De GDPR heeft de reputatie van grote en enge boetes. Recordboetes zoals de boete van 1,2 miljard euro van €Meta voor gegevensoverdracht en de boete van 745 miljoen euro van Amazon haalden het nieuws en zorgden voor een gezonde discussie over compliance en privacy. Maar wat zijn GDPR-boetes en hoe werken ze precies?
In deze blog wordt alles uitgelegd wat je moet weten over GDPR-boetes: hoe ze worden opgelegd en berekend, hoe ze kunnen worden aangevochten, hoe ze verschillen van andere handhavingsinstrumenten en nog veel meer. Laten we erin duiken!
De basis
Wat is een GDPR-boete?
GDPR-boetes zijn administratieve handelingen, geen vonnissen. Dit heeft belangrijke gevolgen voor hoe boetes werken en hoe ze kunnen worden aangevochten.
Er valt eigenlijk niet veel meer te zeggen. Je weet wat een boete is: je overtreedt een regel, je wordt gepakt, je moet betalen.
Hoe krijg je een boete onder de GDPR?
Elke GDPR overtreding kan leiden tot een boete. Organisaties krijgen boetes voor allerlei redenen: het illegaal verzamelen van persoonlijke gegevens, het niet beveiligen van gegevensoverdrachten, het implementeren van slechte cyberbeveiliging, het niet melden van een ernstig datalek, enzovoort.
Het is niet omdat je een boete kunt krijgen voor deze overtredingen, dat je dat ook doet. Organisaties komen er soms vanaf met een waarschuwing en een bevel om hun compliance op orde te krijgen. Dit gebeurt meestal wanneer een kleine organisatie een eerlijke fout maakt zonder ernstige gevolgen voor individuen.
Wie deelt GDPR boetes uit?
GDPR boetes worden opgelegd door gegevensbeschermingsautoriteiten (ook wel DPA's of toezichthoudende autoriteiten genoemd).
DPA's zijn administratieve autoriteiten die de GDPR in hun land handhaven. Elk land in de EU en de Europese Economische Ruimte heeft een DPA (of meerdere, in het geval van federale staten).
DPA's doen meer dan alleen boetes uitdelen. Ze kunnen een organisatie bijvoorbeeld opdragen een activiteit waarbij persoonsgegevens worden gebruikt tijdelijk stop te zetten of zelfs voorgoed te beëindigen. Deze sancties hebben soms meer gevolgen voor organisaties dan boetes.
Zijn boetes schadevergoedingen?
Boetes en schadevergoedingen spelen beide een belangrijke rol bij GDPR-handhaving, maar ze zijn niet hetzelfde.
Schadevergoedingen en boetes komen van verschillende handhavers: rechtbanken kennen schadevergoedingen toe en DPA's schrijven GDPR-boetes uit. Rechtbanken en DPA's hebben verschillende bevoegdheden en geen van beide kan het werk van de ander doen.
Schadevergoedingen en boetes hebben ook verschillende doelen, omdat schadevergoedingen een vorm van compensatie zijn, terwijl boetes een middel zijn om te straffen en af te schrikken.
In de praktijk betekent dit dat individuen alleen een schadeclaim hebben als de verkeerde omgang met hun gegevens heeft geleid tot een vorm van schade (inclusief "immateriële schade", zoals we in juridisch jargon zeggen). Aan de andere kant kun je een boete krijgen voor een overtreding, of je nu schade hebt veroorzaakt of niet - net zoals je een bekeuring voor te hard rijden kunt krijgen zonder een verkeersongeluk te hebben veroorzaakt.
Dit alles is overigens niet speciaal voor de GDPR. Zo werkt schadevergoeding nu eenmaal in civielrechtelijke jurisdicties.
De praktische aspecten
Hoe worden GDPR-boetes berekend?
De GDPR bevat een hele lange en complexe lijst met criteria. We moeten het dus sterk vereenvoudigen.
Een van de belangrijkste criteria is de impact van de overtreding. Boetes zijn meestal hoger voor zeer schadelijke en impactvolle overtredingen - bijvoorbeeld slechte cyberbeveiliging die leidt tot een grootschalig datalek.
Andere belangrijke criteria zijn of de overtreding opzettelijk is, of een organisatie een geschiedenis van niet-naleving heeft en of de overtreding gevoelige gegevens betreft (in de specifieke zin van GDPR, niet in de algemene alledaagse zin).
Het gedrag van een organisatie na een overtreding is ook van belang. Boetes zijn lager wanneer organisaties meewerken aan het onderzoek en zich inspannen om hun fouten te corrigeren voordat de boete komt. Dit moedigt organisaties aan om samen met DPA's te werken aan naleving in plaats van een juridische oorlog te voeren tegen handhaving.
Last but not least speelt gezond verstand een cruciale rol. Een eerlijke fout van een klein bedrijf wordt niet op dezelfde manier behandeld als opzettelijke niet-naleving door een multinational.
Wat is het maximum voor GDPR-boetes?
Boetes zijn beperkt tot € 10 miljoen of 2% van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. Deze maxima worden verdubbeld voor flagrante overtredingen zoals het onrechtmatig verzamelen van gevoelige gegevens: de feitelijke maxima zijn dus €20M of 4% van de wereldwijde jaaromzet.
Die 4% kan een enorm getal zijn voor bedrijven omdat het kan worden berekend op basis van de omzet van hele bedrijfsgroepen. Zo kreeg Meta haar recordboete van €1,2 miljard: het bedrag werd berekend over de omzet van de hele Meta groep, ook al was de zaak (nominaal) alleen tegen Meta Platforms Ireland.
Zijn boetes openbaar?
Verschillende jurisdicties hebben verschillende regels. Sommige autoriteiten publiceren de meeste of al hun beslissingen, terwijl andere dat niet doen. Sommige autoriteiten behandelen publicatie bijvoorbeeld als een extra straf die alleen mag worden opgelegd wanneer dat gepast is. Anderen beperken de publicatie van het besluit tot het niet meer aangevochten kan worden - daarom kunnen we de motivatie voor de boete van €746 van Amazon nog steeds niet lezen.
Kun je een boete krijgen voor een datalek?
Ja, dat kan. Maar je krijgt niet automatisch een boete voor een datalek.
De GDPR vereist dat organisaties passende beveiliging implementeren, geen perfecte beveiliging. Je krijgt alleen een boete als je niet genoeg hebt gedaan om de gegevens te beveiligen. Omgekeerd kun je een boete krijgen voor het implementeren van slechte beveiliging, zelfs als er geen datalek plaatsvindt.
Het is ook vermeldenswaard dat organisaties ernstige datalekken zelf moeten melden aan de gegevensbeschermingsautoriteiten (en in sommige gevallen zelfs aan de getroffen personen). Niet zelf melden is reden voor een boete.
De procedure
Hoe worden GDPR boetes opgelegd?
GDPR boetes worden opgelegd door DPA's na een onderzoek. DPA's kunnen klachten onderzoeken of uit eigen beweging een onderzoek starten. In de praktijk volgen de meeste onderzoeken op een klacht.
Boetes worden niet alleen geregeld door de GDPR, maar ook door de nationale administratieve wetgeving. De procedure voor het opleggen van een boete verschilt van land tot land, net als de rechten en de rol van de partijen in het onderzoek.
De procedure voor grensoverschrijdende zaken is ingewikkelder omdat er meerdere DPA's bij betrokken kunnen zijn.
Hoe worden GDPR boetes aangevochten?
De ontvanger van een boete heeft het recht om de boete te laten herzien door een rechtbank. Dit is een kernbeginsel van het administratief recht en geldt in elke jurisdictie van de EU.
De procedure voor het aanvechten van een boete verschilt sterk per rechtsgebied. Zo kan administratief beroep soms beschikbaar zijn als aanvulling op rechterlijke toetsing (maar kan deze toetsing nooit vervangen). Dit betekent dat de geadresseerde van een boete deze niet alleen kan laten toetsen door een rechtbank, maar ook door een administratief orgaan met de bevoegdheid om het besluit van de gegevensbeschermingsautoriteit ongedaan te maken.
Wij bij Simple Analytics geven om privacy. Daarom doen we ons best om GDPR en privacywetgeving aan iedereen uit te leggen, zonder juridisch jargon.
Als jij ook om privacy geeft, waarom probeer je onze web analytics tool dan niet eens? We hebben Simple Analytics gebouwd met innovatie, gebruikersprivacy en gebruiksgemak in gedachten. Simple Analytics verzamelt geen persoonlijke gegevens van je bezoekers en wordt geleverd met een gloednieuwe AI-assistent om je precies die inzichten te geven die je wilt.
Als dit je aanspreekt, probeer Simple Analytics dan eens uit met onze proefversie van twee weken!