Boetes van de Autoriteit Persoonsgegevens met opzet of nalatigheid als voorwaarde?
Het Hof van Justitie van de Europese Unie (hierna: het Hof) heeft 5 december jl. in een persverklaring gesteld dat een boete alleen opgelegd kan worden wanneer de verwerkingsverantwoordelijke op de hoogte is van de onrechtmatige aard van zijn of haar handelen waarbij het zowel kan gaan om opzettelijk handelen als nalaten.[1] Echter, voor overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen weegt de Autoriteit Persoonsgegevens (hierna: AP) deze factoren op dit moment enkel mee bij het bepalen van een verhoging of verlaging van de basisboete (dus achteraf),[2] en niet vooraf om te bepalen of de boete überhaupt opgelegd mag worden.[3]
In sommige gevallen komt de toetsing op de opzettelijke of nalatige aard van de inbreuk zelfs helemaal niet aan bod. Bijvoorbeeld in het geval van de boete van 2 november jl., waarbij de AP een boete van €30.000 oplegde aan de gemeente Voorschoten vanwege het te lang bewaren van ‘stortgegevens’ van huishoudens en het gebrekkig informeren van de betrokkenen over deze verwerking van persoonsgegevens.[4] De gemeente Voorschoten verwijst in haar zienswijze naar een eerder besluit, waarbij de AP in een volgens de gemeente vergelijkbare zaak geen boete oplegt aan de gemeente Arnhem.[5] De AP oordeelt over de vergelijking met het eerdere besluit het volgende:
“Onder het oude regime kon voor de door het Arnhemse college overtreden bepalingen geen boete worden opgelegd zonder dat eerst een bindende aanwijzing was gegeven. Dat uitgangspunt leed slechts uitzondering indien de overtreding opzettelijk was gepleegd of het gevolg was van ernstig verwijtbare nalatigheid. Aan het Arnhemse college was niet eerder een bindende aanwijzing gegeven en evenmin was sprake van opzet of ernstige nalatigheid. Alleen al om die reden kon in die zaak geen boete worden opgelegd. Door het van toepassing worden van de AVG op 25 mei 2018 kunnen de in dit besluit geconstateerde overtredingen wél direct worden beboet.”[6]
Hiermee impliceert de AP dus géén toets vooraf van de opzettelijke of ernstig nalatige aard van de inbreuk voor het opleggen van een boete.[7] Vervolgens gaat de AP ook bij de afweging of de basisboete omhoog of omlaag moet worden bijgesteld, voorbij aan de toetsing van de opzettelijke of nalatige aard van de inbreuk.[8] Hierdoor lijkt het huidige boetebeleid van de AP tegenstrijdig te zijn met de nieuwe uitleg van het Hof over de toets vóóraf. Zullen boetes voortaan wél onder voorwaarde van opzet of nalatigheid plaatsvinden?
[1] Judgments of the Court in Cases C-683/21 | Nacionalinis visuomenės sveikatos centras and C-807/21 | Deutsche Wohnen.
[2] Artikel 7 en 8 (b) Boetebeleidsregels Autoriteit Persoonsgegevens 2023.
[3] Zoals artikel 83 lid 2(b) AVG wel voorschrijft.
[4] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.
[5] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.1.
[6] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.3. Gemeente Voorschoten stelt: “Ook daar ging het om het te lang bewaren van persoonsgegevens in het kader van de uitvoering van het afvalbeleid. In die zaak heeft de AP een last onder dwangsom opgelegd om de overtreding te beëindigen.”
[7] Met de passage “Alleen al om die reden” suggereert de AP dat er nog meer redenen zouden zijn, maar deze worden inhoudelijk niet aangedragen. Bovendien concludeert de AP vervolgens dat zij geen aanleiding ziet om nu van een boete af te zien, in de enkele omstandigheid dat in het verleden geen bestuurlijke boete kon worden opgelegd vanwege het toen geldende boeteregime.
[8] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.