Welke factoren spelen nu een rol bij het vaststellen van de hoogte van de boete?

Wettelijk boetemaximum

Allereerst houdt de AP rekening met het maximale boetebedrag dat in de AVG is vermeld. Er zijn maximale boetebedragen voor twee soorten overtredingen vastgesteld.

Gaat het om het niet-naleven van bepaalde verplichtingen uit de AVG, dan kan de AP een boete op leggen van maximaal 10 miljoen euro of maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen. Denk bijvoorbeeld aan het niet hebben of bijhouden van een verwerkingsregister.

Gaat het om het overtreden van een van de beginselen of grondslagen van de AVG of het schenden van privacyrechten van betrokkenen, dan kan de boete oplopen tot maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Boetecategorieën

Vervolgens houdt de AP rekening met de indeling die zijn heeft gemaakt op grond van door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht. Overtredingen zijn ingedeeld in 3 of 4 boetecategorieën. Elke boetecategorie is vervolgens gekoppeld aan een bepaalde boetebandbreedte van een minimum- en een maximumbedrag. Binnen deze bandbreedtes heeft de AP een bedrag vastgelegd, dat als uitgangspunt voor de berekening van de boete wordt gehanteerd.

Boeteverhogende of – verlagende factoren

Voorts kan de AP besluiten een aantal boeteverhogende of –verlagende factoren in acht te nemen. Denk bijvoorbeeld aan de aard, ernst en duur van de overtreding, het aantal betrokkenen, de omvang van de schade en of sprake is van recidive. Ook de financiële omstandigheden van de overtreder, kan door de AP worden meegenomen.

Het behoeft geen betoog dat u te allen tijde moet voorkomen dat een boete wordt opgelegd. Breng in kaart welke persoonsgegevens u verwerkt, welke rol u daarbij inneemt (verwerkingsverantwoordelijke of verwerker) en aan welke wettelijke verplichtingen u moet voldoen.

Vragen?

Heeft u naar aanleiding van het bovenstaande vragen of heeft u hulp nodig bij het in kaart brengen van uw wettelijke verplichtingen en/of het opstellen van de juiste documenten? Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity