Huidige systematiek: vaak eerst bindende aanwijzing vereist
Op schending van het privacyrecht staat nu boetes tot 820.000 euro of 10% van de jaaromzet. Die boete kan echter alleen worden opgelegd bij opzet of ernstig verwijtbare nalatigheid. In andere gevallen is eerst een bindende aanwijzing van de Autoriteit Persoonsgegevens vereist en kan de boete pas worden opgelegd voor het niet opvolgen van die bindende aanwijzing (gek genoeg dan zowel voor de primaire overtreding, als voor het niet opvolgen van die aanwijzing).
Waar precies de grens ligt van die opzet of nalatigheid en welke situaties (dus) kwalificeren om direct een boete op te leggen is onduidelijk. De wetsgeschiedenis bevat nauwelijks voorbeelden van situaties waar een boete volgens de wetgever zou passen. Uit de wetsgeschiedenis blijkt wel dat niet aangetoond hoeft te worden dat de dader opzet had op het overtreden van de wet. Of het daar in de praktijk veel helderder van wordt is natuurlijk maar de vraag. Ik vermoed dat de Autoriteit Persoonsgegevens vanwege die huidige drempels de boetebevoegdheid terughoudend zal gebruiken.
Toekomstige situatie: geen formele drempels voor boete
Vanaf 25 mei 2018 is de algemene verordening gegevensbescherming (AVG), of kortweg privacyverordening, van kracht. Op grond van deze verordening kunnen de volgende boetes worden opgelegd:
- een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
- een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
- een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
- een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).
De onder 3 genoemde boete lijkt wel sterk op de systematiek van de "bindende aanwijzing" die nu in de Wbp staat.
Verder valt op dat in de privacyverordening er geen formele drempels zijn opgenomen voor het opleggen van een boete. Wel bepaalt artikel 83 lid 2 AVG, kort gezegd, dat bij het opleggen van een boete rekening moet worden gehouden met alle omstandigheden van het geval.
Grenzen boetebevoegdheid
Dat wil niet zeggen dat er geen grenzen zijn aan de boetebevoegdheid van de AP. Het opleggen van een boete is een 'criminal charge' als bedoeld in artikel 6 EVRM / artikelen 47-50 Handvest EU. Dat betekent onder meer dat de onschuldspresumptie uitgangspunt is, de bewijslast (dus) volledig bij de AP ligt en de rechter het bewijs en de redelijkheid van de boete volledig kan toetsen. Dat is overigens bij de huidige boetebevoegdheid uiteraard ook al zo.
Internetconsulatie Nederlandse uitvoeringswetgeving
Daar komt nog iets bij. Onlangs is de concept uitvoeringswet behorende bij de AVG in internetconsultatie gegaan. Deze UAVG geeft zowel aanvullende regels over de verwerking van persoonsgegevens die alleen in Nederland gelden, als procedurele regels over het bestaan en de bevoegdheden van de Autoriteit Persoonsgegevens.
In de memorie van toelichting bij dit document is een opmerkelijk passage opgenomen over de boetebevoegdheid van de Autoriteit Persoonsgegevens. De regering stelt dat het niet noodzakelijk is de AP van een boetebevoegdheid te voorzien, buiten de reeds door de AVG toegekende boetebevoegdheden, omdat een last onder dwangsom en bestuursdwang volstaan. Zie het citaat:
In de praktijk blijken de last onder bestuursdwang en de last onder dwangsom effectieve middelen te zijn om overtredingen op de regels inzake bescherming van persoonsgegevens snel te beëindigen. Een administratieve boete is in dat geval niet noodzakelijk.
De regering lijkt dus niet zo enthousiast te zijn om de AP verdere boetebevoegdheden toe te kennen. Mogelijk dat dit in toekomstige procedure nog wordt aangegrepen om te betogen dat de AP ten onrechte voor het zware middel van een boete heeft gekozen en niet voor een lichter middel als last onder dwangsom.
Verschillende rechtsordes of toch niet?
Overigens roept het in internetconsultatie gegeven wetsvoorstel wel enkele vragen op, met name over de samenhang met nationaal recht. Zo bevat de toelichting enerzijds de tekst dat de verordening voor gaat op nationaal recht:
Bepalingen van Unierecht werken rechtstreeks door in de Nederlandse rechtsorde en gaan boven het nationale recht, dus ook de Grondwet. Het bestaande nationale recht, inclusief de Grondwet, dient conform het Unierecht te worden uitgelegd. Op terreinen waarop de verordening voorziet in regelgeving staat dit in de weg aan het stellen van nationale wetgeving.
Ergens anders staat echter ook dat het nationale bestuursrecht nog steeds van belang blijft:
3.1.2 De inbedding van de Autoriteit in het algemene bestuursrecht
Voor een belangrijk deel worden de taken en bevoegdheden van de toezichthoudende autoriteit bepaald door de verordening. De Autoriteit persoonsgegevens blijft daarnaast echter, als toezichthouder in de zin van artikel 5:11 van de Awb, onverminderd vallen onder de regels van het algemene bestuursrecht bij het houden van toezicht. Hoofdstuk 5, in het bijzonder de titels 5.2 tot en met 5.4, van de Awb is dan ook onverminderd relevant voor de toezichtsactiviteiten van de Autoriteit. Voor de richtlijn is dit a fortiori het geval.
Enerzijds klinkt dit laatste logisch, anderzijds roept het allerlei vragen op. Dat komt met name omdat de privacyverordening zelf een uitgebreid stelsel van bevoegdheden en procedureregels introduceert. Indachtig het eerste hiervoor aangehaalde citaat, zou je denken dat die nieuwe regels allemaal voorgaan op al hetgeen al in de Algemene wet bestuursrecht (en andere nationale wetgeving) staat vermeld. Ook het bestaan van de boetebevoegdheid in de privacyverordening wegens het niet naleven van een aanwijzing wijst in die richting (de hierboven als punt 3 aangehaalde boetemogelijkheid). Ook de tekst van artikel 78 AVG, waarin staat dat "onverminderd" andere mogelijkheden van beroep het recht bestaat een besluit van de Autoriteit in rechte aan te vechten, wijst op een soort (begin van) AVG-procesrecht.
De in consultatie gegeven wetstekst staat daar verder nauwelijks bij stil en lijkt aan te nemen dat straks "gewoon" de Awb blijft gelden voor de Autoriteit. Ik ben benieuwd hoe andere hierover denken. Ook in deze meer procedurele discussie zitten namelijk mogelijk grenzen aan de bevoegdheden van de Autoriteit Persoonsgegevens.
Ten slotte
Tot zover dit kleine uitstapje naar het staatsrecht, terug naar de eigenlijke aanleiding van het bericht. Worden de boetes onder de verordening straks hoger dan onder de huidige wetgeving? Dat is maar zeer de vraag, al was het maar omdat zowel nu als straks geldt dat boetes evenredig moeten zijn (nog los van het feit dat op het moment van schrijven voor zover bekend onder de Wbp nog geen boetes zijn opgelegd). Het enkele feit dat het boetemaximum omhoog gaat, maakt natuurlijk nog niet dat het evenredig is een hogere boete op te leggen.
Heeft u vragen over het privacyrecht? Neem dan contact met mij op.
Mark Jansen, advocaat IT- en privacyrecht
