4 min read

Nieuw Europees boetebeleid voor privacy inbreuken door bedrijven in de maak

16 June 2022

Op 12 mei 2022 heeft de European Data Protection Board (EDPB), het samenwerkingsverband van de Europese privacytoezichthouders, een nieuw beleid gepubliceerd voor het berekenen van boetes na overtreding van de Algemene verordening gegevensbescherming (AVG): de fining guidelines. Wanneer deze nieuwe boetebeleidregels, die nu nog een concept zijn, worden aangenomen, zal dit een behoorlijke impact hebben op de manier waarop de Autoriteit Persoonsgegevens (AP) voortaan boetes aan bedrijven kan gaan uitdelen. Belanghebbenden kunnen tot 27 juni 2022 reageren op het concept (zie hier). Daarna komt de EDPB met de definitieve versie.

Wat gaat er veranderen?

De boetebeleidsregels van de EDPB gaan alleen gelden voor ondernemingen, omdat niet alle lidstaten de mogelijkheid kennen om overheidsinstanties te beboeten. Volgens de fining guidelines (p. 34) moet het begrip “onderneming” ruim worden opgevat: “every entity engaged in an economic activity, regardless of the legal status of the entity and the way in which it is financed.” In lijn met vaste rechtspraak van de Europese rechter vallen hieronder ook dochter- en moedermaatschappijen wanneer beslissende invloed wordt uitgeoefend, en ook staatsondernemingen kunnen hieronder vallen. Deze brede definitie heeft de volgende vergaande gevolgen: 

  • De relatief eenvoudige toerekening van een boete aan een moedermaatschappij. Dit onderstreept het belang voor moedermaatschappijen om goed te onderzoeken welke vennootschappen binnen de onderneming vallen en te controleren of die groepsmaatschappijen voldoen aan de AVG.
  • Grotere omvang van de boete die worden vastgesteld op basis van de omzet van de gehele onderneming. 

De EDPB boeteregels verschillen op drie belangrijke punten van die van de AP:

  1. De omzet voor ondernemingen speelt in de nieuwe beleidsregels een centrale rol bij het bepalen van het startbedrag van de boete. Wanneer de jaarlijkse omzet van een onderneming hoger is, mag de toezichthoudende autoriteit ook een hoger startbedrag hanteren. In de beleidsregels van de AP komt de factor omzet pas op het eind in beeld, wanneer het startbedrag al is bepaald en nog moet worden bekeken of bepaalde factoren moeten leiden tot een verhoging of matiging van het boetebedrag.
  2.  De nieuwe beleidsregels onderscheiden drie niveaus van ernst van de inbreuk: laag, medium en hoog. Afhankelijk van deze kwalificatie neemt een toezichthoudende autoriteit een bepaald percentage van het boetemaximum als startbedrag. De AP kijkt ook wel naar de ernst van de schending van de AVG, maar daaraan zijn geen categorieën verbonden met vooraf bepaalde boetepercentages op basis van de omzet van een onderneming.
  3. In de fining guidelines van de EDPB worden de boetebandbreedtes gehanteerd als boetestartbedrag. Bij de boeteregels van de AP geldt daarentegen de boetebandbreedte vaak als een maximum waarbij de basisboete in het midden van de bandbreedte ligt, tenzij er specifieke omstandigheden zijn om daarvan af te wijken. 

De EDPB boetebeleidsregels moeten ervoor gaan zorgen dat de hoogte van de boetes wordt geharmoniseerd binnen de EU, hetgeen duidelijkere verwachtingen zal moeten scheppen voor ondernemingen en ook ‘forumshopping’ zou moeten voorkomen. Daarnaast kunnen nationale toezichthouders elkaar nu beter controleren. 

Wat betekenen de beleidsregels in de praktijk?

Met de nieuwe beleidsregels zal er vermoedelijk sprake zijn van een verandering in de hoogte van de boetes die de AP kan gaan uitdelen. In de praktijk houdt de AP in de tot nu toe gepubliceerde boetebesluiten vast aan de vaste boetebandbreedtes van haar boetebeleidsregels. Het effect hiervan is dat met name grotere ondernemingen hier voordeliger van afkomen. Onder de nieuwe boetebeleidsregels zou, doordat de omzet van een onderneming wel meteen wordt meegenomen, het basisboetebedrag voor de bedrijven waar de AP tot nu toe een boete aan heeft opgelegd, vermoedelijk op enkele miljoenen zijn uitgekomen, in plaats van enkele tonnen. 

Voor bedrijven betekenen de boetebeleidsregels in hun eigen dagelijkse praktijk waarschijnlijk op zichzelf weinig verandering, maar het is goed om wel rekening ermee te houden dat de AP met de nieuwe beleidsregels in de hand forser kan gaan beboeten. De AP zal daarbij ook in de pas moeten gaan lopen met de andere EU toezichthouders, zodat de boetes overal meer volgens dezelfde berekeningsmethode worden berekend. Relevant voor de praktijk is wel hoe op een inbreuk op de AVG door een onderneming wordt gereageerd. Verschillende omstandigheden kunnen een boeteverlagend effect hebben volgens de concept boetebeleidsregels, zoals het tijdig nemen van effectieve maatregelen om de schade voor betrokkenen te verminderen, vooral indien deze maatregelen worden getroffen voordat de privacytoezichthouder een onderzoek start. Het is daarom van belang dat bij een mogelijke inbreuk niet alleen naar het verbeteren van de naleving van de AVG te kijken, maar ook om meteen te onderzoeken of er andere (schadebeperkende) maatregelen kunnen worden getroffen. 

Voor vragen hierover kunt u terecht bij het Van Doorne Privacy Team, contactpersonen: Elisabeth Thole (thole@vandoorne.com) en Özer Zivali (zivali@vandoorne.com).