Artikel 83 - Algemene voorwaarden voor het opleggen van administratieve geldboeten
- 1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.
-
2.
Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:
- a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
- b) de opzettelijke of nalatige aard van de inbreuk;
- c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
- d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;
- e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
- f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
- g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
- h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
- i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
- j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en
- k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.
- 3. Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.
-
4.
Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10.000.000,00 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:
- a) de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43;
- b) de verplichtingen van het certificeringsorgaan overeenkomstig de artikelen 42 en 43;
- c) de verplichtingen van het toezichthoudend orgaan overeenkomstig artikel 41, lid 4.
-
5.
Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20.000.000,00 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:
- a) de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;
- b) de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22;
- c) de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49;
- d) alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteldrecht;
- e) niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of niet-verlening van toegang in strijd met artikel 58, lid 1.
- 6. Niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, lid 2, is overeenkomstig lid 2 van dit artikel onderworpen aan administratieve geldboeten tot 20.000.000,00 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.
- 7. Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.
- 8. De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dit artikel is onderworpen aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijke recht, waaronder een doeltreffende voorziening in rechte en eerlijke rechtsbedeling.
- 9. Wanneer het rechtsstelsel van de lidstaat niet voorziet in administratieve geldboeten, kan dit artikel aldus worden toegepast dat geldboeten worden geïnitieerd door de bevoegde toezichthoudende autoriteit en opgelegd door bevoegde nationale gerechten, waarbij wordt gewaarborgd dat deze rechtsmiddelen doeltreffend zijn en eenzelfde effect hebben als de door toezichthoudende autoriteiten opgelegde administratieve geldboeten. De boeten zijn in elk geval doeltreffend, evenredig en afschrikkend. Die lidstaten delen de Commissie uiterlijk op 25 mei 2018 de wetgevingsbepalingen mee die zij op grond van dit lid vaststellen, alsmede onverwijld alle latere wijzigingen daarvan en alle daarop van invloed zijnde wijzigingswetgeving.
Relevante overwegingen
Er zijn geen overwegingen gevonden bij deze bepaling.
Jurisprudentie Hof van Justitie van de EU
| Zaak-nr. | Arrest |
|---|---|
| C-807/21 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| C-683/21 |
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos tegen Valstybinė duomenų apsaugos inspekcija Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punten 2 en 7 – Begrippen ‚verwerking’ en ‚verwerkingsverantwoordelijke’ – Ontwikkeling van een mobiele IT-applicatie – Artikel 26 – Gezamenlijke verwerkingsverantwoordelijkheid – Artikel 83 – Oplegging van administratieve geldboeten – Voorwaarden – Vereiste dat de inbreuk opzettelijk of uit nalatigheid is begaan – Verantwoordelijkheid van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker |
| Bepaling | Arrest(en) |
|---|---|
| Artikel 83 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos tegen Valstybinė duomenų apsaugos inspekcija Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punten 2 en 7 – Begrippen ‚verwerking’ en ‚verwerkingsverantwoordelijke’ – Ontwikkeling van een mobiele IT-applicatie – Artikel 26 – Gezamenlijke verwerkingsverantwoordelijkheid – Artikel 83 – Oplegging van administratieve geldboeten – Voorwaarden – Vereiste dat de inbreuk opzettelijk of uit nalatigheid is begaan – Verantwoordelijkheid van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker |
| Artikel 83, lid 1 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| Artikel 83, lid 2 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| Artikel 83, lid 3 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| Artikel 83, lid 4 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| Artikel 83, lid 5 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| Artikel 83, lid 6 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
Sanctie-besluiten en EDPB-richtsnoeren
| Datum publicatie | Document |
|---|---|
| 3 september 2024 |
Besluit boete Clearview AI Biometrie; Persoonsgegevens op internet - De Autoriteit Persoonsgegevens (AP) legt Clearview AI een boete op van 30,5 miljoen euro en dwangsommen met een maximum van ruim 5 miljoen euro. Clearview is een Amerikaans bedrijf dat gezichtsherkenningsdiensten aanbiedt. Clearview heeft onder meer illegaal een database aangelegd met miljarden foto’s van gezichten, waaronder van Nederlanders. De AP waarschuwt dat het ook verboden is om de diensten van Clearview te gebruiken. Lees verder: AP legt…. |
| 16 juli 2024 |
Besluit boete AS Watson - Kruidvat Cookies; Big data en profilering - De Autoriteit Persoonsgegevens (AP) heeft een boete van 600. 000 euro opgelegd aan het bedrijf achter drogisterij Kruidvat. De reden voor de boete is dat het bedrijf bezoekers van Kruidvat. nl volgde met tracking cookies, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven. Het bedrijf verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers. Het bedrijf achter Kruidvat, AS Watson (Health…. |
| 31 januari 2024 |
Boete Uber privacyrechten Privacyrechten AVG; Doorgifte binnen en buiten de EER; Personeelsgegevens - De Autoriteit Persoonsgegevens (AP) legt Uber Technologies Inc. en Uber B. V. (hierna: Uber) een boete van 10 miljoen euro op, omdat het bedrijf onvoldoende openheid van zaken heeft gegeven over hoe lang het bedrijf gegevens van Europese chauffeurs bewaarde en naar welke landen buiten Europa deze werden doorgestuurd. Ook maakte Uber het chauffeurs moeilijk om hun privacyrechten uit te oefenen. De AP heeft de…. |
| 16 januari 2024 |
Boete ICS Financiële ondernemingen; Praktisch AVG - De Autoriteit Persoonsgegevens (AP) legt International Card Services B. V. (ICS) een boete op van 150. 000 euro. ICS gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplichte DPIA deed, een analyse waarmee mogelijke privacyrisico’s in kaart worden gebracht. ICS overtrad daardoor de privacywet, de Algemene verordening gegevensbescherming (AVG). Lees verder: Boete voor creditcardbedrijf ICS…. |
| 19 mei 2021 |
Boete CP&A verzuimregistratie Zieke werknemers; Personeelsgegevens; Personeelsgegevens; Gezondheidsgegevens gebruiken en delen - De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van 15. 000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Bovendien was de verzuimregistratie onvoldoende beveiligd. CP&A heeft de…. |
| 11 mei 2021 |
Boete datalek PVV Overijssel Datalekken; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) heeft de PVV Overijssel een boete opgelegd van 7. 500 euro. De PVV Overijssel krijgt deze boete omdat de partij een datalek niet heeft gemeld bij de AP. Door dit datalek zijn politieke opvattingen van mensen gelekt. Lees verder: Boete PVV Overijssel vanwege niet melden datalek. 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den Haag T 070 8888 500 - F 070…. |
| 29 november 2018 |
Boete Uber datalek De Autoriteit Persoonsgegevens (AP) heeft Uber een boete van 600. 000 euro opgelegd voor het overtreden van de meldplicht datalekken. In 2016 vond een datalek bij het Uber-concern plaats waarbij onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs kregen. Het Uber-concern krijgt de boete omdat het de AP en betrokkenen niet binnen 72 uur na het ontdekken van het lek heeft geïnformeerd. Wereldwijd werden ruim 57 miljoen Uber-gebruikers getroffen door dit datalek, onder wie…. |
| 18 december 2024 |
Boete Netflix Privacyrechten AVG; Internationale samenwerking - Netflix gaf klanten tussen 2018 en 2020 niet genoeg informatie over wat het bedrijf met hun persoonsgegevens doet. En de informatie die Netflix wel gaf, was op sommige punten onoverzichtelijk. De Autoriteit Persoonsgegevens (AP) legt de streamingdienst daarom een boete op van 4,75 miljoen euro. Netflix heeft inmiddels haar privacyverklaring geüpdatet en de informatievoorziening verbeterd. Lees verder: Boete Netflix voor niet goed informeren…. |
| 24 december 2024 |
Besluit op bezwaar boete Coolblue Cookies - De Autoriteit Persoonsgegevens (AP) heeft een boete van 40. 000 euro opgelegd aan Coolblue voor het onrechtmatig verwerken van persoonsgegevens in 2020. Het bedrijf verzamelde destijds via cookies persoonsgegevens van bezoekers van de webshop, zonder dat die daar expliciet mee akkoord waren gegaan. Coolblue ging er automatisch van uit dat bezoekers ermee instemden. Dat mag niet. Lees verder: Boete voor Coolblue voor het ongevraagd gebruiken van cookies 1 Autoriteit…. |
| 6 december 2023 |
Boetebeleidsregels Autoriteit Persoonsgegevens 2023 AVG algemeen - Met de boetebeleidsregels berekent de Autoriteit Persoonsgegevens (AP) de hoogte van boetes voor overtredingen van de Algemene verordening gegevensbescherming (AVG) door overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen. De boetebeleidsregels zijn niet van toepassing op bedrijven die de AVG overtreden. De hoogte van boetes voor bedrijven berekent de AP met de Fining guidelines van de EDPB. Let op: Ook voor ziekenhuizen en particuliere scholen…. |
| 22 november 2023 |
Woo-stukken 2023-223656: Boete vanwege vingerafdrukscan werknemers Biometrie; Controle van werknemers - De Autoriteit Persoonsgegevens (AP) maakt informatie over een boete openbaar naar aanleiding van een verzoek op grond van de Wet open overheid (Woo-verzoek). De Woo-stukken gaan over een beslissing op bezwaar. In 2019 legde de AP een boete op aan een organisatie die biometrische gegevens (scans van vingerafdrukken) van werknemers verwerkte. De organisatie maakte bezwaar tegen deze boete. Hierop verlaagde de AP de boete. Zie ook het Woo-besluit over deze…. |
- Inhoudsopgave
- Tekst van artikel 83
- Relevante overwegingen
- Arresten Hof van Justitie 2
- Besluiten en richtsnoeren 11
- Bijdragen?