Overheid.nl| Zoekpagina

De wegwijzer naar informatie en diensten van alle overheden

Naar zoeken

Boetebeleidsregels Autoriteit Persoonsgegevens 2016

Geldend van 16-01-2016 t/m 30-06-2016

Boetebeleidsregels Autoriteit Persoonsgegevens 2016

Het College bescherming persoonsgegevens heeft, gelet op artikel 4:81 van de Algemene wet bestuursrecht, artikel 66 van de Wet bescherming persoonsgegevens, artikel 35, derde lid, van de Wet politiegegevens, artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens en artikel 15.4, vierde lid, van de Telecommunicatiewet, besloten om de volgende beleidsregels met betrekking tot het bepalen van de hoogte van bestuurlijke boetes vast te stellen:

Hoofdstuk 1. Algemene bepalingen

Artikel 1. Definities

In deze beleidsregels wordt verstaan onder:

Hoofdstuk 2. Bepalen van de hoogte van bestuurlijke boetes

Paragraaf 2.1. Overtredingen met een wettelijk boetemaximum van € 820.000

Artikel 2. Categorie-indeling en boetebandbreedtes

  • 2.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2016: € 820.000)1 kan opleggen, zijn in bijlage 1 ingedeeld in categorie I, categorie II of categorie III.

  • 2.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum van € 820.000 geldt vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 200.000

    Categorie II

    Boetebandbreedte tussen € 120.000 en € 500.000

    Categorie III

    Boetebandbreedte tussen € 350.000 en € 820.000

Paragraaf 2.2. Overtredingen met een wettelijk boetemaximum van € 450.000

Artikel 3. Categorie-indeling en boetebandbreedtes

  • 3.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van € 450.000 kan opleggen, zijn in bijlage 2 ingedeeld in categorie I, categorie II of categorie III.

  • 3.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum van € 450.000 geldt vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 100.000

    Categorie II

    Boetebandbreedte tussen € 60.000 en € 300.000

    Categorie III

    Boetebandbreedte tussen € 200.000 en € 450.000

Paragraaf 2.3. Overtredingen met een wettelijk boetemaximum van € 20.500

Artikel 4. Categorie-indeling en boetebandbreedtes

  • 4.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2016: € 20.500)2 kan opleggen, zijn in bijlage 3 ingedeeld in categorie I of categorie II.

  • 4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum van € 20.500 geldt vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 12.500

    Categorie II

    Boetebandbreedte tussen € 7.500 en € 20.500

Paragraaf 2.4. Bepalen van de hoogte van de boete

Artikel 5. De basisboete en mogelijke verhoging of verlaging

De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 6 daartoe aanleiding geven.

Artikel 6. Relevante factoren

  • 6.1 De Autoriteit Persoonsgegevens houdt rekening met de ernst van de overtreding. De Autoriteit Persoonsgegevens stemt de beoordeling van de ernst van de overtreding in het concrete geval af op:

    • a. de aard en omvang van de overtreding;

    • b. de duur van de overtreding;

    • c. de impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij.

  • 6.2 De Autoriteit Persoonsgegevens houdt rekening met de mate waarin de overtreding aan de overtreder kan worden verweten. Indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid als bedoeld in artikel 66, vierde lid, van de Wet bescherming persoonsgegevens, wordt aangenomen dat sprake is van een aanzienlijke mate van verwijtbaarheid van de overtreder.

  • 6.3 De Autoriteit Persoonsgegevens houdt zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert.

Artikel 7. Buiten de bandbreedte treden en boetemaximum van tien procent van de jaaromzet

  • 7.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de bandbreedte van de naast lagere categorie toepassen.

  • 7.2 Indien ter zake van de overtreding aan een rechtspersoon een bestuurlijke boete van € 820.000 kan worden opgelegd en dit wettelijk boetemaximum naar het oordeel van de Autoriteit Persoonsgegevens geen passende bestraffing toelaat, kan zij op grond van artikel 23, zevende lid, van het Wetboek van Strafrecht een hogere boete opleggen tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan het besluit waarbij de bestuurlijke boete wordt opgelegd. Voor de jaaromzet van de rechtspersoon wordt aangesloten bij de netto-omzet, bedoeld in artikel 377, zesde lid, van Boek 2 van het Burgerlijk Wetboek.

Paragraaf 2.5. Boeteverhogende en boeteverlagende omstandigheden

Artikel 8. Eventuele boeteverhoging of boeteverlaging

Indien naar het oordeel van de Autoriteit Persoonsgegevens sprake is van boeteverhogende of boeteverlagende omstandigheden, kan het bedrag van de boete nadat toepassing is gegeven aan paragraaf 2.4, worden verhoogd dan wel verlaagd vanwege omstandigheden als bedoeld in de artikelen 9 en 10. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum.

Artikel 9. Boeteverhogende omstandigheden

  • 9.1 De Autoriteit Persoonsgegevens merkt als boeteverhogende omstandigheden aan:

    • a. de omstandigheid dat de Autoriteit Persoonsgegevens voorafgaand aan de dagtekening van het van de overtreding opgemaakte rapport, bedoeld in artikel 5:48, eerste lid, van de Algemene wet bestuursrecht voor een eerdere overtreding van eenzelfde of een soortgelijke door die overtreder begane overtreding een bestuurlijke boete heeft opgelegd die onherroepelijk is geworden. In geval van recidive als bedoeld in de vorige zin verhoogt de Autoriteit Persoonsgegevens de boete met 50%, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn.

    • b. de omstandigheid dat de overtreder het onderzoek van de Autoriteit Persoonsgegevens heeft tegengewerkt of belemmerd.

  • 9.2 Niet-nakoming van een bindende aanwijzing, bedoeld in artikel 66, vijfde lid, van de Wet bescherming persoonsgegevens, wordt niet aangemerkt als eenzelfde of soortgelijke overtreding als de overtreding van het in artikel 66, tweede lid, van de Wet bescherming persoonsgegevens genoemde voorschrift waarvoor de Autoriteit Persoonsgegevens de bindende aanwijzing heeft gegeven.

Artikel 10. Boeteverlagende omstandigheden

Boeteverlagende omstandigheden zijn in ieder geval:

  • a. de omstandigheid dat de overtreder verdergaande medewerking aan de Autoriteit Persoonsgegevens heeft verleend dan waartoe hij wettelijk gehouden was;

  • b. de omstandigheid dat de overtreder uit eigen beweging de overtreding heeft beëindigd voor of bij de eerste bekendwording met het onderzoek van de Autoriteit Persoonsgegevens;

  • c. de omstandigheid dat de overtreder uit eigen beweging degenen aan wie door de overtreding schade is berokkend, schadeloos heeft gesteld.

Hoofdstuk 3. Slotbepalingen

Artikel 11. Intrekking oude beleidsregels

De Regels voor de boetevaststelling (Stcrt. 2003, nr. 123) worden ingetrokken.

De Beleidsregels CBP handhaving protocolplicht Wet politiegegevens (Stcrt. 2009, nr. 15761 en Stcrt. 2009, nr. 17372) en de bij dit besluit behorende bijlage worden ingetrokken.

Artikel 12. Inwerkingtreding

Deze beleidsregels treden in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin ze worden geplaatst.

Artikel 13. Citeertitel

Deze beleidsregels worden aangehaald als: Boetebeleidsregels Autoriteit Persoonsgegevens 2016.

Artikel 14. Bekendmaking

Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst.

Bijlage 1. , behorende bij artikel 2 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2016

Overtredingen met een wettelijk boetemaximum van € 820.000

Wetsartikel

Omschrijving

Categorie

Wet bescherming persoonsgegevens    
artikel 6

behoorlijke en zorgvuldige gegevensverwerking

I, II of III

artikel 7

doeleindenomschrijving

II

artikel 8

grondslag gegevensverwerking

II

artikel 9, eerste lid

doelbinding

II

artikel 9, vierde lid

geen verwerking als geheimhoudingsplicht

II

artikel 10, eerste lid

maximale bewaartermijn

II

artikel 11, eerste lid

toereikende, ter zake dienende en niet bovenmatige gegevensverwerking

II

artikel 11, tweede lid

maatregelen opdat persoonsgegevens juist en nauwkeurig zijn

II

artikel 12, eerste lid

verwerking in opdracht verantwoordelijke

I: indien de overtreder een natuurlijke persoon is;

II: indien de overtreder een rechtspersoon is, of een onderdeel daarvan

artikel 12, tweede lid

geheimhoudingsplicht

I: indien de overtreder een natuurlijke persoon is;

II: indien de overtreder een rechtspersoon is, of een onderdeel daarvan

artikel 13

beveiligingsverplichting

II

artikel 16

verbod verwerking bijzondere persoonsgegevens

III

artikel 24, eerste lid

gebruik wettelijk identificatienummer

III

artikel 24, tweede lid

nadere regels gebruik wettelijk identificatienummer

II

artikel 33, eerste lid

informatieplicht persoonsgegevens verkregen bij betrokkene

II

artikel 33, tweede lid

te verstrekken informatie

II

artikel 33, derde lid

verstrekking nadere informatie

II

artikel 34, eerste lid

informatieplicht persoonsgegevens verkregen op andere wijze dan bij betrokkene

II

artikel 34, tweede lid

te verstrekken informatie

II

artikel 34, derde lid

verstrekking nadere informatie

II

artikel 34a, eerste lid

meldplicht datalekken bij Autoriteit Persoonsgegevens

II

artikel 34a, tweede lid

meldplicht aan betrokkene

II

artikel 34a, derde lid

inhoud kennisgeving

I

artikel 34a, vierde lid

inhoud kennisgeving aan Autoriteit Persoonsgegevens

I

artikel 34a, vijfde lid

wijze kennisgeving aan betrokkene

I

artikel 34a, zevende lid

alsnog verplichte kennisgeving aan betrokkene

II

artikel 34a, achtste lid

bijhouden overzicht inbreuken

II

artikel 34a, elfde lid

nadere regels kennisgeving

I

artikel 35, eerste lid, tweede volzin

inzagerecht

II

artikel 35, tweede lid

inhoud mededeling

II

artikel 35, derde lid

zienswijze vragen derde

I

artikel 35, vierde lid

mededelingen logica geautomatiseerde verwerking

I

artikel 36, tweede lid

recht op verbetering, aanvulling, verwijdering of afscherming persoonsgegevens

II

artikel 36, derde lid

uitvoering beslissing op verzoek

II

artikel 36, vierde lid

informeren over onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming

I

artikel 38, eerste lid

informeren derden over toewijzing verzoek

I

artikel 38, tweede lid

informeren verzoeker

I

artikel 39, eerste lid

maximale vergoeding inzageverzoek

I

artikel 39, tweede lid

teruggave vergoeding bij verbetering, aanvulling, verwijdering of afscherming

I

artikel 39, derde lid jo. eerste lid

gewijzigde maximale vergoeding

I

artikel 40, tweede lid

recht van verzet

II

artikel 40, derde lid

maximale vergoeding en teruggave vergoeding bij gegrond verzet

I

artikel 41, tweede lid

absoluut recht van verzet tegen verwerking voor commerciële of charitatieve doelen

II

artikel 41, derde lid

maatregelen om betrokkenen bekend te maken met recht van verzet

I

artikel 42, eerste lid

regels geautomatiseerde individuele besluiten

III

artikel 42, vierde lid

mededeling logica geautomatiseerde verwerking

I

artikel 66, vijfde lid

niet-nakoming bindende aanwijzing

I, II of III, afhankelijk van de indeling van het onderliggende artikel

artikel 76, eerste lid

verbod doorgifte naar land buiten EER zonder passend beschermingsniveau

II

artikel 77, tweede lid

voorschriften doorgiftevergunning

I

artikel 78, vierde lid

opschorting doorgifte bij ministeriële regeling of besluit

I

Algemene wet bestuursrecht    
artikel 5:20, eerste lid

medewerkingsplicht (nalevingstoezicht Wet bescherming persoonsgegevens)

III

Bijlage 2. , behorende bij artikel 3 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2016

Overtredingen met een wettelijk boetemaximum van € 450.000

Wetsartikel

Omschrijving

Categorie

Telecommunicatiewet    
artikel 11.3a, eerste lid

meldplicht datalekken aanbieder openbare elektronische communicatiedienst bij Autoriteit Persoonsgegevens

III

artikel 11.3a, tweede lid

meldplicht aan betrokkene

III

artikel 11.3a, derde lid

inhoud kennisgeving

II

artikel 11.3a, vierde lid

alsnog verplichte kennisgeving aan betrokkene

III

artikel 11.3a, zesde lid

bijhouden overzicht inbreuken

III

artikel 11.3a, zevende lid

nadere regels kennisgeving

II

Algemene wet bestuursrecht    
artikel 5:20, eerste lid

medewerkingsplicht (nalevingstoezicht Telecommunicatiewet)

III

Bijlage 3. , behorende bij artikel 4 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2016

Overtredingen met een wettelijk boetemaximum van € 20.500

Wetsartikel

Omschrijving

Categorie

Wet bescherming persoonsgegevens    
artikel 4, derde lid

aanwijzing vertegenwoordiger door verantwoordelijke buiten EER

II

artikel 78, tweede lid, aanhef en onder a

doorgifteverbod bij ministeriële regeling of besluit

II

Wet politiegegevens    
artikel 32, eerste lid

protocolplicht

II

artikel 32, tweede lid

melding gemeenschappelijke verwerking aan Autoriteit Persoonsgegevens

I

artikel 32, derde lid

bewaartermijn

II

artikel 32, vierde lid

nadere regels wijze vastlegging

I

Wet justitiële en strafvorderlijke gegevens    
artikel 19, eerste lid

vastlegging en bewaarplicht verstrekking justitiële gegevens

II

artikel 39j, eerste lid

vastlegging en bewaarplicht verstrekking strafvorderlijke gegevens

II

artikel 44, eerste lid

vastlegging en bewaarplicht verstrekking afschriften rapporten uit persoonsdossiers

II

  • ^ [1]

    Zie artikel I van het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2015, nr. 420).

  • ^ [2]

    Zie artikel I van het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht.