De European Data Protection Board (EDPB), de koepelorganisatie waarin alle Europese privacytoezichthouders zijn vertegenwoordigd, heeft nieuwe regels vastgesteld om overtredingen van de Algemene Verordening Gegevensbescherming (AVG) te berekenen. Doel daarvan is dat alle toezichthouders voortaan op dezelfde manier de hoogte van boetebedragen berekenen. De nieuwe regels treden direct in werking. Dat melden de Autoriteit Persoonsgegevens en EDPB in een persverklaring. De nieuwe spelregels zijn vastgelegd in de ‘Fining Goudelines’.
Tot nu toe hanteerde iedere toezichthouder in de EU zijn eigen regels. Daardoor kon het gebeuren dat een bedrijf in het ene land zwaarder werd gestraft voor een overtreding dan in een ander land. Door de berekening van de boetes gelijk te trekken, worden bedrijven en organisaties bij vergelijkbare overtredingen op dezelfde manier behandeld. Tevens kunnen toezichthouders elkaar beter controleren en op eventuele foutieve berekeningen wijzen.
Het vernieuwde boetebeleid verschilt op drie punten met de regels die de Autoriteit Persoonsgegevens tot nu toe hanteerde. Om te beginnen speelt de omzet van een bedrijf een grotere rol bij de bepaling van het boetebedrag. Onder het oude regime werd daar weliswaar ook wel rekening mee gehouden, maar gebeurde dat pas aan het eind van de boeteberekening. Voortaan gebeurt dit aan het begin.
In de nieuwe richtlijnen kunnen bedrijven zien welk bedrag de privacywaakhond als uitgangspunt hanteert voor de berekening van een boete. De omzet van het moederbedrijf wordt eveneens meegenomen in het boetebesluit.
Het tweede punt waarop de nieuwe boeteregels verschillen met de oude, is dat toezichthouders voortaan drie categorieën gebruiken om de ernst van een privacyovertreding te bepalen: laag, midden en hoog. Voor iedere categorie geldt een ander startbedrag van de boete.
Tot slot hanteren toezichthouders voortaan een bandbreedte om de hoogte van het startbedrag te bepalen. Het startbedrag kan vervolgens met deze bandbreedte worden verhoogd of verlaagd. Dat is onder meer afhankelijk van eventuele verzachtende omstandigheden, bijvoorbeeld als een bedrijf er alles aan heeft gedaan om de gevolgen van een overtreding voor de slachtoffers te beperken. Als een bedrijf vaker voor dezelfde overtreding is veroordeeld, kan dat aanleiding zijn om het startbedrag van de boete te verhogen.
Wat niet verandert is dat de boetebedragen kunnen oplopen tot maximaal 20 miljoen euro, of 4 procent van de wereldwijde omzet van een bedrijf, afhankelijk van welk bedrag hoger is.
De nieuwe boeteregels zijn direct van kracht. Dat geldt niet alleen voor nieuwe zaken, maar ook lopende zaken. De nieuwe regels gelden alleen voor bedrijven, omdat niet alle toezichthouders boetes mogen opleggen aan overheden. Voor overheidsinstanties gelden voorlopen nog de oude boetebeleidsregels. Op Europees verband wordt gekeken welke regels toezichthouders in de toekomst willen hanteren voor overheidsorganisaties.