icon

De boetes van het CBP (2): wanneer krijgt u een boete?

In onze serie over de Wet Meldplicht Datalekken waren we aangekomen bij de boetes die het CBP (straks Autoriteit Persoonsgegevens geheten) kan opleggen. De vorige keer hebben we gezien dat die boetes niet alleen bij overtredingen in het kader van de meldplicht kunnen worden opgelegd, dat ze bestuursrechtelijk van karakter zijn en dat ze kunnen oplopen tot 810.000 euro en soms nog hoger. Maar wanneer kunt u in de praktijk straks nu een boete verwachten? En hoe hoog wordt die zo ongeveer?

Voorop gesteld: op die vraag kan natuurlijk nooit een volledig en 100% betrouwbaar antwoord worden gegeven. Het CBP is een autonoom bestuursorgaan dat zijn eigen afwegingen maakt. Maar die afwegingen worden ten dele wel ingekaderd door de wet. Het CBP doet bovendien zelf een boekje open over het beleid dat zij zal gaan hanteren.

Wat die wettelijke inkadering betreft: het belangrijkste is in dit verband het bepaalde in de leden 3 en 4 van het nieuwe artikel 66 Wbp dat over de boetes gaat. In lid 3 staat dat het CBP éérst een bindende aanwijzing moet geven voordat een boete kan worden opgelegd. Aan zo'n bindende aanwijzing kan een termijn worden verbonden waarbinnen deze moet worden opgevolgd. Lid 4 bevat echter direct een belangrijke uitzondering1: als de overtreding opzettelijk of als gevolg van ernstig verwijtbare nalatigheid is gepleegd kan de boete direct worden opgelegd. Het kan uiteraard voorwerp van debat zijn wanneer van een dergelijke situatie sprake is. Aangenomen mag worden dat zich daarover de komende jaren jurisprudentie zal gaan vormen.

Het bovenstaande betekent niettemin dat boetes in de praktijk voornamelijk aan de orde zullen zijn voor wie ófwel welbewust, ófwel behoorlijk stom, ófwel uiterst halsstarrig de wet overtreedt. Die laatste categorie betreft uiteraard de volhouders die in hun overtreden blijven volharden nadat een bindende aanwijzing is opgelegd. Gaat het daarbij om rechtspersonen, dan bevat de wet nog een aardige verrassing: als het CBP in zo'n geval vindt dat de maximumboete van 810.000 euro nog niet genoeg is, dan kan een boete worden opgelegd van 10% van de omzet in het vorige boekjaar. Aldus lid 5 van het nieuwe artikel 66 Wbp (voor dit doel gekoppeld aan artikel 23, lid 7 Wetboek van Strafrecht).

Wie slim is laat het uiteraard niet zover komen. Bent u het niet eens met een bindende aanwijzing, dan kunt u immers ook dáártegen al de gewone bestuursrechtelijke rechtsbescherming inroepen. Dat wil zeggen: bezwaar maken bij het CBP zelf, eventueel gevolgd door beroep bij de rechtbank, afdeling bestuursrecht en hoger beroep bij de afdeling bestuursrechtspraak Raad van State. De praktijk zal moeten uitwijzen of het CBP lopende die procedure een boete zal willen opleggen. Maar zelfs als dat wordt gedaan, dan kan ook daartegen weer het tracé van rechtsbescherming worden gevolgd. En zo lang dat loopt hoeft de boete in elk geval nog niet daadwerkeljk te worden betaald (art. 71 Wbp).

Wat het beleid van het CBP betreft: vorige maand heeft het CBP een consultatieversie van haar Boetebeleidsregels Autoriteit Persoonsgegevens 2015 openbaar gemaakt. In dit document (meer bijzonder: in de bijlagen daarbij) wordt voor alle overtredingen aangegeven tussen welke bandbreedten de basis voor de op te leggen boete zich zal bewegen. Maar daar kan ook weer van worden afgeweken, afhankelijk van de omstandigheden van het concrete geval (wel of niet meewerken met het CBP, al dan niet al eerder dezelfde overtreding begaan, betrokkenen schadeloos gesteld, etc.)

Uit de categorie-indeling valt op dat het CBP van plan is de hoogste boetes op te leggen voor het ongeautoriseerd verwerken van bijzondere persoonsgegevens (zoals over gezondheid, seksuele leven, godsdienst, etc.; art. 16. e.v. Wbp.). Ook bij het nemen van besluiten gebaseerd op automatische verwerking van persoonsgegevens (art. 42, lid 1 Wbp) of het gebruik van een wettelijk identificatienummer buiten de wettelijke grondslag daarvoor (art. 24. lid 1 Wbp) zal men in beginsel niet op mildheid hoeven rekenen.
Maar dat alles, uiteraard, met inachtname van het bovenstaande: wie niet opzettelijk of grovelijk nalatig handelt krijgt eerst een bindende aanwijzing…

______________________________________________________
1: Voor de volledigheid: er is nóg een uitzondering; de verplichting éérst een bindende aanwijzing op te leggen geldt in het geheel niet bij overtredingen van artikel 4, lid 3Wbp of artikel 78, lid onder a. Wbp. Het gaat hier om bepaalde verboden verwerkingen door buitenlanders zonder EU-vestiging en om verboden gegevensverkeer buiten de EU.

Overzicht van de andere afleveringen van deze serie

De boetes van het CBP (2): wanneer krijgt u een boete?