Boetes
Er geldt straks een tweeledig boeteregime. Voor zwaardere verplichtingen uit de Algemene Verordening Gegevensbescherming geldt een hogere maximum boete, voor minder zwaardere verplichtingen geldt een lager boete maximum. Een paar voorbeelden:
- Heavy: 20 miljoen of 4%
- Overtreden van de basisbeginselen voor het vragen van toestemming.
- Overtreden van de verplichtingen m.b.t. de rechten van de betrokkenen.
- Light: 10 miljoen of 2%
- Niet implementeren van (beveiligings)maatregelen i.v.m. privacy by design of privacy by default.
- Verwerker inschakelen zonder de wettelijke verplichtingen voor een verwerkersovereenkomst.
One stop shop
Voor het volledige overzicht van de boetes, met voorbeelden en de eerste resultaten van ons AVG onderzoek, vraag dan het document boetes en handhaving aan. Nieuw in de AVG (ook wel bekend als GDPR) is dat de AP in een aantal gevallen ook direct een boete kan opleggen aan de verwerker, niet alleen aan de verantwoordelijke. Bijvoorbeeld als een verwerker niet uitsluitend persoonsgegevens in opdracht van een verantwoordelijke verwerkt. Denk aan een ESP die e-mailadressen ook inzet om een eigen campagne te draaien, of een online enquête tool die persoonsgegevens doorverkoopt aan derde partijen. Wil je weten wat hier de maximumboete voor is? Kijk dan in dit overzicht.
De AVG is een Verordening: in de hele EU gelden dezelfde regels, uitzonderingen daargelaten. Dus organisaties die in meerdere EU landen persoonsgegevens verwerken kunnen met meerdere toezichthouders te maken krijgen. Bijvoorbeeld als een campagne aan prospects in Duitsland en Nederland wordt gestuurd. Maar vrees niet, de AVG heeft op deze situatie geanticipeerd met het zogenaamde ‘one stop shop’ principe.
Op het moment dat er grensoverschrijdend persoonsgegevens worden verwerkt, of dat een verwerking van persoonsgegevens impact heeft in meerdere EU landen, wordt een leidende toezichthouder aangewezen. Organisaties hoeven dan alleen met deze leidende toezichthouder zaken te doen. De hoofdregel is dat het land waar de hoofdvestiging van een organisatie is gevestigd de leidende toezichthouder levert.
Zonder waarschuwing een factuur op de mat?
De AP heeft nog een hele rits andere taken en bevoegdheden. Logisch ook, want boetes mogen natuurlijk niet zomaar worden opgelegd. De AP kan onder de AVG controles uitvoeren, toegang krijgen tot (fysieke) ruimtes en informatie, waarschuwingen opleggen, of een organisatie ‘gelasten’ een verwerking van persoonsgegevens in overeenstemming met de AVG te brengen. Ook kan de AP ongevraagd advies geven en een verwerking tijdelijk of definitief beperken.
De AP is niet verplicht om altijd eerst een waarschuwing te geven, voorafgaand aan een boete. Er kan dus ook direct een boete worden opgelegd. Een besluit van de AP kun je aanvechten bij de rechter.
‘Handhaving’ door consumenten
Consumenten krijgen onder de AVG meer rechten om controle uit te oefenen over hun persoonsgegevens, lees daarover ook het document Rechten van betrokkenen van onze AVG voorlichting. Daarnaast kunnen consumenten een klacht indienen bij de AP tegen een organisatie. De AP is onder de AVG verplicht de klachten van consumenten te behandelen. Dit kan ook een afwijzing van de klacht inhouden, maar de AP kan de klachten niet naast zich neerleggen.
Onder de huidige privacy wetgeving is de AP niet verplicht om klachten van consumenten te behandelen en kunnen consumenten alleen een tip indienen. Logischerwijs zal de AP onder de AVG waarschijnlijk meer gaan handelen naar aanleiding van klachten van consumenten. Boetes zullen wellicht gaan vallen in de hoeken waar consumenten de meeste last of ergernis ervaren. Dit gaat wellicht lijken op de klachtenbehandeling door de ACM over spam en het BMNR.
Speciaal voor leden: Boetes en handhaving
In een speciaal ledendocument gaan we nog uitgebreider in op boetes en handhaving.
Bekijk hieronder onze hele AVG-voorlichtingsserie: