De European Data Protection Board (“EDPB”), samengesteld uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU, heeft nieuwe richtlijnen opgesteld met betrekking tot de berekening van boetes in geval van niet-naleving van de Algemene Verordening Gegevensbescherming (“AVG”). Deze richtlijnen vormen een aanvulling op de eerder vastgestelde richtlijnen voor de toepassing en vaststelling van administratieve geldboeten uit 2016, die zich toespitsen op de omstandigheden waarin een boete moet worden opgelegd.
De voorgestelde richtlijnen zijn nog niet definitief. Op dit moment staan de voorgestelde richtlijnen nog open voor opmerkingen van partijen die belang hebben bij de vaststelling van de richtlijnen. Tot 27 juni 2022 kunnen deze partijen suggesties doen om de richtlijnen te wijzigen voordat de EDPB met definitieve richtlijnen komt.
Doel
Het doel van deze nieuwe voorgestelde richtlijnen is ervoor te zorgen dat de nationale gegevensbeschermingsautoriteiten de boetes op een meer geharmoniseerde manier berekenen. Momenteel wordt de berekening van het bedrag van de boete overgelaten aan het oordeel van de nationale toezichthoudende autoriteit, met inachtneming van de in de AVG vastgestelde regels. De berekening van het bedrag van de boete is gebaseerd op een specifieke evaluatie van elk geval, binnen de parameters waarin de AVG voorziet, zoals de ernst van de inbreuk, de hoedanigheid van de inbreuk plegende partij en een reeks maximumbedragen voor de specifieke categorieën van inbreuken.
Methode in vijf stappen
Rekening houdend met het voorgaande stelt de EDPB een methodologie voor, bestaande uit vijf stappen, voor de berekening van administratieve boetes voor inbreuken op de AVG. Deze methodologie bestaat uit vijf stappen die moeten worden gevolgd om tot een berekening van een boete te komen:
- de verwerkingen in de zaak moeten worden geïdentificeerd en de toepassing van artikel 83, lid 3, AVG moet worden beoordeeld, dat wil zeggen de (uitgebreide) lijst van omstandigheden waarmee rekening moet worden gehouden bij het al dan niet opleggen van een boete en het bepalen van de hoogte van de boete.
- de verwerkingsactiviteiten in de zaak moeten worden geïdentificeerd en de toepassing van artikel 83, lid 3, AVG moet worden geëvalueerd. Dit gebeurt door de classificatie van de inbreuk in de AVG te evalueren, de ernst van de inbreuk in het licht van de omstandigheden van de zaak te beoordelen, en de omzet van de onderneming te bepalen.
- de evaluatie van verzwarende en verzachtende omstandigheden die verband houden met voorgaand of huidig gedrag van de voor de verwerking verantwoordelijke/verwerker en de dienovereenkomstige verhoging of verlaging van de boete.
- de vaststelling van de relevante wettelijke maxima voor de verschillende inbreuken. Verhogingen die in eerdere of volgende stappen worden toegepast, mogen dit maximumbedrag niet overschrijden.
- analyse of het berekende eindbedrag voldoet aan de eisen van doeltreffendheid, afschrikking en evenredigheid, die een belangrijk onderdeel vormen van artikel 83 AVG, het artikel dat de grondslag vormt voor het opleggen van boetes. De boete kan nog volgens deze beginselen worden aangepast, maar zonder het desbetreffende wettelijke maximum te overschrijden.
Momenteel hanteert elke nationale gegevensbeschermingsautoriteit haar eigen regels bij het opleggen van geldboeten. De harmonisatie van de berekening van deze boetes door de invoering van een methode die door de gegevensbeschermingsautoriteiten moet worden gebruikt, moet leiden tot meer rechtszekerheid voor de ondernemingen en personen die met een boete kunnen worden geconfronteerd. Het idee is dat de boetes in alle landen van de Europese Unie op dezelfde wijze zullen worden berekend. Het moet ook de controle door een andere gegevensbeschermingsautoriteit eenvoudiger maken wanneer deze bij een pan-Europees onderzoek betrokken is.
Verschil met de huidige richtlijnen
De voorgestelde richtlijnen verschillen op drie punten van de huidige richtlijnen van de Autoriteit Persoonsgegevens (AP):
- De omvang van een onderneming gaat een dominantere rol spelen bij het bepalen van de boete. Momenteel houdt de AP pas aan het eind van het vaststellen van de boete rekening met de omvang van een onderneming. In de voorgestelde richtlijnen zal dit aan het begin van het proces gebeuren. Ondernemingen moeten kunnen zien welk bedrag als uitgangspunt zal worden genomen voor de berekening van de boete die zal worden gehanteerd in verband met een inbreuk door een onderneming van vergelijkbare omvang.
- De voorgestelde richtlijnen introduceren drie categorieën voor de ernst van de inbreuk: laag, middelhoog en hoog. Momenteel kijkt de AP bij het bepalen van de boete naar de ernst van de inbreuk, maar zonder de toepassing van een categorie. Volgens de voorgestelde richtlijnen zullen voor elk van de genoemde categorieën andere uitgangsbedragen gelden.
- In de voorgestelde richtlijnen zal een bandbreedte worden gehanteerd als uitgangsbedrag voor het bepalen van de boete, terwijl momenteel de bandbreedte wordt gebruikt om de boete binnen de bandbreedte vast te stellen. De bandbreedte is gerelateerd aan de ernst van een inbreuk. In geval van een geringe ernst bepaalt de toezichthoudende autoriteit het uitgangsbedrag voor de verdere berekening op een punt tussen 0 en 10% van het toepasselijke wettelijke maximum. In het geval van een gemiddelde ernstgraad zal dit tussen 10 en 20% liggen en tussen 20 en 100% in het geval van een hoge ernstgraad. Na de vaststelling van de bandbreedte moet de AP nagaan of er redenen zijn om de boete te verhogen of te verlagen.
Evenals dat nu het geval is, kunnen de boetes oplopen tot 20 miljoen euro of vier (4) procent van de wereldwijde omzet van een onderneming.
De nieuwe richtlijnen gelden alleen voor bedrijven. De reden daarvoor is dat niet alle gegevensbeschermingsautoriteiten in Europa boetes mogen opleggen aan overheidsinstellingen. De gegevensbeschermingsautoriteit kan dat echter wel. De vraag is dus of de AP de nieuwe richtlijnen ook zal toepassen op overheidsinstellingen.
De voorgestelde richtlijnen zijn bedoeld om bedrijven meer zekerheid te bieden met betrekking tot het opleggen van boetes door de nationale toezichthoudende autoriteiten. Voor ondernemingen die in meer landen binnen de EU actief zijn, zou dit zeker het geval kunnen zijn. Terwijl de huidige richtlijnen voor boetes door de nationale autoriteiten worden vastgesteld, wordt dit nu geharmoniseerd door richtlijnen die in de hele Europese Unie gelden. De richtlijnen bieden de nationale autoriteiten echter nog steeds ruimte om van elkaar af te wijken. De lijst van omstandigheden waarmee rekening moet worden gehouden om al dan niet een boete op te leggen, is nog steeds talrijk. Ook zijn de bandbreedtes, vooral voor een hoge mate van ernst, zeer ruim, evenals de mogelijkheden om de boetes te verhogen of te verlagen. Het valt dus nog af te wachten of de voorgestelde richtlijnen tot meer rechtszekerheid leiden voor ondernemingen die met een boete worden geconfronteerd.
