Welke straf kunnen organisaties krijgen die de privacywetgeving overtreden?

Wie die regels overtreedt, kan een boete krijgen. De maximale boete is € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet als het om een grote onderneming gaat.

De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing. De AP kan een boete opleggen aan organisaties die de Algemene verordening gegevensbescherming (AVG) overtreden. Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. De AP kan organisaties die de AVG overtreden een last onder dwangsom opleggen. De AP kan een verwerkingsverbod opleggen. De AP kan een organisatie een berisping geven wanneer die organisatie inbreuk maakt op de AVG. De AP legt een berisping op als dat passender is dan een bestuurlijke boete. De AP kan een formele waarschuwing geven over een voorgenomen verwerking. Dat is een verwerking die een organisatie van plan is te gaan doen.

De belangrijkste boetes en sancties die het AP kan opleggen zijn: De AP boete: organisaties hebben onder de AVG bepaalde verplichtingen, zoals bijvoorbeeld de verplichting om een verwerkingsregister bij te houden. Komt een organisatie (één van) deze verplichtingen niet na? Dan kan de AP een boete AVG opleggen van maximaal € 10.000.000 of 2% van de wereldwijde jaaromzet als dit bedrag hoger uitkomt. Overtreedt een organisatie de beginselen of grondslagen van de AVG en de privacyrechten van de betrokkenen? Dan kan de AP een boete AVG opleggen van maximaal € 20.000.000 of 4% van de wereldwijde jaaromzet als dit bedrag hoger uitkomt. De last onder dwangsom: een last onder dwangsom is een herstelsanctie om een overtreding te beëindigen en daarbij een verplichting tot betaling van een geldsom op te leggen. Als je als organisatie de overtreding niet tijdig beëindigd, moet je deze geldsom voldoen. Het verwerkingsverbod: met een verwerkingsverbod bepaalt de AP dat een organisatie bepaalde (categorieën van) persoonsgegevens niet (langer) mag verwerken. De berisping: met een berisping stelt de AP een inbreuk vast en daarbij geeft het AP aan dat deze wordt afgekeurd. Een berisping wordt vaak opgelegd voor kleine inbreuken. Of daarvan sprake is, beoordeelt de AP aan de hand van de feiten en omstandigheden van het geval. Een waarschuwing: doormiddel een waarschuwingsbrief kan de AP een formele waarschuwing geven over een voorgenomen verwerking.