De Autoriteit Persoonsgegevens heeft de boetebeleidsregels aangepast omdat de oude regels nog betrekking hadden op overtredingen van eerdere privacywetgeving. Bij het vaststellen van de hoogte spelen de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive.

De AP kan boetes opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. De AP kan ook bij overtredingen op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens een boete opleggen en bij bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.

De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.

1) Verantwoordelijken, degenen die persoonsgegevens verwerken, hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

2) Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Alles bij de bron; BeveilNieuws