image

Autoriteit Persoonsgegevens wijzigt boetebeleidsregels

donderdag 14 maart 2019, 10:05 door Redactie, 13 reacties

De Autoriteit Persoonsgegevens heeft de boetebeleidsregels aangepast die worden gebruikt wanneer de Algemene verordening gegevensbescherming (AVG) wordt overtreden. De oude regels hadden namelijk betrekking op overtredingen van de eerdere privacywetgeving die vorig jaar door de AVG werd vervangen.

De Europese Databeschermingsraad (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de AVG, kwam vorig jaar met regels om administratieve geldboeten vast te stellen. In deze richtlijnen staat vermeld wanneer welk sanctiemiddel het meest passend is, zoals bijvoorbeeld een last onder dwangsom of een verwerkingsverbod.

De EDPB heeft nog geen gezamenlijk uitgangspunt voor het berekenen van boetes vastgesteld. Daarom heeft de Autoriteit Persoonsgegevens nu voor haar toezicht in Nederland beleid vastgesteld om de hoogte van boetes te berekenen (pdf). De toezichthouder zal deze regels toepassen totdat er Europese regels zijn om de hoogte van privacyboetes vast te stellen.

Maximale boetes

De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes. De eerste categorie betreft partijen die persoonsgegevens verwerken en de verplichtingen van de AVG niet nakomen. De AP kan deze partijen een boete opleggen van maximaal 10 miljoen euro. Of een boete van maximaal 2 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Wanneer de beginselen of grondslagen van de AVG worden overtreden of de privacyrechten van de betrokkenen kan de toezichthouder een boete opleggen van maximaal 20 miljoen euro. Of een boete van maximaal 4 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Voor deze twee categorieën heeft de Autoriteit Persoonsgegevens verschillende boetebandbreedtes opgesteld, waarbij de hoogste boete 1 miljoen euro bedraagt. In de beleidsregels staat echter ook vermeld dat wanneer de toezichthouder vindt dat de boetebandbreedte geen passende bestraffing toelaat, het een hogere boete kan opleggen die buiten de boetebandbreedtes treedt. Het gaat dan maximaal om boetes tot 20 miljoen euro of 4 procent van de totale wereldwijde jaaromzet.

Image

Reacties (13)
14-03-2019, 10:15 door karma4
Wat nog niet goed zit is, is het one-stop EU privacy directive gebeuren. Dan kan het niet zo zijn dat elke lidstaat zich onafhankelijk gedraagt. Het kan ook niet zo zijn dat voor een enkele overtreding elke staat een boete als ware het voor de hel EU gaat opleggen. Ik verwacht dat de gemaakte fouten daarmee nog gaan opspelen.
14-03-2019, 10:22 door Anoniem
Door karma4: Wat nog niet goed zit is, is het one-stop EU privacy directive gebeuren. Dan kan het niet zo zijn dat elke lidstaat zich onafhankelijk gedraagt. Het kan ook niet zo zijn dat voor een enkele overtreding elke staat een boete als ware het voor de hel EU gaat opleggen. Ik verwacht dat de gemaakte fouten daarmee nog gaan opspelen.
Volgens mij ging het one-stop principe over de wet, namelijk dat je niet tig verschillende mogelijk overlappende en conflicterende wetten hebt op het gebied van privacy. Maar eens dat het netter zou zijn als die boetebedragen ook gelijkgetrokken worden. Het kan niet zo zijn dat een organisatie binnen de EU zich in een ander land gaat zitten alleen omdat de boetes voor dezelfde overtreding daar lager zijn.
14-03-2019, 10:40 door karma4 - Bijgewerkt: 14-03-2019, 11:02
Door Anoniem:
Volgens mij ging het one-stop principe over de wet, namelijk dat je niet tig verschillende mogelijk overlappende en conflicterende wetten hebt op het gebied van privacy. Maar eens dat het netter zou zijn als die boetebedragen ook gelijkgetrokken worden. Het kan niet zo zijn dat een organisatie binnen de EU zich in een ander land gaat zitten alleen omdat de boetes voor dezelfde overtreding daar lager zijn.
De wet en de boetes zouden door de hele unie gelijk moeten zijn. Het gaat beiden.
Als jij een verkeersovertreding begaat dan wordt daar één boete van gemaakt niet een aantal omdat het nederlands staat, provincie en gemeentelijk toezicht betrof en een ieder voor de zelfde overtreding wat gaat doen.

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
"Article 83 General conditions for imposing administrative fines
..
3. If a controller or processor intentionally or negligently, for the same or linked processing operations, infringes several provisions of this Regulation, the total amount of the administrative fine shall not exceed the amount specified for the gravest infringement."

En dan heb je het unierecht.


Grote bedrijven shoppen in de verschillende landen voor de beste regeling. Dat is niet handig dat ben ik met je eens. Dan moet de regelingen voor de hele EU wetten en boetes gelijk op gaan lopen.
14-03-2019, 11:22 door Anoniem
Door karma4: Wat nog niet goed zit is, is het one-stop EU privacy directive gebeuren.
Waar het AP het mee eens is, afgaande op deze zin in het artikel:
De toezichthouder zal deze regels toepassen totdat er Europese regels zijn om de hoogte van privacyboetes vast te stellen.
Het is een tijdelijke voorziening in afwachting van een gezamenlijke regeling die er nu nog niet is.
14-03-2019, 12:44 door Anoniem
De teneur hier, net als bij het klimaatakkoord, is eenduidigheid en daarmee: uitschakeling van de vrije markt (en daarmee competitie) en een toename van Europa. Nu is het heel vaak zo dat aansturing van dergelijke ideeen/stromingen wordt gedaan door wel erg dronken kapiteins (we noemen geen namen, voorzitter Europese Commissie). Bovendien komt het altijd neer op comfirmation biased cherry picking, waarmee de nadelen uit het oog worden verloren of gebagatelliseerd. Als je voor een One Stop methode bent, deze dan gaarne zo snel mogelijk toepassen bij: gemeenten, provincies, ministeries, Europa (op vrijwel alle terreinen) en grote bedrijven etcetera. Uitgaande van het One Stop principe is harmonisatie op deze niveaus keihard nodig, nu is het een enorme bende. Of: nee we doen het (al (heel lang)) geweldig en zo'n One Stop is een idioot hersenspinsel. Tijd om principieel te kiezen (en de gevolgen van deze keuze te accepteren) en te stoppen met zwalken!
14-03-2019, 13:24 door Anoniem
De AP kan deze partijen een boete opleggen van maximaal 10 miljoen euro. Of een boete van maximaal 2 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
Ik dacht toch echt dat de GDPR zei: "Een bedrag van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen."
14-03-2019, 13:41 door Anoniem
Door karma4: Wat nog niet goed zit is, is het one-stop EU privacy directive gebeuren. Dan kan het niet zo zijn dat elke lidstaat zich onafhankelijk gedraagt. Het kan ook niet zo zijn dat voor een enkele overtreding elke staat een boete als ware het voor de hel EU gaat opleggen. Ik verwacht dat de gemaakte fouten daarmee nog gaan opspelen.

One-stop is dat een internationale organisatie slechts met één autoriteit te maken heeft, die dan ook voor het collectief spreekt. Bijvoorbeeld de Ierse autoriteit kan dan een klacht afhandelen namens Nederlanders en Duitsers en de andere autoriteiten bemoeien zich daar niet mee.

Wat hier met name een knelpunt lijkt te zijn is het doel van het directive zelf, namelijk dat er minder verwarrende verschillen zijn tussen de regels onderling. Inderdaad, als de Fransen hoog inzetten op de boetes, en de AP verzint - zoals gewoonlijk - een of andere verzachtende constructie, krijg je weer de vraag waar je met betrekking tot Europeanen aan toe bent.
14-03-2019, 13:44 door karma4
Door Anoniem: .. Als je voor een One Stop methode bent, deze dan gaarne zo snel mogelijk toepassen bij: gemeenten, provincies, ministeries, Europa (op vrijwel alle terreinen) en grote bedrijven etcetera. ….
Lijkt me prima, kan je STUF opdoeken, voor genormaliseerde systemen gaan etcetara,
Klein probleempje wegens de herhalende falende ICT hebben de beslissers besloten het aan de vrije markt over te laten.
Het BRP project als debacle is een fraai voorbeeld. Enige idee waarom de ICT zo faalt, ja juist dronken kapiteins op bepaalde posities in die IV keten.
14-03-2019, 14:41 door Anoniem
Door karma4:Als jij een verkeersovertreding begaat dan wordt daar één boete van gemaakt niet een aantal omdat het nederlands staat, provincie en gemeentelijk toezicht betrof en een ieder voor de zelfde overtreding wat gaat doen.

Om je vergelijking door te trekken.
Geldt dit ook voor verkeersboetes als je er 1 in Nederland, 1 in Franrkijk en 1 in Italie krijgt, Of hanteren ze dan wel verschillende tarieven voor hetzelfde vergrijpen?
14-03-2019, 14:47 door Anoniem
Maar Facebook lacht zich r*t, als ze zich de ene keer volgens media-bedrijf regels kunnen laten scheren en de andere keer zich weer kunnen beroepen op andere regels die gelden voor technische IT dat- bedrijven. Ze winnen het altijd.
14-03-2019, 20:04 door karma4
Door Anoniem: Om je vergelijking door te trekken.
Geldt dit ook voor verkeersboetes als je er 1 in Nederland, 1 in Franrkijk en 1 in Italie krijgt, Of hanteren ze dan wel verschillende tarieven voor hetzelfde vergrijpen?
We hebben het over één en het zelfde vergrijp. Om jouw vergelijk door te trekken we hebben een snelheidsopname van 67 17 te hard dus we geven er ook nog een paar voor 13 9 5 en 1 te hard. En omdat het een AUDI was nog een voor de milieuvervuiling en omdat het 17:30u nog een voor de spitsoverlast. En omdat er zoveel overtredingen begaan zijn er nog een als bonus. Al je overdrijft moet je dat goed doen.

Met VW (audi Duitsland) en Radboud (Nederland) die gingen naar Engeland om de publicatie tegen te houden.
De keus voor Engeland was omdat daar de hoogste kans op dat gewenste verbod was. Het shoppen in gewenste rechters.
15-03-2019, 08:00 door Anoniem
Door karma4:
Door Anoniem: Om je vergelijking door te trekken.
Geldt dit ook voor verkeersboetes als je er 1 in Nederland, 1 in Franrkijk en 1 in Italie krijgt, Of hanteren ze dan wel verschillende tarieven voor hetzelfde vergrijpen?
We hebben het over één en het zelfde vergrijp. Om jouw vergelijk door te trekken we hebben een snelheidsopname van 67 17 te hard dus we geven er ook nog een paar voor 13 9 5 en 1 te hard. En omdat het een AUDI was nog een voor de milieuvervuiling en omdat het 17:30u nog een voor de spitsoverlast. En omdat er zoveel overtredingen begaan zijn er nog een als bonus. Al je overdrijft moet je dat goed doen.

Met VW (audi Duitsland) en Radboud (Nederland) die gingen naar Engeland om de publicatie tegen te houden.
De keus voor Engeland was omdat daar de hoogste kans op dat gewenste verbod was. Het shoppen in gewenste rechters.

Leuk antwoord, maar zegt niets.

Ik heb geen auto of rijbewijs.

Jij komt zelf aanzetten met de stelling: "De wet en de boetes zouden door de hele unie gelijk moeten zijn", en gebruikt verkeersboetes als analogie.

De analogie waar het hier dan om zou moeten gaan is, dat als een automobilist in de EU een verkeersovertreding begaat (bv 160 km rijden waar maar 130 max mag), dit een boete oplevert. Mijn vraag; Is dit in alle EU-landen dezelfde boete of straf (identiek)?
Zoals gezegd: Ik heb geen auto of rijbewijs. Ik ben dus geen ervaringsdeskundige.
Maar de gelijkschakeling van boetes in de EU te vergelijken met gelijkschakeling van boetes tussen gemeente, provincie en staat gaat mank als anlogie. Dit zijn verschillende bestuursniveaus, ipv gelijkwaardige besturen op hetzelfde niveau.

Nu graag nog een helder antwoord.
15-03-2019, 14:23 door Anoniem
Door Anoniem:
De AP kan deze partijen een boete opleggen van maximaal 10 miljoen euro. Of een boete van maximaal 2 procent van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
Ik dacht toch echt dat de GDPR zei: "Een bedrag van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen."

In wetten staan altijd maximale boetes. Rechters en andere controleinstanties kunnen hier altijd van afwijken.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.