vervolgens door de AP binnen de boetebandbreedte naar boven of naar beneden worden vastgesteld aan de hand van verschillende factoren (zoals de ernst van de overtreding en de mate van verwijtbaarheid).
Overigens zijn deze nieuwe boetebeleidsregels van tijdelijke aard totdat er in Europees verband door het Europees Comité voor gegevensbescherming (EDPB) gezamenlijke uitgangspunten voor de berekening van boetes zijn vastgesteld.
Dit nieuwsbericht is ook te vinden in het dossier AVG.