Beleidsregels van de Autoriteit Persoonsgegevens van 6 juni 2023 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2023)

Artikel 1 Definities In deze beleidsregels wordt verstaan onder: a. Autoriteit Persoonsgegevens: artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming de Autoriteit persoonsgegevens, bedoeld in; b. basisboete: paragraaf 2.6 het bedrag dat de basis vormt voor het bepalen van de hoogte van een op te leggen bestuurlijke boete, vastgesteld binnen de bandbreedte van de aan een overtreding gekoppelde boetecategorie, voordat toepassing is gegeven aan; c. betrokkene: degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 4, onder 1, van de Algemene verordening gegevensbescherming; d. recidive: artikel 15.4, vijfde lid, van de Telecommunicatiewet de omstandigheid dat de Autoriteit Persoonsgegevens of een rechterlijke instantie reeds eerder onherroepelijk eenzelfde of een vergelijkbare door de overtreder begane overtreding heeft vastgesteld, zulks behoudens het bepaalde in. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 2 Toepassingsbereik bij overtredingen van de Algemene verordening gegevensbescherming Deze beleidsregels zijn niet van toepassing op de vaststelling van bestuurlijke boetes voor overtredingen van de Algemene verordening gegevensbescherming waarop reeds de richtsnoeren van het Europees Comité voor gegevensbescherming 04/2022 van toepassing zijn. Ingeval de richtsnoeren 04/2022 toepasselijk zijn, dan hanteert de Autoriteit Persoonsgegevens deze bij de berekening van bestuurlijke boetes voor overtredingen van de Algemene verordening gegevensbescherming. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 3 Categorie-indeling en boetebandbreedtes 3.1 bijlage 1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn iningedeeld in categorie I, categorie II of categorie III. 3.2 bijlage 2 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn iningedeeld in categorie I, categorie II, categorie III of categorie IV. 3.3 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, dan wel € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, vast binnen de volgende boetebandbreedtes: Categorie I Boetebandbreedte tussen € 0 en € 200.000 Basisboete: € 100.000 Categorie II Boetebandbreedte tussen € 120.000 en € 500.000 Basisboete: € 310.000 Categorie III Boetebandbreedte tussen € 300.000 en € 750.000 Basisboete: € 525.000 Categorie IV Boetebandbreedte tussen € 450.000 en € 1.000.000 Basisboete: € 725.000 3.4 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 4 Categorie-indeling en boetebandbreedtes 4.1 bijlage 3 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van € 900.000 kan opleggen, zijn iningedeeld in categorie I, categorie II of categorie III. 4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 900.000 vast binnen de volgende boetebandbreedtes: Categorie I Boetebandbreedte tussen € 0 en € 250.000 Basisboete: € 125.000 Categorie II Boetebandbreedte tussen € 150.000 en € 600.000 Basisboete: € 375.000 Categorie III Boetebandbreedte tussen € 350.000en € 900.000 Basisboete: € 625.000 4.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 5 Categorie-indeling en boetebandbreedtes 5.1 artikel 23, vierde lid, van het Wetboek van Strafrecht bijlage 4 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie vankan opleggen, zijn iningedeeld in categorie I, categorie II of categorie III. 5.2 artikel 23, vierde lid, van het Wetboek van Strafrecht De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van de zesde categorie vanvast binnen de volgende boetebandbreedtes: Categorie I Boetebandbreedte tussen € 0 en € 200.000 Basisboete: € 100.000 Categorie II Boetebandbreedte tussen € 120.000 en € 500.000 Basisboete: € 310.000 Categorie III Boetebandbreedte tussen € 300.000 (A) en het bedrag genoemd in de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (B) Basisboete: (A+B) / 2 5.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 6 Categorie-indeling en boetebandbreedtes 6.1 artikel 23, vierde lid, van het Wetboek van Strafrecht bijlage 5 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de vijfde categorie vankan opleggen, zijn iningedeeld in categorie I, categorie II of categorie III. 6.2 artikel 23, vierde lid, van het Wetboek van Strafrecht De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van de vijfde categorie vanvast binnen de volgende boetebandbreedtes: Categorie I Boetebandbreedte tussen € 0 en € 25.000 Basisboete: € 12.500 Categorie II Boetebandbreedte tussen € 15.000 en € 50.000 Basisboete: € 32.500 Categorie III Boetebandbreedte tussen € 30.000 (A) en het bedrag genoemd in de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (B) Basisboete: (A+B) / 2 6.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 7 De basisboete en mogelijke verhoging of verlaging artikel 8 De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd indaartoe aanleiding geven. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 8 Relevante factoren artikelen 3:4 5:46 van de Algemene wet bestuursrecht Onverminderd deenhoudt de Autoriteit Persoonsgegevens rekening met de factoren genoemd onder a tot en met k, voor zover in het concrete geval van toepassing: a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b) de opzettelijke of nalatige aard van de inbreuk; c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de Algemene verordening gegevensbescherming; e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker; f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld; i) de naleving van de in artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de Algemene verordening gegevensbescherming; en k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 9 Buiten de bandbreedte treden 9.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen. 9.2 artikel 8, onder e artikel 15.4, vijfde lid, van de Telecommunicatiewet In aanvulling op, van deze beleidsregels en behoudens het bepaalde inhanteert de Autoriteit Persoonsgegevens het uitgangspunt om in geval van recidive de boete met 50% te verhogen, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 10 Draagkracht Bij het vaststellen van de boete houdt de Autoriteit Persoonsgegevens zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert. In geval van verminderde of onvoldoende draagkracht van de overtreder kan de Autoriteit artikelen 7 9.1 Persoonsgegevens de op te leggen boete verdergaand matigen, indien, na toepassing van deenvan de beleidsregels, vaststelling van een boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 11 Boete bij meerdere overtredingen Ingeval van meerdere overtredingen met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten is de totale boete niet hoger dan het wettelijk boetemaximum van de zwaarste overtreding. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 12 Overgangsbepaling Uitvoeringswet Algemene verordening gegevensbescherming Boetebeleidsregels Autoriteit Persoonsgegevens 2016 artikel 2 Op overtredingen ten aanzien waarvan de Autoriteit Persoonsgegevens vaststelt dat ze zijn begaan voorafgaand aan het van toepassing worden van de Algemene verordening gegevensbescherming en de inwerkingtreding van deop 25 mei 2018, wordt ten aanzien van de periode vóór dat tijdstip rekening gehouden met de, zoals deze golden voorafgaand aan dat tijdstip. Het voorgaande laat onverlet de toepasselijkheid van de richtsnoeren van het Europees Comité voor gegevensbescherming 04/2022 in de gevallen waarop die richtsnoeren betrekking hebben (vergelijkvan deze beleidsregels). 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 13 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 Intrekking Boetebeleidsregels Autoriteit Persoonsgegevens 2019 Deworden ingetrokken. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 14 Inwerkingtreding Deze beleidsregels treden in werking met terugwerkende kracht per 24 mei 2023. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 15 Citeertitel Deze beleidsregels worden aangehaald als: Boetebeleidsregels Autoriteit Persoonsgegevens 2023. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

Artikel 16 Bekendmaking Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst. 2023 34541 12-12-2023 06-06-2023 34541-n1 12-12-2023 2023 34541 12-12-2023 06-06-2023 12-12-2023 24-05-2023

artikel 3

artikel 3

artikel 4

artikel 5

artikel 6