Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming AVG van kracht. Met de invoering van de AVG is de mogelijkheid geschapen om boetes op te leggen tot EUR 20.000.000,– of zelfs meer (gerelateerd aan wereld omzet). Boetes die in geen enkele verhouding staan tot boetes die worden opgelegd in het strafrecht, maar zullen onderneming direct geconfronteerd met hoge boetes? Als advocaat bespreek ik de ontwikkingelingen. Met regelmaat sta ik ondernemingen bij die zich verweren tegen boetes van de overheid, die in mijn optiek niet altijd meer in verhouding staan tot de schending van de betreffende regelgeving.
Wat is de AVG en wat verandert er met de boete?
De AVG is de opvolger van de Wet bescherming persoonsgegevens en leidt tot veel verder gaande verplichtingen. Het doel van de AVG is het beschermen van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie. Om effectief toezicht te houden, is besloten tot bevoegdheid van oplegging van hoge boetes. De Autoriteit Persoonsgegevens krijgt de bevoegdheid boetes op te leggen.
Welke boetes kunnen onder de AVG worden opgelegd?
De AVG kent een onderscheid in verschillende boetes. Zo is de mogelijkheid van een boete van maximaal EUR 10.000.000,– of 2% van de wereldwijde omzet voor verplichtingen die procedureel van aard zijn.
Als het gaat om schending van verplichtingen die inhoudelijk van aard zijn en dus de privacy van betrokkenen direct raken, is een hogere boete mogelijk (maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet).
Diezelfde boete kan worden opgelegd als een bevel van de toezichthouder niet wordt opgevolgd. Een bevel is vergelijkbaar met een aanwijzing.
De bevoegdheid tot boeteoplegging is sterk uitgebreid. In vergelijking, onder de Wet bescherming persoonsgegevens is de hoogste boete EUR 820.000,– of 10% van de jaaropzet, maar deze mogelijkheid bestaat pas alleen als er sprake is van opzet of ernstige verwijtbaarheid. Hoewel dit niet met zoveel woorden terugkomt, valt te betwijfelen of de Autoriteit Persoonsgegevens een ander toets zal handhaven. Uiteindelijk zal de rechter toch moeten beoordelen of de boete nog wel evenredig is.
Er wordt in de AVG weinig guidance gegeven over de wijze waarop boetes opgelegd worden. Wel is opgenomen dat bij het opleggen van een boete rekening wordt gehouden met alle omstandigheden van het geval.
Wat zijn de belangrijkste verplichtingen onder de AVG?
De AVG bepaalt dat gegevens moeten worden verwerkt op een manier die ‘rechtmatig, behoorlijk en transparant’ is. Indien er hoge risico’s komen kijken bij de verwerking van de gegevens dan moet er een gegevensbeschermingseffectbeoordeling (Data Protection Impact of Privacy Impact Assessment) worden opgesteld. Dit zal zich met name voordoen bij het gebruik van nieuwe technologische verwerkingsmethoden. Ook als de verwerkende organisatie gebruikt maakt van automatische verwerking dient de beoordeling te worden opgesteld.
De AVG beoogt voor de gehele EU een eenduidig kader aan regelgeving te bewerkstelligen. Er is nog wel enige ruimte voor lidstaten om op bepaalde gebieden zelf regels te stellen. In Nederland gaat bijvoorbeeld een uitzondering op het verbod om bijzondere persoonsgegevens te verwerken gelden.
Het ‘recht om vergeten’ te worden is al een tijdje bekend en kan worden ingeroepen bij zoekmachines zoals Google, Yahoo, e.a. Op grond van de AVG kan een persoon eisen dat een organisatie alle informatie, die direct of indirect naar hem herleidbaar is wordt verwijderd. Deze organisatie dient er dan voor te zorgen dat ook gegevens die aan andere organisaties zijn doorgegeven daar verwijderd worden. Mocht een organisatie hier niet aan voldoen dan kan de Autoriteitpersoonsgegevens een boete opleggen.
Om alles is goede banen te leiden moet er in grote bedrijven een Data Protection Officer (‘DPO’) worden aangesteld . Publiekrechtelijke organisaties, zoals financiële toezichthouders, of organisaties met meer dan 250 werknemers dienen een dergelijk DPO aan te stellen.
Boete op de mat: welke verweermogelijkheden tegen boete AVG zijn er?
Zoals in andere blogs door mij aangegeven, is een bestuurlijke boete een criminal charge en geldt de onschuldpresumptie als uitgangspunt. De bewijslast ligt bij de Autoriteit Persoonsgegevens. Hier geldt in sommige gevallen dat bij de boete spreken zilver is en zwijgen goud.
Maar er zijn andere belangrijke verweren. Zo is de vraag of de boete wel evenredig is tot het de gestelde overtreding en of er wel sprake is van zorgvuldig onderzoek.
Welke bevoegdheden heeft de Autoriteit Persoonsgevens?
De AVG is nog niet van kracht, dus de Autoriteit Persoonsgevens heeft op grond van deze Verordening nog geen boete opgelegd. De Autoriteit Persoonsgevens kan, voordat zij overgaat tot het geven van een boete aan een organisatie, nog een waarschuwing geven of een last onder dwangsom opleggen. De organisatie krijgt dan de mogelijkheid om hun processen op orde te krijgen, zo niet, dan volgt alsnog de boete. Ook kan de Autoriteit Persoonsgevens besluiten tot een bindende aanwijzing.
Zorg dat uw organisatie op orde is en voorkom hoge boetes! Mocht u toch worden geconfronteerd met een boete, of heeft u andere vragen? Neem dan gerust contact op met advocaat financieel recht Jasper Hagers.