Gegevensbescherming in faillissement (O&R nr. 136) 2023/7.2.1:7.2.1 Publiekrechtelijke handhaving

Gegevensbescherming in faillissement (O&R nr. 136) 2023/7.2.1

7.2.1 Publiekrechtelijke handhaving

Documentgegevens:

mr. M.D. Reijneveld, datum 01-08-2022

Datum: 01-08-2022
Auteur: mr. M.D. Reijneveld
JCDI: JCDI:ADS675771:1
Vakgebied(en): Ondernemingsrecht (V)

De Autoriteit Persoonsgegevens (AP) is het Nederlandse bestuursorgaan dat is belast met het toezicht op de naleving van de AVG en de Nederlandse implementatiewet daarvan, de Uitvoeringswet AVG (UAVG).2 Het toezicht door de AP bestaat onder meer uit onderzoek naar mogelijke overtredingen van de AVG3 en handhaving als overtredingen zijn geconstateerd.4 De AP kan ambtshalve of op verzoek een onderzoek instellen.5

Dit betekent niet dat een overtreding van de AVG steeds leidt tot een boete. De AP kan niet altijd direct een boete opleggen.6 De normen uit de AVG zijn vaak open normen. De beginselen van behoorlijk bestuur brengen in die gevallen met zich dat de AP eerst een waarschuwing geeft, of duidelijkheid verschaft over de verwachtingen, bijvoorbeeld door middel van beleidsregels.7 Ook moet de AP op zeer veel partijen toezicht houden. Elke persoon of organisatie die persoonsgegevens verwerkt, valt in beginsel onder het toepassingsbereik van de AVG.8 Gecombineerd met een relatief beperkte slagkracht van de AP is het niet altijd mogelijk om onderzoek te doen.9 De AP heeft in januari 2020 aandacht besteed aan de AVG in faillissement in een brief aan INSOLAD over de verwerking van persoonsgegevens in faillissement en ook op haar website hier aandacht aan besteed.10 De AP heeft tot nu toe, voor zover bekend, nog niet gehandhaafd jegens curatoren.

Een onderzoek van de AP kan leiden tot verschillende maatregelen. Deze zijn deels corrigerend en deels sanctionerend.11 Corrigerende maatregelen zijn bijvoorbeeld een bevel om een verzoek van een betrokkene in te willigen, een verwerkingsbeperking of verwerkingsverbod, of een bevel tot rectificeren. De AP kan daarbij een last onder dwangsom opleggen. Dit betekent dat de overtreder een dwangsom moet betalen als de overtreding niet binnen een bepaalde termijn is gestopt.12Artikel 16 UAVG geeft de AP daarnaast de bevoegdheid om een last onder bestuursdwang op te leggen, omdat dit wordt gezien als een effectief middel om overtredingen snel te beëindigen.13 Deze last onder bestuursdwang houdt in dat een verwerkingsverantwoordelijke een termijn krijgt om de overtreding te beëindigen of herstellen. Als daar niet aan wordt voldaan, kan de AP de last zelf ten uitvoer brengen en de gemaakte kosten verhalen op de overtreder. Goed voorstelbaar is dat het niet altijd mogelijk is voor de AP om een gebrek zelf te herstellen. Mogelijk zal in faillissement daarom eerder sprake zijn van dwangsommen dan van bestuursdwang.

De sanctie is een bestuurlijke boete. De AVG spreekt van “administratieve geldboeten”. Een sanctie kan worden opgelegd naast een corrigerende maatregel.14 De AVG laat de ruimte aan de lidstaten om regels te stellen over “andere sancties”,15 maar Nederland heeft hiervan geen gebruik gemaakt.16 De AVG vereist dat boetes die de AP oplegt doeltreffend, evenredig en afschrikwekkend zijn.17

De AVG maakt onderscheid tussen twee categorieën boetes. Bij de lichte categorie gaat het om overtredingen van verplichtingen van de verwerkingsverantwoordelijke en de verwerker, zoals het niet melden van een datalek.18 Bij de zware categorie gaat het om overtredingen van de beginselen inzake de verwerking van persoonsgegevens, de rechten van betrokkenen, de regels inzake doorgifte van gegevens aan derde landen en enkele specifieke andere situaties. Ook de overtreding van een bevel of verwerkingsbeperking door de toezichthouder valt in de zware categorie.19 Bij de lichte categorie kan een boete worden opgelegd van 10 miljoen of 2% van de totale wereldwijde jaaromzet, bij de zware categorie van 20 miljoen of 4% van de totale wereldwijde jaaromzet.

De AP hanteert lagere basisboetes, die bij de zware categorie zijn vastgesteld op €525.000 tot €724.000,20 maar heeft het recht om een hogere boete op te leggen.21 De EDPB heeft concept-boeterichtsnoeren gepubliceerd die ertoe moeten leiden dat de wijze waarop nationale toezichthouders de hoogte van een boete bepalen, wordt geharmoniseerd.22 Dit richtsnoer zal vermoedelijk leiden tot een wijziging van de huidige boetebeleidsregels van de AP. Kort gezegd bevatten de nieuwe boetebeleidsregels van de EDPB vijf stappen om te bepalen hoe hoog een boete moet zijn. Allereerst moet worden vastgesteld hoeveel en welke inbreuken op de AVG hebben plaatsgevonden.23 Vervolgens wordt, in lijn met de nieuwe richtsnoeren, berekend welk boetebedrag als uitgangspunt moet worden genomen. Dit uitgangspunt wordt bepaald aan de hand van drie onderdelen: de aard van de inbreuk,24 de ernst van de inbreuk,25 en de omzet van de onderneming.26 De derde stap is dat eventuele verzwarende of verzachtende factoren in aanmerking moeten worden genomen om het boetebedrag eventueel te verhogen of verlagen.27 Ten vierde moet de gegevensbeschermingsautoriteit kijken of de wettelijke maximumbedragen die bepaald zijn in artikel 83 lid 4 tot en met 6 AVG niet worden overschreden.28 Als laatste moet worden beoordeeld of het eindbedrag leidt tot een doeltreffende, afschrikwekkende en evenredige boete of dat het bedrag nog aangepast dient te worden.29

Toon alle voetnoten

Voetnoten

Voetnoten

Ik laat in dit hoofdstuk in het midden of de AVG zelf daadwerkelijk als bestuursrechtelijke wetgeving kan worden gekwalificeerd. Dat is ook minder relevant, omdat de handhaving door de AP wel als bestuursrechtelijk handhaven wordt gezien. De geldschulden die voortvloeien uit handhaving door de AP zijn dan ook geldschulden die voortvloeien uit bestuursrechtelijke handhaving.

Art. 51 lid 1 AVG jo. Art. 6 UAVG.

Art. 55 en 58 lid 1 sub e AVG.

Art. 58 lid 2, art. 83 en art. 84 AVG. Zie voor een overzicht van alle mogelijkheden van de AP voor onderzoek, handhaving en sancties: ’t Hart 2020a.

Art. 58 AVG en art. 15 UAVG.

Jansen 2015, p. 230-232.

Vgl. Bonthuis 2020, §22.1.

Vgl. Dekkers & Homburg 2004, p. 107.

Kamerstukken II 2020/21, 27529, 240; Barkhuysen 2021.

10.

AP januari 2020; https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-ook-bij-faillissement-moet-privacy-goed-geregeld-zijn.

11.

Corrigerend – art. 58 lid 2 AVG, Sanctionerend – art. 83 en 84 AVG.

12.

De AP had tot augustus 2021 9 keer een last onder dwangsom opgelegd, zie https://www.autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties.

13.

Kamerstukken II 2017/18, 34851, 3, p. 29 en 100. Zulke bijkomende bevoegdheden zijn toegestaan, zie art. 58 lid 6 AVG. De last onder bestuursdwang is geen punitieve sanctie.

14.

Art. 83 lid 2 AVG.

15.

Art. 84 AVG.

16.

Hierbij wordt bijvoorbeeld gedacht aan strafrechtelijke handhaving.

17.

Art. 83 AVG.

18.

Art. 8, 11, 25-39, 42-43 AVG.

19.

Art. 83 lid 5 AVG.

20.

Art. 2.3 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (AP februari 2019). De boetebandbreedte is respectievelijk 300.000-750.000 en 450.000-1.000.000. Andere lidstaten hanteren niet dergelijke bandbreedtes, zie Roerdink & Van de Bunt 2019.

21.

Art. 8.3 en 8.4 Boetebeleidsregels. Zie uitgebreider Nabben & Post Uiterweer 2019.

22.

EDPB 4/2022.

23.

EDPB 4/2022, p. 8-15.

24.

Art. 83 lid 4-6 AVG.

25.

Op grond van art. 83 lid 2 AVG.

26.

Art. 83 lid 1 AVG. EDPB 4/2022, p. 15-24.

27.

EDPB 4/2022, p. 25-32.

28.

EDPB 4/2022, p. 32-37.

29.

EDPB 4/2022, p. 37-39.