Staatscourant van het Koninkrijk der Nederlanden
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Autoriteit Persoonsgegevens | Staatscourant 2019, 14586 | Overig |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Autoriteit Persoonsgegevens | Staatscourant 2019, 14586 | Overig |
De Autoriteit Persoonsgegevens heeft, gelet op de artikelen 4:81 en 5:46, tweede lid, van de Algemene wet bestuursrecht, artikel 83 van de Algemene verordening gegevensbescherming, artikelen 14, derde lid, 17 en 18 van de Uitvoeringswet Algemene verordening gegevensbescherming, artikel Z 11a van de Kieswet, artikel 4.1, eerste lid, van de Wet basisregistratie personen, artikel 35c van de Wet politiegegevens, artikelen 27, 39r, 51, 51d en 51h van de Wet justitiële en strafvorderlijke gegevens en artikel 15.4, vierde en vijfde lid, van de Telecommunicatiewet, besloten om de volgende beleidsregels met betrekking tot het bepalen van de hoogte van bestuurlijke boetes vast te stellen:
In deze beleidsregels wordt verstaan onder:
de Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming;
het bedrag dat de basis vormt voor het bepalen van de hoogte van een op te leggen bestuurlijke boete, vastgesteld binnen de bandbreedte van de aan een overtreding gekoppelde boetecategorie, voordat toepassing is gegeven aan paragraaf 2.6;
degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 4, onder 1, van de Algemene verordening gegevensbescherming;
de omstandigheid dat ten tijde van het begaan van de overtreding nog geen vijf jaren zijn verstreken sedert het opleggen van een bestuurlijke boete door de Autoriteit Persoonsgegevens aan de overtreder ter zake van eenzelfde of een soortgelijke door die overtreder begane overtreding.
2.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn in bijlage 1 ingedeeld in categorie I, categorie II of categorie III.
2.2 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn in bijlage 2 ingedeeld in categorie I, categorie II, categorie III of categorie IV.
2.3 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, dan wel € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, vast binnen de volgende boetebandbreedtes:
Categorie I |
Boetebandbreedte tussen € 0 en € 200.000 |
Basisboete: € 100.000 |
Categorie II |
Boetebandbreedte tussen € 120.000 en € 500.000 |
Basisboete: € 310.000 |
Categorie III |
Boetebandbreedte tussen € 300.000 en € 750.000 |
Basisboete: € 525.000 |
Categorie IV |
Boetebandbreedte tussen € 450.000 en € 1.000.000 |
Basisboete: € 725.000 |
2.4 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.
3.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van € 900.000 kan opleggen, zijn in bijlage 3 ingedeeld in categorie I, categorie II of categorie III.
3.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 900.000 vast binnen de volgende boetebandbreedtes:
Categorie I |
Boetebandbreedte tussen € 0 en € 250.000 |
Basisboete: € 125.000 |
Categorie II |
Boetebandbreedte tussen € 150.000 en € 600.000 |
Basisboete: € 375.000 |
Categorie III |
Boetebandbreedte tussen € 350.000 en € 900.000 |
Basisboete: € 625.000 |
3.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.
4.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2018: € 830.000)1 kan opleggen, zijn in bijlage 4 ingedeeld in categorie I, categorie II of categorie III.
4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 830.000 vast binnen de volgende boetebandbreedtes:
Categorie I |
Boetebandbreedte tussen € 0 en € 200.000 |
Basisboete: € 100.000 |
Categorie II |
Boetebandbreedte tussen € 120.000 en € 500.000 |
Basisboete: € 310.000 |
Categorie III |
Boetebandbreedte tussen € 300.000 en € 830.000 |
Basisboete: € 565.000 |
4.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.
5.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2018: € 83.000)2 kan opleggen, zijn in bijlage 5 ingedeeld in categorie I, categorie II of categorie III.
5.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 83.000 vast binnen de volgende boetebandbreedtes:
Categorie I |
Boetebandbreedte tussen € 0 en € 25.000 |
Basisboete: € 12.500 |
Categorie II |
Boetebandbreedte tussen € 15.000 en € 50.000 |
Basisboete: € 32.500 |
Categorie III |
Boetebandbreedte tussen € 30.000 en € 83.000 |
Basisboete: € 56.500 |
5.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.
De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 daartoe aanleiding geven.
Onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht houdt de Autoriteit Persoonsgegevens rekening met de factoren genoemd onder a tot en met k, voor zover in het concrete geval van toepassing:
a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de Algemene verordening gegevensbescherming;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i) de naleving van de in artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de Algemene verordening gegevensbescherming; en
k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.
8.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen.
8.2 In aanvulling op artikel 7, onder e, van deze beleidsregels en behoudens het bepaalde in artikel 15.4, vijfde lid, van de Telecommunicatiewet hanteert de Autoriteit Persoonsgegevens het uitgangspunt om in geval van recidive de boete met 50% te verhogen, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum.
8.3 Indien ter zake van de overtreding aan een onderneming een bestuurlijke boete van ten hoogste het bedrag van € 10.000.000 kan worden opgelegd en het hoogste bedrag van de toepasselijke boetebandbreedte naar het oordeel van de Autoriteit Persoonsgegevens geen passende bestraffing toelaat, kan zij op grond van artikel 83, vierde lid, van de Algemene verordening gegevensbescherming een hogere boete opleggen tot ten hoogste € 10.000.000 of ten hoogste 2% van de totale wereldwijde jaaromzet in het boekjaar voorafgaande aan het besluit waarbij de bestuurlijke boete wordt opgelegd, indien dit cijfer hoger is. De Autoriteit Persoonsgegevens treedt daarbij buiten de grenzen van de in artikel 2.3 genoemde boetebandbreedtes.
8.4 Indien ter zake van de overtreding aan een onderneming een bestuurlijke boete van ten hoogste het bedrag van € 20.000.000 kan worden opgelegd en het hoogste bedrag van de toepasselijke boetebandbreedte naar het oordeel van de Autoriteit Persoonsgegevens geen passende bestraffing toelaat, kan zij op grond van artikel 83, vijfde en zesde lid, van de Algemene verordening gegevensbescherming een hogere boete opleggen tot ten hoogste € 20.000.000 of ten hoogste 4% van de totale wereldwijde jaaromzet in het boekjaar voorafgaande aan het besluit waarbij de bestuurlijke boete wordt opgelegd, indien dit cijfer hoger is. De Autoriteit Persoonsgegevens treedt daarbij buiten de grenzen van de in artikel 2.3 genoemde boetebandbreedtes.
Bij het vaststellen van de boete houdt de Autoriteit Persoonsgegevens zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert.
In geval van verminderde of onvoldoende draagkracht van de overtreder kan de Autoriteit
Persoonsgegevens de op te leggen boete verdergaand matigen, indien, na toepassing van artikel 8.1 van de beleidsregels, vaststelling van een boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete.
Op overtredingen ten aanzien waarvan de Autoriteit Persoonsgegevens vaststelt dat ze zijn begaan voorafgaand aan het van toepassing worden van de Algemene verordening gegevensbescherming en de inwerkingtreding van de Uitvoeringswet Algemene verordening gegevensbescherming op 25 mei 2018, wordt ten aanzien van de periode voor dat tijdstip rekening gehouden met de Boetebeleidsregels Autoriteit Persoonsgegevens 2016, zoals deze golden voorafgaand aan dat tijdstip.
De Boetebeleidsregels Autoriteit Persoonsgegevens 2016 worden ingetrokken.
Deze beleidsregels treden in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin ze worden geplaatst.
Overtredingen met een wettelijk boetemaximum van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is
Wetsartikel |
Omschrijving |
Categorie |
---|---|---|
Algemene verordening gegevensbescherming |
||
artikel 8 |
voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij |
II |
artikel 11 |
verwerking waarvoor identificatie niet is vereist |
I |
artikel 25 |
gegevensbescherming door ontwerp en door standaardinstellingen |
II |
artikel 26 |
gezamenlijke verwerkingsverantwoordelijken |
I |
artikel 27, behoudens het derde lid |
vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers |
III |
artikel 27, derde lid |
vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers |
II |
artikel 28, behoudens het negende lid |
verwerker |
II |
artikel 28, negende lid |
verwerker |
I |
artikel 29 |
verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker |
I: indien de overtreder een natuurlijke persoon is; II: indien de overtreder een rechtspersoon is, of onderdeel daarvan |
artikel 30, behoudens het derde lid |
register van de verwerkingsactiviteiten |
II |
artikel 30, derde lid |
register van de verwerkingsactiviteiten |
I |
artikel 31 |
medewerking met de toezichthoudende autoriteit |
III |
artikel 32 |
beveiliging van de verwerking |
II |
artikel 33, behoudens het derde lid |
melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit |
III |
artikel 33, derde lid |
melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit |
II |
artikel 34, behoudens het tweede lid |
mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene |
III |
artikel 34, tweede lid |
mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene |
II |
artikel 35, behoudens het negende lid |
gegevensbeschermingseffectbeoordeling |
II |
artikel 35, negende lid |
gegevensbeschermingseffectbeoordeling |
I |
artikel 36 |
voorafgaande raadpleging |
II |
artikel 37, behoudens het zevende lid |
aanwijzing van de functionaris voor gegevensbescherming |
II |
artikel 37, zevende lid |
aanwijzing van de functionaris voor gegevensbescherming |
I |
artikel 38, behoudens het tweede en zesde lid |
positie van de functionaris voor gegevensbescherming |
II |
artikel 38, tweede en zesde lid |
positie van de functionaris voor gegevensbescherming |
I |
artikel 39 |
taken van de functionaris voor gegevensbescherming |
II |
artikel 41, vierde lid |
toezicht op goedgekeurde gedragscodes |
I |
artikel 42, behoudens het derde en zesde lid |
certificering |
II |
artikel 42, derde lid |
certificering |
I |
artikel 42, zesde lid |
certificering |
III |
artikel 43 |
certificeringsorganen |
I |
Uitvoeringswet Algemene verordening gegevensbescherming |
||
artikel 18, eerste lid |
bestuurlijke boete aan overheden |
I, II, of III, afhankelijk van de indeling van de onderliggende bepaling |
Overtredingen met een wettelijk boetemaximum van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is
Wetsartikel |
Omschrijving |
Categorie |
---|---|---|
Algemene verordening gegevensbescherming |
||
artikel 5, eerste lid, behoudens onder a |
beginselen inzake verwerking van persoonsgegevens |
III |
artikel 5, eerste lid, onder a en tweede lid |
beginselen inzake verwerking van persoonsgegevens |
I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling |
artikel 6 |
rechtmatigheid van de verwerking |
III |
artikel 7 |
voorwaarden voor toestemming |
III |
artikel 9 |
verwerking van bijzondere categorieën van persoonsgegevens |
IV |
artikel 12, behoudens het derde tot en met vijfde lid |
transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene |
III |
artikel 12, derde tot en met vijfde lid |
transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene |
II |
artikel 13 |
te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld |
III |
artikel 14 |
te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen |
III |
artikel 15 |
recht van inzage van de betrokkene |
III |
artikel 16 |
recht op rectificatie |
III |
artikel 17 |
recht op gegevenswissing |
III |
artikel 18, behoudens het derde lid |
recht op beperking van de verwerking |
III |
artikel 18, derde lid |
recht op beperking van de verwerking |
II |
artikel 19 |
kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking |
II |
artikel 20 |
recht op overdraagbaarheid van gegevens |
III |
artikel 21, behoudens het vierde lid |
recht van bezwaar |
III |
artikel 21, vierde lid |
recht van bezwaar |
II |
artikel 22 |
geautomatiseerde individuele besluitvorming, waaronder profilering |
IV |
artikel 44 |
algemeen beginsel inzake doorgiften |
III |
artikel 45 |
doorgiften op basis van adequaatheidsbesluiten |
III |
artikel 46 |
doorgiften op basis van passende waarborgen |
III |
artikel 47 |
bindende bedrijfsvoorschriften |
III |
artikel 48 |
niet bij Unierecht toegestane doorgiften of verstrekkingen |
III |
artikel 49 |
afwijkingen voor specifieke situaties |
III |
alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht, bijvoorbeeld: |
I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling |
|
– artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming |
verwerking nationaal identificatienummer |
IV |
– artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming |
verwerking nationaal identificatienummer |
III |
… artikel 89 van de Algemene verordening gegevensbescherming jo. artikel 45 van de Uitvoeringswet Algemene verordening gegevensbescherming |
waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden |
III |
niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, tweede lid, of niet-verlening van toegang in strijd met artikel 58, eerste lid |
IV |
|
niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, tweede lid |
IV |
|
Uitvoeringswet Algemene verordening gegevensbescherming |
||
artikel 17, eerste lid |
boete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard |
IV |
artikel 18, eerste lid |
bestuurlijke boete aan overheden |
II, III of IV, afhankelijk van de indeling van de onderliggende bepaling |
Overtredingen met een wettelijk boetemaximum van € 900.000
Wetsartikel |
Omschrijving |
Categorie |
---|---|---|
Telecommunicatiewet |
||
artikel 11.3a, behoudens het derde en zevende lid |
meldplicht datalekken aanbieder openbare elektronische communicatiedienst |
II |
artikel 11.3a, derde en zevende lid |
meldplicht datalekken aanbieder openbare elektronische communicatiedienst |
I |
artikel 11.5b |
verwerking persoonsgegevens door verleners van vertrouwensdiensten |
II |
regels over te verstrekken gegevens bij de kennisgeving van een inbreuk op de veiligheid of het verlies van integriteit |
I |
|
Verordening (EU) nr. 910/2014 (eIDAS-verordening) |
||
artikel 19, tweede lid |
meldplicht in de eIDAS-verordening |
II |
Algemene wet bestuursrecht |
||
artikel 5:20, eerste lid |
medewerkingsplicht (nalevingstoezicht Telecommunicatiewet) |
III |
Overtredingen met een wettelijk boetemaximum van € 830.000
Wetsartikel |
Omschrijving |
Categorie |
---|---|---|
Wet politiegegevens |
||
artikel 5 |
bijzondere categorieën van politiegegevens |
III |
artikel 7a |
geautomatiseerde individuele besluitvorming |
III |
artikel 24a, behoudens het tweede en derde lid |
informatie aan de betrokkene |
II |
artikel 24a, tweede en derde lid |
informatie aan de betrokkene |
I |
artikel 24b |
verstrekking van informatie aan de betrokkene |
II |
artikel 25, eerste lid |
recht op inzage |
II |
artikel 25, tweede lid |
recht op inzage |
I |
artikel 28, eerste en tweede lid |
recht op rectificatie en vernietiging van politiegegevens |
II |
artikel 28, derde, vierde en vijfde lid |
recht op rectificatie en vernietiging van politiegegevens |
I |
Wet justitiële en strafvorderlijke gegevens |
||
artikel 7e |
geautomatiseerde verwerking, met inbegrip van profilering |
III |
artikel 17a |
informatie voor de betrokkene |
II |
artikel 17b, behoudens het tweede lid |
verstrekking van informatie aan de betrokkene |
II |
artikel 17b, tweede lid |
verstrekking van informatie aan de betrokkene |
I |
artikel 18 |
recht op inzage |
II |
artikel 22, behoudens het vierde en vijfde lid |
recht op rectificatie, vernietiging of afscherming |
II |
artikel 22, vierde en vijfde lid |
recht op rectificatie, vernietiging of afscherming |
I |
artikel 24 |
kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens |
I |
artikel 39c, eerste lid, jo. artikel 7e |
geautomatiseerde verwerking, met inbegrip van profilering |
III |
artikel 40, derde lid, jo. artikel 7e |
geautomatiseerde verwerking, met inbegrip van profilering NB De wettekst spreekt over “40a, derde lid” |
III |
artikel 42b, behoudens voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid |
informatie aan de betrokkene |
II |
artikel 42b, voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid |
informatie aan de betrokkene |
I |
artikel 43 |
recht op inzage |
II |
artikel 46, behoudens het vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid |
recht op rectificatie, vernietiging of afscherming |
II |
artikel 46, vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid |
recht op rectificatie, vernietiging of afscherming |
I |
artikel 48 |
kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens |
I |
artikel 51b, eerste lid, jo. artikel 7e |
geautomatiseerde verwerking, met inbegrip van profilering |
III |
artikel 51b, eerste lid, jo. artikel 17a |
informatie voor de betrokkene |
II |
artikel 51b, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel |
verstrekking van informatie aan de betrokkene |
II |
artikel 51b, eerste lid, jo. artikel 17b, tweede lid |
verstrekking van informatie aan de betrokkene |
I |
artikel 51b, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel |
recht op rectificatie, vernietiging of afscherming |
II |
artikel 51b, eerste lid, jo. artikel 22, vierde en vijfde lid |
recht op rectificatie, vernietiging of afscherming |
I |
artikel 51b, eerste lid, jo. artikel 24 |
kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens |
I |
artikel 51b, tweede lid, jo. artikel 18 |
recht op inzage |
II |
artikel 51f, eerste lid, jo. artikel 7e |
geautomatiseerde verwerking, met inbegrip van profilering |
III |
artikel 51f, eerste lid, jo. artikel 17a |
informatie voor de betrokkene |
II |
artikel 51f, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel |
verstrekking van informatie aan de betrokkene |
II |
artikel 51f, eerste lid, jo. artikel 17b, tweede lid |
verstrekking van informatie aan de betrokkene |
I |
artikel 51f, eerste lid, jo. artikel 18 |
recht op inzage |
II |
artikel 51f, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel |
recht op rectificatie, vernietiging of afscherming |
II |
artikel 51f, eerste lid, jo. artikel 22, vierde en vijfde lid |
recht op rectificatie, vernietiging of afscherming |
I |
artikel 51f, eerste lid, jo. artikel 24 |
kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens |
I |
Overtredingen met een wettelijk boetemaximum van € 83.000
Wetsartikel |
Omschrijving |
Categorie |
---|---|---|
Wet politiegegevens |
||
artikel 4a |
gegevensbescherming door beveiliging en ontwerp |
III |
artikel 4b |
gegevensbescherming door standaardinstellingen |
III |
artikel 4c |
gegevensbeschermingseffectbeoordeling |
III |
artikel 6c |
verwerker |
III |
artikel 31d |
register |
III |
artikel 32 |
documentatie |
II |
artikel 33a |
melding datalekken |
III |
artikel 33b |
voorafgaand raadplegen Autoriteit persoonsgegevens |
III |
artikel 36 |
functionaris voor gegevensbescherming |
III |
Wet justitiële en strafvorderlijke gegevens |
||
artikel 7 |
verplichtingen van de verwerkingsverantwoordelijke en de verwerker en beveiliging van gegevens |
III |
artikel 7a |
gegevensbescherming door ontwerp en door standaardinstellingen |
III |
artikel 7b |
gegevensbeschermingseffectbeoordeling |
III |
artikel 7d |
verwerker |
III |
artikel 19, eerste lid |
vastlegging en bewaarplicht verstrekking justitiële gegevens |
II |
artikel 26c |
register |
III |
artikel 26f |
functionaris voor gegevensbescherming |
III |
artikel 26g |
melden inbreuk op de beveiliging |
III |
artikel 26h |
voorafgaand raadplegen Autoriteit Persoonsgegevens |
III |
artikel 39c, eerste lid, jo. artikel 7 |
verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens |
III |
artikel 39c, eerste lid, jo. artikel 7a |
gegevensbescherming door ontwerp en door standaardinstellingen |
III |
artikel 39c, eerste lid, jo. artikel 7b |
gegevensbeschermingseffectbeoordeling |
III |
artikel 39c, eerste lid, jo. artikel 7d |
verwerker |
III |
artikel 39r, eerste lid, jo. artikel 26c |
register |
III |
artikel 39r, eerste lid, jo. artikel 26g |
melden inbreuk op de beveiliging |
III |
artikel 39r, eerste lid, jo. artikel 26h |
voorafgaand raadplegen Autoriteit Persoonsgegevens |
III |
artikelen 40, derde lid, jo. artikel 7 |
verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens NB De wettekst spreekt over “40a, derde lid” |
III |
artikelen 40, derde lid, jo. artikel 7a |
gegevensbescherming door ontwerp en door standaardinstellingen NB De wettekst spreekt over “40a, derde lid” |
III |
artikelen 40, derde lid, jo. artikel 7b |
gegevensbeschermingseffectbeoordeling NB De wettekst spreekt over “40a, derde lid” |
III |
artikelen 40, derde lid, jo. artikel 7d |
verwerker NB De wettekst spreekt over “40a, derde lid” |
III |
artikel 51, eerste lid, jo. artikel 26c |
register |
III |
artikel 51, eerste lid, jo. artikel 26f |
functionaris voor gegevensbescherming |
III |
artikel 51, eerste lid, jo. artikel 26g |
melden inbreuk op de beveiliging |
III |
artikel 51, eerste lid, jo. artikel 26h |
voorafgaand raadplegen Autoriteit Persoonsgegevens |
III |
artikel 51b, eerste lid, jo. artikel 7 |
verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens |
III |
artikel 51b, eerste lid, jo. artikel 7a |
gegevensbescherming door ontwerp en door standaardinstellingen |
III |
artikel 51b, eerste lid, jo. artikel 7b |
gegevensbeschermingseffectbeoordeling |
III |
artikel 51b, eerste lid, jo. artikel 7d |
verwerker |
III |
artikel 51d, eerste lid, jo. artikel 26c |
register |
III |
artikel 51d, eerste lid, jo. artikel 26f |
functionaris voor gegevensbescherming |
III |
artikel 51d, eerste lid, jo. artikel 26g |
melden inbreuk op de beveiliging |
III |
artikel 51d, eerste lid, jo. artikel 26h |
voorafgaand raadplegen Autoriteit Persoonsgegevens |
III |
artikel 51f, eerste lid, jo. artikel 7 |
verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens |
III |
artikel 51f, eerste lid, jo. artikel 7a |
gegevensbescherming door ontwerp en door standaardinstellingen |
III |
artikel 51f, eerste lid, jo. artikel 7b |
gegevensbeschermingseffectbeoordeling |
III |
artikel 51f, eerste lid, jo. artikel 7d |
verwerker |
III |
artikel 51h, eerste lid, jo. artikel 26c |
register NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51). |
III |
artikel 51h, eerste lid, jo. artikel 26g |
functionaris voor gegevensbescherming NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51). |
III |
artikel 51h, eerste lid, jo. artikel 26h |
melden inbreuk op de beveiliging NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51). |
III |
De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder, belast met het wettelijk toezicht op de verwerking van persoonsgegevens. De taken en bevoegdheden van de Autoriteit Persoonsgegevens vloeien voor het overgrote deel rechtstreeks voort uit de Algemene verordening gegevensbescherming (hierna: AVG)3 en zijn verder uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: Uitvoeringswet AVG).
Op grond van de per 25 mei 2018 ingetrokken Wet bescherming persoonsgegevens (hierna: Wbp) had de Autoriteit Persoonsgegevens de bevoegdheid om bestuurlijke boetes op te leggen in geval van overtredingen ingevolge die wet. Met oog op de toepassing van die bevoegdheid heeft de Autoriteit Persoonsgegevens beleidsregels vastgesteld, de “Boetebeleidsregels Autoriteit Persoonsgegevens 2016”4
Met de laatste uitbreiding van de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de Wbp is toegegroeid naar het handhavingssysteem van de per 25 mei 2018 van toepassing geworden AVG, die de Wbp als algemene wet heeft vervangen. De AVG voorziet in een uitgebreide bevoegdheid voor de nationale toezichthouders om boetes op te leggen bij overtreding van deze verordening. Op grond van artikel 14, derde lid, van de Uitvoeringswet AVG is deze bevoegdheid toebedeeld aan de Autoriteit Persoonsgegevens. Op grond van artikel 18 van de Uitvoeringswet AVG kan de Autoriteit Persoonsgegevens ook boetes opleggen aan een overheidsinstantie of een overheidsorgaan wegens overtredingen van de AVG.
Op 3 oktober 2017 heeft de toenmalige Groep gegevensbescherming Artikel 29 “Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679” goedgekeurd. Op 25 mei 2018 heeft het Europees Comité voor gegevensbescherming (European Data Protection Board; hierna: EDPB) deze richtsnoeren bekrachtigd. Hierin zijn regels en uitgangspunten opgenomen met het oog op een consistente aanwending van de boetebevoegdheid onder de AVG.
Aangezien de EDPB (nog) geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld, ziet de Autoriteit Persoonsgegevens aanleiding om beleid vast te stellen inzake de invulling van de bevoegdheid tot het opleggen van een boete onder de AVG en Uitvoeringswet AVG. Meer specifiek heeft dit beleid betrekking op het bepalen van de hoogte van een boete, omwille van de rechtsgelijkheid en rechtszekerheid. Binnen de EDPB bestaat het streven om te komen tot gezamenlijke uitgangspunten aangaande de berekening van boetes wegens overtredingen van de AVG. Het door de Autoriteit Persoonsgegevens vast te stellen beleid op dit punt is derhalve in beginsel tijdelijk van aard. Gelet hierop heeft de Autoriteit Persoonsgegevens ervoor gekozen om bij de aanpassing van haar beleid aan de overtredingen van de AVG de hierin gehanteerde systematiek, namelijk een categorie-indeling van overtredingen en boetebandbreedtes, te handhaven.
Naast de boetebevoegdheid ingevolge de AVG en Uitvoeringswet AVG kan de Autoriteit Persoonsgegevens op grond van artikel 15.4, vierde lid, van de Telecommunicatiewet (hierna: Tw) een boete opleggen ter zake van overtreding van de in artikel 15.1, tweede lid, van deze wet bedoelde regels (de meldplicht voor datalekken in artikel 11.3a van de Tw), het bepaalde bij en krachtens artikel 18.15a van de Tw en artikel 19, tweede lid, van de eIDAS-verordening, en artikel 5:20 van de Algemene wet bestuursrecht (hierna: Awb) bij nalevingstoezicht op de Tw.
Tot slot kan de Autoriteit Persoonsgegevens op grond van artikel 35c, eerste lid, van de Wet politiegegevens (hierna: Wpg) en artikel 27, vierde lid, artikel 39r, derde lid, artikel 51, derde lid, 51d, derde lid en artikel 51h, derde lid, van de Wet justitiële en strafvorderlijke gegevens (hierna: Wjsg) een boete opleggen ter zake van overtredingen van een aantal bepalingen uit die wetten.
De beboetbare bepalingen uit de hiervoor genoemde wetten zijn, gegroepeerd per wettelijk boetemaximum, opgesomd en omschreven in bijlagen 1 tot en met 5 bij deze beleidsregels.
Hierbij zij aangetekend dat de Wijzigingswet van de Wpg en de Wjsg ter implementatie van de Europese richtlijn gegevensbescherming opsporing en vervolging enkele onjuiste verwijzingen bevat. Dit betreft verwijzingen naar artikelen in de Wpg en de Wjsg, waarvan de niet-naleving door de verwerkingsverantwoordelijke aanleiding kan geven tot een bestuurlijke boete. Van de zijde van de regering is dit onderkend in de memorie van antwoord aan de Eerste Kamer.5 Hierin is toegezegd dat de onjuistheden zo snel mogelijk middels een afzonderlijk wetsvoorstel zullen worden gecorrigeerd.
Bij de vaststelling van (de hoogte van) de boete moet de Autoriteit Persoonsgegevens onder andere het wettelijk boetemaximum, de toepasselijke bepalingen van (hoofdstuk 5 van) de Awb en de algemene beginselen van behoorlijk bestuur in acht nemen.
Met de Boetebeleidsregels beoogt de Autoriteit Persoonsgegevens enerzijds inzicht te geven in de factoren die de hoogte van de boete bepalen. Anderzijds bieden deze beleidsregels de Autoriteit Persoonsgegevens de nodige flexibiliteit om in individuele gevallen maatwerk te leveren.
Artikel 4:84 van de Awb biedt de Autoriteit Persoonsgegevens de mogelijkheid van deze beleidsregels met betrekking tot het bepalen van de hoogte van boetes af te wijken vanwege bijzondere gevallen die niet in de beleidsregels zijn verdisconteerd (inherente afwijkingsbevoegdheid).
Voor een algemene toelichting op de systematiek van categorie-indeling en boetebandbreedte, verwijst de Autoriteit Persoonsgegevens in de eerste plaats naar de toelichting op de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 (Stcrt. 2016, 2043).
Bij het bepalen van de categorie-indeling heeft de Autoriteit Persoonsgegevens ervoor gekozen de overtredingen steeds in te delen in drie categorieën, waaraan in zwaarte oplopende bestuurlijke geldboetes zijn verbonden. Uitzondering hierop vormen de bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000 000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. De overtredingen waarop dit wettelijk boetemaximum van toepassing is, zijn in bijlage 2 ingedeeld in vier categorieën.
Bij de indeling van de bepalingen in de boetecategorieën heeft de Autoriteit Persoonsgegevens de zwaarte van de geschonden norm gewogen en beoordeeld. Het gaat daarbij om de waarde van de norm en zijn plaats in de hiërarchie van normen in het stelsel van wet- en regelgeving binnen het gegevensbeschermingsrecht, mede gelet op de daarmee te dienen doelen en de belangen die deze bepalingen beogen te beschermen.
Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte die de Autoriteit Persoonsgegevens passend en geboden voorkomt. Dit betekent dat de hoogte van de boetebandbreedtes evenredig moet zijn en voldoende afschrikwekkend voor zowel de overtreder (speciale preventie) als andere potentiële overtreders (generale preventie). Binnen deze bandbreedte stelt de Autoriteit Persoonsgegevens een basisboete vast. Dat is het ‘startbedrag’ om mee verder te rekenen. De Autoriteit Persoonsgegevens hanteert een basisboete ter grootte van 50% van de bandbreedte van de aan de overtreding gekoppelde boetecategorie als neutraal uitgangspunt.
Bij het opleggen van de boete houdt de Autoriteit Persoonsgegevens rekening met de factoren die zijn genoemd in artikel 7. Deze factoren zijn ontleend aan artikel 83, tweede lid, van de AVG. Naast de factoren vermeld onder a tot en met j van artikel 7, biedt het gestelde onder k ruimte om rekening te houden met andere, op de omstandigheden van de zaak toepasselijke factoren. Deze kunnen onder meer, doch niet uitsluitend, financiële winsten betreffen. De hoogte van de op te leggen boete wordt vervolgens afgestemd door aan de hand van de toepasselijke factoren te ‘plussen en minnen’ binnen de bandbreedte van de aan die overtreding gekoppelde boetecategorie. Het gaat daarbij kort gezegd om de ernst van de concrete overtreding en de mate waarin de overtreding aan de overtreder kan worden verweten. De Autoriteit Persoonsgegevens kan daarbij, zo nodig en afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 daartoe aanleiding geven, ‘door- of terugschieten’ in de boetebandbreedte van de naast hogere, respectievelijk de naast lagere categorie (artikel 8, eerste lid). Het treden buiten de grenzen van de boetebandbreedte van de toepasselijke boetecategorie is aan de orde, indien de hoogte van de boete, gezien de omstandigheden van het concrete geval, anders niet voldoende preventieve werking heeft dan wel onevenredig hoog is. Ook een verhoging van de op te leggen boete wegens recidive kan aanleiding geven om in voorkomende gevallen buiten de grenzen van de toegepaste boetebandbreedte treden (artikel 8, tweede lid).
De boetebandbreedtes voor categorieën van overtredingen ingevolge de Tw, Wpg en Wjsg sluiten in de hoogste categorie steeds aan op de wettelijke boetemaxima. Bij de boetebandbreedtes voor categorieën van overtredingen ingevolge de AVG is ervoor gekozen de overtredingen in te delen in vier categorieën, waarbij de boetebandbreedte behorende bij de hoogste categorie een maximum kent van € 1.000.000. Deze indeling acht de Autoriteit Persoonsgegevens passend en geboden uit oogpunt van preventie. In het bijzonder heeft de Autoriteit Persoonsgegevens er oog voor gehad dat het basisbedrag van de boete in categorie IV (€ 725.000) een sanctie betreft die – los van de omstandigheden van het concrete geval – passend is, gezien de ernst van de geschonden norm. Indien de overtreding is begaan door een onderneming en het hoogste bedrag van de toepasselijke boetebandbreedte in het concrete geval naar het oordeel van de Autoriteit Persoonsgegevens geen passende bestraffing toelaat – waarbij kan worden gedacht aan het gewicht van de overtreder uitgedrukt in de jaaromzet – dan voorziet artikel 8, derde en vierde lid, erin dat de Autoriteit Persoonsgegevens buiten de grenzen van de in artikel 2, derde lid, genoemde bandbreedtes kan treden en een boete kan opleggen ter grootte van de wettelijke boetemaxima van artikel 83, vierde, vijfde en zesde lid, van de AVG.
Toepassing geven aan het evenredigheidsbeginsel brengt mee dat de Autoriteit Persoonsgegevens bij het vaststellen van de boete zo nodig rekening houdt met de financiële omstandigheden waarin de overtreder verkeert. Ingeval de Autoriteit Persoonsgegevens heeft vastgesteld dat sprake is van verminderde of onvoldoende draagkracht van de overtreder, kan zij met toepassing van artikel 9 de op te leggen boete verdergaand matigen. In dit verband wijst de Autoriteit Persoonsgegevens ook op artikel 2a van de Uitvoeringswet AVG, dat verlangt dat zij de behoeften van kleine, middelgrote en micro‑ondernemingen in acht neemt.
Zie artikel I van het Besluit van 14 november 2017, tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2017, nr. 433).
Zie artikel I van het Besluit van 14 november 2017, tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2017, nr. 433).
Beleidsregels van de Autoriteit Persoonsgegevens van 15 december 2015 (Stcrt. 2016, 2043), zoals laatstelijk gewijzigd op 6 juli 2016 (Stcrt. 2016, 34960), met betrekking tot het opleggen van bestuurlijke boetes.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2019-14586.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.