Nieuwe EU-brede regels AVG-boetes voor bedrijven

Door Redactie Daily Data Bytes | 19-05-2022

Er komen nieuwe regels aan voor de berekening van boetes voor bedrijven bij overtreding van de AVG. De nieuwe regels zijn opgesteld door de European Data Protection Board (EDPB). Met de regels berekenen alle privacytoezichthouders in de Europese Unie (EU) voortaan op dezelfde manier de hoogte van boetes.

Door de berekening van boetes binnen de EU gelijk te trekken, weten bedrijven waar ze aan toe zijn: de boetes worden in alle landen op dezelfde manier berekend. Ook kunnen de toezichthouders elkaar beter controleren wanneer zij meekijken bij het onderzoek van een collega-toezichthouder. De nieuwe regels zijn op drie punten anders dan de boetebeleidsregels die de AP op dit moment gebruikt.

Omzet bedrijf

De omvang van een bedrijf krijgt een grotere rol in de bepaling van de hoogte van de boete. Nu neemt de AP de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Straks gebeurt dit aan het begin.

Ernst overtreding

In de nieuwe regels zijn er drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Nu kijkt de AP ook naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar zonder er een categorie aan te hangen. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete.

Bandbreedte startbedrag

Waar de huidige AP-boetebeleidsregels uitgaan van een bandbreedte waarbinnen een boetebedrag in principe wordt bepaald, is de bandbreedte in de nieuwe regels bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd.

In de berekening nemen de toezichthouders ook boeteverlagende factoren mee, bijvoorbeeld als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.

Boetes kunnen onder de nieuwe regels, net als onder de huidige, oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet van een bedrijf.

Alleen voor bedrijven

De nieuwe regels gaan alleen gelden voor bedrijven. Dit is omdat niet alle privacytoezichthouders in de EU boetes mogen opleggen aan overheden. De AP mag dit wel.

De nieuwe regels zijn nog niet definitief. Tot 27 juni kunnen belanghebbenden nog suggesties doen voor bijstelling.

Auteur: Redactie Daily Data Bytes, Hoofdredacteur Jan Roekens.

Deze artikelen vind je vast ook interessant

Ook de laatste bytes ontvangen?