Vanaf 1 januari 2016 wordt het voor de privacytoezichthouder, het College bescherming persoonsgegevens (“Cbp“), mogelijk om hoge boetes op te leggen bij schendingen van de privacywetgeving. Deze bestuurlijke boetes kunnen maximaal € 810.000,- of – indien de toezichthouder daar aanleiding toe ziet – 10% van de jaaromzet van de onderneming bedragen. Daarnaast krijgt het Cbp na inwerkingtreding vanaf 1 januari 2016 een nieuwe naam en zal voortaan de Autoriteit persoonsgegevens heten.

Op 22 oktober jl. publiceerde het Cbp zijn concept-boetebeleidsregels, waarin uiteen gezet wordt op welke wijze het Cbp straks invulling zal geven aan zijn boetebevoegdheden. In de beleidsregels is gekozen voor een categorie-indeling en een bandbreedtesystematiek. De beboetbare wettelijke bepalingen zijn per wettelijk maximum van EUR 810.000,-, EUR 450.000,- (meldplicht datalekken uit Telecommunicatiewet) en EUR 20.250,-, ingedeeld in een aantal categorieën met daaraan verbonden in zwaarte oplopende basisboetes.

Basisboete

Het Cbp zal op grond van de beleidsregels steeds eerst een basisboete vaststellen en houdt daarbij rekening met de volgende factoren:

  • De aard en omvang van de overtreding;
  • De duur van de overtreding;
  • De impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij;
  • De mate van verwijtbaarheid; en
  • De omstandigheden waaronder de overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert.

Als de bestraffing gelet op de boetecategorie niet passend is, kan het Cbp ervoor kiezen om een boete binnen de bandbreedte van de naastliggende hogere of lagere boetecategorie toe te passen.

Bij de overtredingen waarvoor een boetemaximum van EUR 810.000,- geldt, kan het Cbp wanneer het deze boete niet passend acht, volgens de beleidsregels een boete opleggen van ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan het besluit waarbij de boete wordt opgelegd. Onder jaaromzet wordt verstaan: de netto-omzet zoals bedoeld in 2:377 lid 6 BW, die de overtreder heeft behaald in het meest recente boekjaar ten aanzien waarvan de overtreder een jaarrekening beschikbaar heeft of zou moeten hebben.

Boeteverhogende en boeteverlagende omstandigheden

Naast de basisboete, houdt het Cbp rekening met de volgende boeteverhogende en boeteverlagende omstandigheden:

Boeteverhogende omstandigheden

  • Recidive;
  • Tegenwerken of belemmeren van het onderzoek.

Boeteverlagende omstandigheden

  • Verdergaande medewerking van de overtreder dan waar hij wettelijk toe gehouden is;
  • De omstandigheid dat de overtreder uit eigen beweging de overtreding heeft beëindigd, voor of bij de eerste bekendmaking met het onderzoek van het Cbp;
  • De omstandigheid dat overtreder uit eigen beweging degene aan wie door de overtreding schade is berokkend, schadeloos heeft gesteld.

Het Cbp geeft in de beleidsregels aan dat het niet voldoen aan een bindende aanwijzing die gegeven wordt, niet gezien wordt als recidive omdat dit niet wordt aangemerkt als het zelfde type overtreding. Dit hoeft echter niet positief te zijn: het niet voldoen aan een bindende aanwijzing is een aparte overtreding die naast de andere overtreding waarvoor de aanwijzing wordt opgelegd, kan worden gesanctioneerd. Wel kan het Cbp ervoor kiezen om één bestuurlijke boete op te leggen voor de gezamenlijke overtredingen. Hierbij zij opgemerkt dat de uiteindelijke vastgestelde boete het wettelijke maximum niet kan overschrijden.

De conceptboetebeleidsregels liggen tot 19 november a.s. ter consultatie en de definitieve beleidsregels zullen op 1 januari 2016 in werking treden.