Administratieve geldboetes in de GDPR

Artikel?83, 4-6, van de Algemene Verordening Gegevensbescherming of GDPR somt de verschillende inbreuken op die door de toezichthoudende autoriteit bestraft kunnen worden met een administratieve geldboete. De verordening laat wel ruimte aan het nationaal recht om deze lijst eventueel uit te breiden.

Wanneer de toezichthoudende autoriteit een inbreuk vaststelt, zal zij moeten overgaan tot een individuele beoordeling van de zaak en zal zij rekening moeten houden met een aantal beoordelingscriteria bij haar beslissing om al dan niet een geldboete op te leggen.

Deze beoordelingscriteria zijn:

de aard, de ernst en de duur van de inbreuk;

de opzettelijke of nalatige aard van de inbreuk;

de door de verwerker of verwerkingsverantwoordelijke genomen maatregelen om de door de betrokkenen geleden schade te beperken;

de mate waarin de verwerkingsverantwoordelijke of verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft genomen (zie art.?24, 25 en 32 GDPR);

eerdere relevante inbreuken;

de mate waarin er met de toezichthoudende autoriteit werd samengewerkt om de inbreuk te verhelpen en de negatieve gevolgen te beperken;

de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft (zie art.?9 en 10 GDPR);

de wijze waarop de toezichthoudende autoriteit kennis heeft genomen van de inbreuk;

de naleving van eerder door een toezichthoudende autoriteit opgelegde maatregelen;

de aansluiting bij goedgekeurde gedragscodes of certificeringsmechanismes (zie art.?40 en 42 GDPR);

elke andere verzwarende of verzachtende factor.

De GDPR maakt een onderscheid tussen inbreuken die bestraft worden met een administratieve geldboete tot 10.000.000 euro of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar (indien dit cijfer hoger is) en inbreuken die bestraft worden met een administratieve geldboete tot 20.000.000 euro of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar (indien dit cijfer hoger is).

Een toezichthoudende autoriteit kan echter van dit onderscheid afwijken wanneer zij bij haar beoordeling op basis van de bovengenoemde criteria tot de conclusie komt dat een hogere of lagere boete aangewezen is. Zij is ook niet verplicht om een geldboete op te leggen, maar kan beslissen dat een berisping voldoende is.

De toezichthoudende autoriteiten moeten ernaar streven om bij elke individuele inbreuk de meest geschikte handhavingsmaatregel op te leggen. Die maatregel moet doeltreffend, proportioneel en afschrikwekkend zijn.

Bron: Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 119 van 4 mei 2016.