Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

Versie 2.1

Vastgesteld op 24 mei 2023

Versiegeschiedenis

Versie 1.0	12 mei 2022	Vaststelling van de richtsnoeren voor openbare raadpleging
Versie 2.0	24 mei 2023	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 2.1	29 juni 2023	Kleine correctie

SAMENVATTING

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opgelegd.

Het is aan de toezichthoudende autoriteit om het bedrag van de geldboete te berekenen, waarbij zij zich moet houden aan de regels van de AVG. In dit verband schrijft de AVG voor dat het bedrag van de geldboete in elk individueel geval doeltreffend, evenredig en afschrikkend moet zijn (artikel 83, lid 1, AVG). Bovendien moeten de toezichthoudende autoriteiten bij het vaststellen van het bedrag van de geldboete naar behoren rekening houden met een lijst van omstandigheden die verwijzen naar kenmerken van de inbreuk (de zwaarte ervan) of van de aard van de pleger (artikel 83, lid 2, AVG). Tot slot mag het bedrag van de geldboete niet hoger zijn dan de maximumbedragen die zijn vastgesteld in artikel 83, leden 4, 5 en 6, AVG. De kwantificering van het bedrag van de geldboete is dan ook gebaseerd op een specifieke evaluatie die per geval wordt verricht, binnen de in de AVG opgenomen parameters.

Rekening houdend met het bovenstaande heeft de EDPB de volgende methode, bestaande uit vijf stappen, uitgewerkt voor het berekenen van administratieve geldboeten voor inbreuken op de AVG.

In de eerste stap moeten de verwerkingsactiviteiten in het geval in kaart worden gebracht en moet de toepassing van artikel 83, lid 3, AVG worden geëvalueerd ( hoofdstuk 3 ). In de tweede stap moet het uitgangspunt voor de verdere berekening van het bedrag van de geldboete worden bepaald ( hoofdstuk 4 ). Dat gebeurt door middel van een beoordeling van de indeling van de inbreuk op grond van de AVG, een beoordeling van de zwaarte van de inbreuk in het licht van de omstandigheden van het geval en een beoordeling van de omzet van de onderneming. In de derde stap wordt nagegaan of er verzwarende en verzachtende omstandigheden in verband met vroeger of huidig gedrag van de verwerkingsverantwoordelijke/verwerker zijn en wordt de geldboete dienovereenkomstig verhoogd of verlaagd ( hoofdstuk 5 ). In de vierde stap worden de relevante wettelijke maximumbedragen voor de verschillende inbreuken vastgesteld. Dit maximumbedrag mag niet worden overschreden als gevolg van in voorgaande of volgende stappen toegepaste verhogingen ( hoofdstuk 6 ). Tot slot moet worden nagegaan of het berekende eindbedrag doeltreffend, afschrikkend en evenredig is. De geldboete kan nog steeds dienovereenkomstig worden aangepast ( hoofdstuk 7 ), waarbij het relevante wettelijke maximumbedrag echter niet mag worden overschreden.

Bij alle bovengenoemde stappen moet in gedachten worden gehouden dat de berekening van een geldboete niet alleen een mathematische exercitie is. Integendeel, de omstandigheden van het specifieke geval zijn de bepalende factoren die leiden tot het eindbedrag, dat in alle gevallen elk bedrag kan zijn tot en met het wettelijke maximumbedrag.

Deze richtsnoeren en de daarin beschreven methode zullen voortdurend door de EDPB worden geëvalueerd.

Inhoudsopgave

SAMENVATTING ......................................................................................................................................3
HOOFDSTUK 1 -INLEIDING .....................................................................................................................6
1.1 -Rechtskader .....................................................................................................................................................6
1.2 -Doelstelling ......................................................................................................................................................7
1.3 -Toepassingsgebied ...........................................................................................................................................8
1.4 -Toepasselijkheid ...............................................................................................................................................8
HOOFDSTUK 2 -METHODEVOOR HET BEREKENEN VAN HET BEDRAG VAN DE GELDBOETE ..........................8
2.1 -Algemene overwegingen ..................................................................................................................................8
2.2 -Overzicht van de methode .............................................................................................................................9
2.3 -Inbreuken met vaste bedragen	.......................................................................................................................9
HOOFDSTUK 3 -SAMENLOOP VAN INBREUKEN EN DE TOEPASSING VAN ARTIKEL 83, LID 3, AVG ................10
3.1-Eén inbreuk makende gedraging ....................................................................................................................13
3.1.1 -Samenloop van inbreuken ...........................................................................................................................14
3.1.2 -Eenheid van handelingen -artikel 83, lid 3, AVG .....................................................................16
3.2 -Meerdere inbreuk makende gedragingen .......................................................................................................17
HOOFDSTUK 4 -UITGANGSBEDRAG VOOR DE BEREKENING .....................................................................18
4.1 -Indeling van inbreuken op grond van artikel 83, leden 4 tot en met 6, AVG ....................................................19
4.2 -Zwaarte van de inbreuk in elk individueel geval ..............................................................................................19
4.2.1 -Aard, ernst en duur van de inbreuk ...........................................................................................19
4.2.2 -Opzettelijke of nalatige aard van de inbreuk .............................................................................21
4.2.3 -Categorieën van persoonsgegevens waarop de inbreuk betrekking heeft .................................22
4.2.4 -Indeling van de zwaarte van de inbreuk en vaststelling van het passende uitgangsbedrag .......23
4.3 -Omzet van de onderneming met het oog op het opleggen van een doeltreffende, afschrikkende en evenredige geldboete .........................................................................................................................................................26
HOOFDSTUK 5 -VERZWARENDE EN VERZACHTENDE OMSTANDIGHEDEN .................................................29
5.1 -Vaststelling van verzwarende en verzachtende factoren .................................................................................29
5.2 -Dedoor de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken .............................................................................................................................29
5.3-Mate van verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker ..................................30
5.4 -Eerdere inbreuken door de verwerkingsverantwoordelijke of de verwerker .................................................30
5.4.1 -Tijdschema ................................................................................................................................31
5.4.2 -Onderwerp ................................................................................................................................31
5.4.3 -Andere overwegingen ...............................................................................................................31
5.5-Demate waarin er met de toezichthoudende autoriteit is samengewerktom de inbreuk te verhelpen en mogelijke negatieve gevolgen daarvan te beperken ..........................................................................................32	de
5.6 -Dewijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk .................................33
5.7 -Naleving van maatregelen die eerder met betrekking tot dezelfde aangelegenheid zijn genomen ..................33

5.8 -Hetaansluiten bij goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen ........................34 5.9 -Andere verzwarende en verzachtende omstandigheden ................................................................................34
HOOFDSTUK 6 -WETTELIJK MAXIMUMBEDRAG EN AANSPRAKELIJKHEID VAN RECHTSPERSONEN ...............38
6.1 -Vaststelling van het wettelijke maximumbedrag .............................................................................................38
6.1.1 -Statische maximumbedragen ....................................................................................................38
6.1.2 -Dynamische maximumbedragen ...............................................................................................38
6.2 -Bepaling van de omzet van de onderneming en aansprakelijkheid van rechtspersonen ..................................40
6.2.1 -Omschrijving van een onderneming en aansprakelijkheid van rechtspersonen .........................40
6.2.2 -Bepaling van de omzet ..............................................................................................................42
HOOFDSTUK 7 -DOELTREFFENDHEID, EVENREDIGHEID EN AFSCHRIKKEND EFFECT ...................................43
7.1 -Doeltreffendheid ............................................................................................................................................44
7.2 -Evenredigheid ................................................................................................................................................44
7.3 -Afschrikkend effect ........................................................................................................................................46
HOOFDSTUK 8 -FLEXIBILITEIT EN REGELMATIGE EVALUATIE ....................................................................47
BIJLAGE -TABEL TER ILLUSTRATIE VAN DE RICHTSNOEREN 04/2022 VOOR DE BEREKENING VAN ADMINISTRATIEVE GELDBOETEN KRACHTENS DE AVG ...............................................................................48

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, punten k), j) en e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna de 'AVG' genoemd),

Gezien de EER-overeenkomst en met name bijlage XI en Protocol nr. 37, gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

Gezien de Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253) van de Groep gegevensbescherming artikel 29, die het Europees Comité voor gegevensbescherming (hierna het 'EDPB' genoemd) tijdens zijn eerste plenaire vergadering heeft onderschreven,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

HOOFDSTUK 1 - INLEIDING

1.1 - Rechtskader

1. De EU heeft met de algemene verordening gegevensbescherming (hierna de 'AVG' genoemd), die sinds 25 mei 2018 van toepassing is, een grondige hervorming van de regelgeving op het gebied van gegevensbescherming in Europa voltooid. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. De verordening berust op verschillende belangrijke componenten, waaronder uitgebreidere handhavingsbevoegdheden voor toezichthoudende autoriteiten. In de verordening worden nieuwe, aanzienlijk hogere geldboeten vastgesteld en wordt gezorgd voor harmonisatie van de geldboeten tussen de lidstaten.
2. Verwerkingsverantwoordelijken en gegevensverwerkers hebben een grotere verantwoordelijkheid om ervoor te zorgen dat de persoonsgegevens van de betrokkenen doeltreffend worden beschermd. Toezichthoudende autoriteiten hebben bevoegdheden om ervoor te zorgen dat de beginselen van de AVG en de rechten van de betrokkenen worden gerespecteerd overeenkomstig de formulering en de geest van de AVG.
3. Om die reden heeft de EDPB richtsnoeren ontwikkeld om een duidelijke en transparante basis te verschaffen voor de vaststelling van geldboeten door de toezichthoudende autoriteiten. De eerder gepubliceerde richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten gaan over de omstandigheden waarin een administratieve geldboete een passend middel zou zijn en omvatten een

interpretatie van de criteria van artikel 83 AVG in dit verband 2 . De onderhavige richtsnoeren hebben betrekking op de methode voor de berekening van administratieve geldboeten. Beide richtsnoeren zijn tegelijkertijd van toepassing en moeten als complementair worden beschouwd.

1.2 - Doelstelling

4. Deze richtsnoeren zijn bedoeld voor gebruik door de toezichthoudende autoriteiten om een consistente toepassing en handhaving van de AVG te waarborgen en geven de algemene interpretatie van de bepalingen van artikel 83 AVG door de EDPB weer.
5. Het doel van deze richtsnoeren is te komen tot geharmoniseerde uitgangspunten als gemeenschappelijke oriëntatie, op basis waarvan in individuele gevallen administratieve geldboeten kunnen worden berekend. Het is echter vaste rechtspraak dat dergelijke richtsnoeren niet dermate specifiek hoeven te zijn dat een verwerkingsverantwoordelijke of een verwerker een exacte mathematische berekening kan maken van de verwachte geldboete 3 . In deze richtsnoeren wordt benadrukt dat het uiteindelijke bedrag van de geldboete afhangt van alle omstandigheden van het geval. Daarom wil de EDPB de uitgangspunten en de methode voor het berekenen van een geldboete harmoniseren, en niet het resultaat.
6. In deze richtsnoeren wordt een stapsgewijze aanpak gevolgd, maar de toezichthoudende autoriteiten hoeven niet alle stappen te volgen als zij in een bepaald geval niet van toepassing zijn, en hoeven evenmin een motivering te geven ten aanzien van de aspecten van de richtsnoeren die niet van toepassing zijn. De motivering moet wel ten minste de factoren omvatten die leiden tot de vaststelling van de zwaarte van de overtreding, de omzet die wordt toegepast en de toegepaste verzwarende of verzachtende omstandigheden.
7. Niettegenstaande deze richtsnoeren blijven de toezichthoudende autoriteiten onderworpen aan alle procedurele verplichtingen krachtens het nationale en EU-recht, met inbegrip van de verplichting tot motivering van hun besluiten en hun verplichtingen in het kader van het éénloketmechanisme. In dat licht zijn de toezichthoudende autoriteiten weliswaar verplicht hun vaststellingen voldoende te motiveren overeenkomstig het nationale en EU-recht, maar deze richtsnoeren mogen niet zo worden uitgelegd dat de toezichthoudende autoriteit het precieze uitgangsbedrag moet aangeven of de exacte gevolgen van elke verzwarende of verzachtende omstandigheid moet kwantificeren. Bovendien kan een enkele verwijzing naar deze richtsnoeren niet dienen als vervanging van de motivering die in een specifiek geval moet worden gegeven.
8. De richtsnoeren worden doorlopend geëvalueerd, terwijl in de EU en de EER praktijken worden ontwikkeld. Er moet worden opgemerkt dat, behalve in Denemarken en Estland 4 , de toezichthoudende autoriteiten gemachtigd zijn tot het opleggen van administratieve geldboeten, die bindend zijn als er geen beroep tegen wordt ingesteld. In de loop van de tijd zullen de administratieve en justitiële praktijk zich bijgevolg verder ontwikkelen.

2 Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679, WP 253 (hierna 'richtsnoeren WP 253' genoemd). De richtsnoeren WP 253 zijn door de EDPB onderschreven

tijdens zijn eerste plenaire vergadering op 25 mei 2018. Zie Endorsement 1/2018, hier online beschikbaar.

4 Zie overweging 151 AVG.

1.3 - Toepassingsgebied

9. Deze richtsnoeren zijn bedoeld om de vaststelling van geldboeten door de toezichthoudende autoriteiten op overkoepelend niveau te regelen en daarvoor de grondslag te leggen. De richtsnoeren zijn van toepassing op alle soorten verwerkingsverantwoordelijken en verwerkers overeenkomstig artikel 4, punten 7 en 8, AVG, met uitzondering van natuurlijke personen wanneer zij niet als ondernemingen handelen. Dit geldt onverminderd de bevoegdheden van nationale autoriteiten om natuurlijke personen te beboeten.
10. Overeenkomstig artikel 83, lid 7, AVG kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen. Op voorwaarde dat de toezichthoudende autoriteiten op grond van het nationale recht over deze bevoegdheid beschikken, zijn deze richtsnoeren van toepassing op de berekening van de aan overheidsinstanties en overheidsorganen op te leggen geldboete, met uitzondering van paragraaf 4.3. De toezichthoudende autoriteiten behouden echter de vrijheid om een methode te gebruiken die vergelijkbaar is met de in dit hoofdstuk beschreven methode. Verder is hoofdstuk 6 niet van toepassing op de berekening van de aan overheidsinstanties en overheidsorganen op te leggen geldboete indien het nationale recht voorziet in andere wettelijke maximumbedragen en de overheidsinstantie of het overheidsorgaan niet handelt als een onderneming zoals gedefinieerd in paragraaf 6.2.1.
11. De richtsnoeren hebben betrekking op zowel grensoverschrijdende als niet-grensoverschrijdende gevallen.
12. De richtsnoeren zijn niet uitputtend en bevatten geen verklaring voor de verschillen tussen nationale administratieve, civielrechtelijke of strafrechtelijke systemen bij het opleggen van administratieve sancties in het algemeen.

1.4 - Toepasselijkheid

13. Overeenkomstig artikel 70, lid 1, punt e), AVG is de EDPB bevoegd tot het uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken om te bevorderen dat de AVG consequent wordt toegepast. In artikel 70, lid 1, punt k), AVG is bepaald dat de EDPB ervoor zorgt dat de AVG consequent wordt toegepast en op eigen initiatief of, waar passend, op verzoek van de Europese Commissie met name richtsnoeren voor toezichthoudende autoriteiten opstelt betreffende de toepassing van de in artikel 58 bedoelde maatregelen en betreffende de vaststelling van administratieve geldboeten op grond van artikel 83.
14. Om tot een consequente aanpak van het opleggen van administratieve geldboeten te komen die op adequate wijze alle beginselen van de AVG weerspiegelt, is de EDPB een algemene interpretatie van de beoordelingscriteria van artikel 83 AVG overeengekomen. De afzonderlijke toezichthoudende autoriteiten zullen deze gemeenschappelijke aanpak aan de dag leggen, overeenkomstig de lokale administratieve en justitiële wetgeving die op hen van toepassing is.

HOOFDSTUK 2 - METHODE VOOR HET BEREKENEN VAN HET BEDRAG VAN DE GELDBOETE

2.1 - Algemene overwegingen

15. Onverminderd verplichtingen op het gebied van samenwerking en coherentie is het aan de toezichthoudende autoriteit om het bedrag van de geldboete te berekenen. De AVG schrijft voor dat het bedrag van de geldboete in elk individueel geval doeltreffend, evenredig en afschrikkend moet zijn

(artikel 83, lid 1, AVG). Bovendien moeten de toezichthoudende autoriteiten bij het vaststellen van het bedrag van de geldboete naar behoren rekening houden met een lijst van omstandigheden die verwijzen naar kenmerken van de inbreuk (de zwaarte ervan) of van de aard van de pleger (artikel 83, lid 2, AVG). De kwantificering van het bedrag van de geldboete is dan ook gebaseerd op een specifieke evaluatie die per geval wordt verricht, rekening houdend met de in de AVG opgenomen parameters.

16. Voor gedragingen die in strijd zijn met de gegevensbeschermingsregels voorziet de AVG niet in een minimumboete. Integendeel, de AVG voorziet in maximumboeten in artikel 83, leden 4 tot en met 6, AVG, waarin een aantal verschillende soorten gedragingen zijn gegroepeerd. Een geldboete kan uiteindelijk alleen worden berekend door het tegen elkaar afwegen van alle uitdrukkelijk in artikel 83, lid 2, punten a) tot en met j), AVG genoemde factoren die relevant zijn voor het geval en alle andere relevante elementen, zelfs als deze niet uitdrukkelijk in die bepalingen worden genoemd (aangezien op grond van artikel 83, lid 2, punt k), AVG naar behoren rekening moet worden gehouden met elke andere toepasselijke factor). Ten slotte moet het definitieve bedrag van de geldboete dat uit deze beoordeling volgt, in elk individueel geval doeltreffend, evenredig en afschrikkend zijn (artikel 83, lid 1, AVG). Bij elke geldboete die wordt opgelegd, moet voldoende rekening worden gehouden met al deze parameters, terwijl tegelijkertijd het wettelijke maximumbedrag als bedoeld in artikel 83, leden 4 tot en met 6, AVG niet mag worden overschreden.

2.2 - Overzicht van de methode

17. Rekening houdend met deze parameters heeft de EDPB de volgende methode uitgewerkt voor het berekenen van administratieve geldboeten voor inbreuken op de AVG.
18. Stap 1 De verwerkingsactiviteiten in het betrokken geval in kaart brengen en de toepassing van artikel 83, lid 3, AVG evalueren (hoofdstuk 3) .
19. Stap 2 Het uitgangsbedrag voor de verdere berekening bepalen op basis van een beoordeling van (hoofdstuk 4)

• a) de indeling in artikel 83, leden 4 tot en met 6, AVG;
• b) de zwaarte van de inbreuk krachtens artikel 83, lid 2, punten a), b) en g), AVG;
• c) de omzet van de onderneming als relevant element om rekening mee te houden met het oog op het opleggen van een doeltreffende, afschrikkende en evenredige geldboete op grond van artikel 83, lid 1, AVG.

7. Stap 3 Nagaan of er verzwarende en verzachtende omstandigheden in verband met vroeger of huidig gedrag van de verwerkingsverantwoordelijke/verwerker zijn en de geldboete dienovereenkomstig verhogen of verlagen (hoofdstuk 5) .
8. Stap 4 De relevante wettelijke maximumbedragen voor de verschillende verwerkingsactiviteiten vaststellen. Dit maximumbedrag mag niet worden overschreden als gevolg van in voorgaande of volgende stappen toegepaste verhogingen (hoofdstuk 6) .
9. Stap 5 Nagaan of het berekende eindbedrag van de geldboete doeltreffend, afschrikkend en evenredig is, zoals vereist krachtens artikel 83, lid 1, AVG, en de geldboete dienovereenkomstig verhogen of verlagen (hoofdstuk 7) .

2.3 - Inbreuken met vaste bedragen

18. In bepaalde omstandigheden kan de toezichthoudende autoriteit oordelen dat bepaalde inbreuken kunnen worden bestraft met een geldboete ter hoogte van een vooraf bepaald vast bedrag. De toepassing van een vast bedrag op bepaalde soorten inbreuken mag geen belemmering vormen voor de toepassing van de AVG, met name artikel 83. Bovendien moeten toezichthoudende autoriteiten bij de toepassing van vaste bedragen nog steeds voldoen aan hun verplichtingen op het gebied van samenwerking en coherentie (hoofdstuk VII AVG).
19. Het is aan de toezichthoudende autoriteit om vast te stellen welke soorten inbreuken kunnen worden bestraft met een vooraf bepaald vast bedrag, op basis van de aard, de ernst en de duur ervan. De toezichthoudende autoriteit mag een dergelijke vaststelling niet doen als dat verboden is of anderszins in strijd zou zijn met het nationale recht van de lidstaat.
20. De toezichthoudende autoriteit kan naar eigen goeddunken vaste bedragen vaststellen, onder andere rekening houdend met de sociale en economische omstandigheden van de specifieke lidstaat, naargelang de zwaarte van de inbreuk zoals volgt uit artikel 83, lid 2, punten a), b) en g), AVG. Aanbevolen wordt dat de toezichthoudende autoriteit vooraf de bedragen en omstandigheden meedeelt die in aanmerking worden genomen.

HOOFDSTUK 3 - SAMENLOOP VAN INBREUKEN EN DE TOEPASSING VAN ARTIKEL 83, LID 3, AVG

21. Voordat aan de hand van de methode in deze richtlijnen een geldboete kan worden berekend, is het belangrijk om eerst na te gaan op welke gedragingen (feitelijke omstandigheden ten aanzien van het gedrag) en inbreuken (abstracte wettelijke omschrijvingen van wat verboden is) de geldboete is gebaseerd. In een specifiek geval kan het immers gaan om omstandigheden die als een en dezelfde inbreuk makende gedraging of als afzonderlijke inbreuk makende gedragingen kunnen worden beschouwd. Ook is het mogelijk dat een en dezelfde gedraging een aantal verschillende inbreuken kan opleveren, waarbij door de toerekening van de ene inbreuk een andere inbreuk niet kan worden toegerekend of de inbreuken naast elkaar kunnen worden toegerekend. Met andere woorden, er kunnen zich gevallen voordoen waarin sprake is van samenloop van inbreuken. Afhankelijk van de regels met betrekking tot samenloop kunnen dergelijke gevallen tot een verschillende berekening van geldboeten leiden.
22. Kijkend naar de analyse van de tradities van de lidstaten met betrekking tot regels inzake samenloop zoals omschreven in de rechtspraak van het Hof, 5

en rekening houdend met de verschillende toepassingsgebieden en rechtsgevolgen, kunnen deze beginselen grofweg worden ondergebracht in de volgende drie categorieën:

• -samenloop van inbreuken (paragraaf 3.1.1) ,
• -eenheid van handelingen (paragraaf 3.1.2) ,
• -veelheid van handelingen (paragraaf 3.2) .

23. Deze verschillende categorieën van samenloop zijn niet met elkaar in strijd, maar hebben een verschillend toepassingsgebied en passen binnen een samenhangend algemeen systeem, zodat een logisch testschema kan worden opgesteld.
24. Daarom is het belangrijk om eerst vast te stellen

• a. of de omstandigheden moeten worden beschouwd als één ( paragraaf 3.1 ) of meerdere inbreuk makende gedragingen ( paragraaf 3.2 ),
• b. in het geval van één gedraging ( paragraaf 3.1 ), of die gedraging al dan niet een of meer inbreuken oplevert, en
• c. in het geval van één gedraging die meerdere inbreuken oplevert, of de toerekening van de ene inbreuk de toerekening van een andere inbreuk uitsluit ( paragraaf 3.1.1 ) dan wel of zij naast elkaar moeten worden toegerekend ( paragraaf 3.1.2 ).

SCHEMA

Levert één inbreuk oo

Geen samenloop

Voor één inbreuk wordt één boete opgelegd, met inachtneming van het

wettelijke maximum voor die inbreuk.

Inbreuken sluiten elkaar uit

(paragraaf 3.1.1)

Samenloop van wetten

Slechts één inbreuk wordt op de gedraging toegepast en de boete

wordt alleen op basis van die inbreuk berekend, met

inachtneming van het wettelijke afzonderlijke strafbare

gedragingen

Het geval betreft

3.1 - Eén inbreuk makende gedraging

25. Als eerste stap is het essentieel om vast te stellen of er sprake is van een en dezelfde inbreuk makende gedraging ('idem') of van meerdere inbreuk makende gedragingen om te kunnen bepalen welk inbreuk makend gedrag moet worden beboet. Daarom is het belangrijk om te begrijpen welke omstandigheden worden beschouwd als een en dezelfde gedraging, in tegenstelling tot meerdere gedragingen. Het betreffende inbreuk makende gedrag moet per geval worden beoordeeld en vastgesteld. Zo kunnen in een bepaald geval 'dezelfde of daarmee verband houdende verwerkingsactiviteiten' een en dezelfde gedraging vormen.
26. De term 'verwerkingsactiviteit' is ingesloten in artikel 4, punt 2, AVG, waar 'verwerking' is gedefinieerd als 'een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens'.
27. Bij het beoordelen van 'dezelfde of daarmee verband houdende verwerkingsactiviteiten' mag niet worden vergeten dat de toezichthoudende autoriteit voor haar beoordeling van inbreuken rekening kan houden met alle verplichtingen die wettelijk voorgeschreven zijn voor de rechtmatige verrichting van de verwerkingsactiviteiten, met inbegrip van transparantieverplichtingen (bv. artikel 13 AVG). Dit wordt ook onderstreept door de formulering 'met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten', waaruit blijkt dat deze bepaling geldt voor alle inbreuken die betrekking hebben op en gevolgen kunnen hebben voor dezelfde of daarmee verband houdende verwerkingsactiviteiten.
28. De term 'daarmee verband houdend' verwijst naar het beginsel dat één enkele gedraging kan bestaan uit meerdere delen die uit één enkele wil worden verricht en die contextueel (met name met betrekking tot identiteit wat betreft betrokkene, doeleinde en aard), in ruimte en in tijd zo nauw met elkaar samenhangen dat zij, objectief gezien, als één coherente gedraging kunnen worden beschouwd. Er mag niet zonder meer worden uitgegaan van een afdoend verband, omdat de toezichthoudende autoriteit moet voorkomen dat zij inbreuk maakt op de beginselen van afschrikking en doeltreffende handhaving van het Europees recht. Daarom moeten deze aspecten van samenhang met het oog op een afdoend verband per geval worden beoordeeld.

Voorbeeld 1a - Dezelfde of daarmee verband houdende verwerkingsactiviteiten

Een financiële instelling verzoekt om een kredietcontrole van een kredietbeoordelingsbureau. De financiële instelling ontvangt de betreffende informatie en slaat deze op in haar systeem.

Hoewel de verzameling en de opslag van de kredietwaardigheidsgegevens door de financiële instelling allebei op zichzelf verwerkingsactiviteiten zijn, vormen zij een reeks verwerkingsactiviteiten die uit één enkele wil worden verricht en contextueel, in ruimte en in tijd op zodanige wijze met elkaar samenhangen dat zij, objectief gezien, als één coherente gedraging kunnen worden beschouwd. Daarom moeten de verwerkingsactiviteiten van de financiële instelling worden beschouwd als 'daarmee verband houdend' en vormen zij dezelfde gedraging.

Voorbeeld 1b - Dezelfde of daarmee verband houdende verwerkingsactiviteiten

Een gegevensmakelaar besluit een nieuwe verwerking uit te voeren: hij besluit - als derde partij - de transactiegeschiedenis van consumenten te verzamelen van tientallen detailhandelaren, zonder rechtsgrondslag, met het oog op het uitvoeren van psychometrisch onderzoek om toekomstig gedrag van

personen te kunnen voorspellen, met inbegrip van onder meer het politieke stemgedrag en de bereidheid om hun baan op te zeggen. Tegelijkertijd besluit de gegevensmakelaar deze procedure niet op te nemen in het register van de verwerkingsactiviteiten, de betrokkenen niet te informeren en niet in te gaan op verzoeken van betrokkenen om inzage in verband met de nieuwe verwerkingsactiviteiten. De verwerkingsactiviteiten in het kader van deze verwerking vormen een reeks verwerkingsactiviteiten die uit één enkele wil worden verricht en die contextueel, in ruimte en in tijd met elkaar samenhangen. Zij moeten als 'daarmee verband houdend' en als één enkele gedraging worden beschouwd. Het gaat hierbij ook om het niet opnemen van de verwerking in het register, het niet informeren van de betrokkenen en het niet instellen van procedures om uitvoering te geven aan het recht op inzage ten aanzien van de nieuwe verwerkingsactiviteiten. Deze verplichtingen zijn met betrekking tot de daarmee verband houdende verwerkingsactiviteiten niet nagekomen.

Voorbeeld 1c - Niet dezelfde of daarmee verband houdende verwerkingsactiviteiten

i) Een gebouwendienst voert een antecedentenonderzoek van een sollicitant uit. Het antecedentenonderzoek omvat ook de politieke gezindheid, het lidmaatschap van een vakbond en de seksuele oriëntatie. ii) Vijf dagen later verzoekt de gebouwendienst aan zijn leveranciers (eenmanszaken) uitgebreide informatie over hun zakelijke overeenkomsten met andere instanties bekend te maken, ongeacht of deze informatie enig belang heeft voor het contract met of de nalevingsverplichtingen van de gebouwendienst. iii) Weer een week later doet zich bij de gebouwendienst een inbreuk in verband met persoonsgegevens voor. Het netwerk van de gebouwendienst is gehackt - ondanks de bestaande adequate technische en organisatorische maatregelen - en de hacker verwerft toegang tot een systeem dat de persoonsgegevens verwerkt van burgers die een verzoek bij de gebouwendienst hadden ingediend. Hoewel de gegevens overeenkomstig de geldende normen naar behoren versleuteld waren, lukt het de hacker om ze met behulp van militaire decryptietechnologie te ontsleutelen. Hij verkoop de gegevens op het darknet. De gebouwendienst verzuimt de toezichthoudende autoriteit hiervan in kennis te stellen, hoewel hij hiertoe verplicht is. De verwerkingsactiviteiten waar het in dit geval om gaat, te weten het antecedentenonderzoek, de verzoeken aan leveranciers om hun informatie bekend te maken en het niet melden van een inbreuk in verband met persoonsgegevens, hangen niet contextueel met elkaar samen. Daarom mogen zij niet worden beschouwd als 'daarmee verband houdend', maar vormen zij verschillende gedragingen.

29. Indien wordt vastgesteld dat de omstandigheden van het geval een en dezelfde gedraging vormen en één enkele inbreuk opleveren, kan de geldboete worden berekend op basis van die inbreuk en het wettelijke maximumbedrag dat daarvoor geldt. Indien de omstandigheden van het geval een en dezelfde gedraging vormen, maar die gedraging niet slechts één, maar meerdere inbreuken oplevert, moet echter worden vastgesteld of de toerekening van de ene inbreuk de toerekening van een andere inbreuk uitsluit (paragraaf 3.1.1), of dat de inbreuken naast elkaar kunnen worden toegerekend (paragraaf 3.1.2). Indien de omstandigheden van het geval meerdere gedragingen vormen, moeten zij worden beschouwd als een veelheid van handelingen en overeenkomstig paragraaf 3.2 worden behandeld.

3.1.1 - Samenloop van inbreuken

30. Het beginsel van samenloop van inbreuken (in andere context ook wel 'eendaadse samenloop' 6 genoemd) geldt wanneer de toepassing van een bepaling de toepasbaarheid van een andere bepaling uitsluit of omvat. Met andere woorden, samenloop doet zich reeds voor op het abstracte niveau van wettelijke bepalingen. Dit

kan op grond van het specialiteitsbeginsel 7 , het subsidiariteitsbeginsel of het consumptiebeginsel, die vaak van toepassing zijn wanneer bepalingen hetzelfde rechtmatig belang beschermen. In dergelijke gevallen zou het onrechtmatig zijn om de overtreder tweemaal voor dezelfde overtreding te bestraffen 8 .

31. In een dergelijk geval van samenloop van inbreuken moet het bedrag van de geldboete alleen op basis van de volgens de bovenstaande regels geselecteerde inbreuk worden berekend (de inbreuk waarvoor de hoogste geldboete kan worden opgelegd) 9 .

Specialiteitsbeginsel 10

32. Het specialiteitsbeginsel ( specialia generalibus derogant ) is een rechtsbeginsel dat inhoudt dat een meer specifieke bepaling (afgeleid van dezelfde rechtshandeling of verschillende rechtshandelingen met dezelfde rechtskracht) voorrang krijgt boven een meer algemene bepaling, hoewel beide bepalingen hetzelfde doel hebben. De meer specifieke inbreuk wordt dan soms beschouwd als een 'gekwalificeerd type' van de minder specifieke. Voor een gekwalificeerd type van een inbreuk kan een hoger boeteniveau, een hoger wettelijk maximumbedrag of een langere verjaringstermijn gelden.
33. Specialiteit kan echter, soms door middel van uitlegging, ook van toepassing zijn indien een inbreuk vanwege de aard en systematiek als een kwalificatie van een kennelijk meer specifieke inbreuk wordt beschouwd, hoewel in de formulering ervan niet uitdrukkelijk een aanvullend element wordt genoemd.
34. Wanneer daarentegen met twee bepalingen onafhankelijke doelen worden nagestreefd, vormt dit een onderscheidende factor die het opleggen van afzonderlijke geldboeten rechtvaardigt. Als een inbreuk op een bepaling bijvoorbeeld automatisch leidt tot een inbreuk op een andere bepaling, maar het omgekeerde niet het geval is, worden met deze inbreuken onafhankelijke doelen nagestreefd.
35. Deze specialiteitsbeginselen kunnen alleen van toepassing zijn indien en voor zover de met de betrokken inbreuken nagestreefde doelen in het individuele geval daadwerkelijk met elkaar overeenstemmen. Aangezien de beginselen inzake gegevensbescherming in artikel 5 AVG worden vastgesteld als overkoepelende concepten, kunnen zich situaties voordoen waarin andere bepalingen een concretisering van een dergelijk beginsel vormen, maar het beginsel in zijn geheel zich niet daartoe beperkt. Met andere woorden, in een bepaling wordt niet altijd het volledige toepassingsgebied van het beginsel gedefinieerd 11 . Daarom is er, afhankelijk van de omstandigheden 12 , in sommige gevallen sprake van een-op-eenoverlapping en kan de ene inbreuk de andere vervangen, terwijl in andere gevallen de doelen elkaar slechts gedeeltelijk overlappen en dus niet volledig met elkaar overeenstemmen. Voor zover zij niet met elkaar overeenstemmen, is er geen sprake van samenloop van inbreuken. In plaats daarvan kunnen zij naast elkaar worden toegepast bij de berekening van de geldboete.

7 Zoals bepaald in zaak C-10/18 P, Marine Harvest/Commissie.

9 Zoals bepaald in zaak C-10/18 P, Marine Harvest/Commissie.

10 Zoals bepaald in zaak C-10/18 P, Marine Harvest/Commissie.

11 Bindend besluit EDPB 1/2021 over het geschil dat is ontstaan over het ontwerpbesluit van de Ierse

toezichthoudende autoriteit betreffende WhatsApp Ireland op grond van artikel 65, lid 1, punt a), AVG (hierna 'Bindend besluit EDPB 1/2021' genoemd), punt 192.

12 Bindend besluit EDPB 1/2021, punt 193.

Subsidiariteitsbeginsel

36. Naar een andere vorm van samenloop van inbreuken wordt vaak verwezen als het subsidiariteitsbeginsel. Dit is van toepassing wanneer een inbreuk wordt beschouwd als ondergeschikt aan een andere inbreuk. Dat kan zijn omdat subsidiariteit formeel in de wet is neergelegd of omdat er om materiële redenen sprake is van subsidiariteit 13 . Dat laatste kan het geval zijn wanneer de inbreuken hetzelfde doel hebben, maar de ene een lichtere beschuldiging van immoraliteit of wangedrag inhoudt (een administratieve inbreuk kan bijvoorbeeld ondergeschikt zijn aan een strafbaar feit).

Consumptiebeginsel

37. Het consumptiebeginsel is van toepassing in gevallen waarin een inbreuk op een bepaling regelmatig leidt tot een inbreuk op een andere bepaling, vaak omdat de ene inbreuk noodzakelijkerwijs voorafgaat aan de andere.

3.1.2 - Eenheid van handelingen - artikel 83, lid 3, AVG

38. Net als bij samenloop van inbreuken is het beginsel van eenheid van handelingen (ook 'ideale samenloop' genoemd) van toepassing in gevallen waarin één gedraging onder meerdere wettelijke bepalingen valt, met het verschil dat de ene bepaling niet wordt uitgesloten of omvat door de toepasbaarheid van de andere, omdat zij niet binnen het toepassingsgebied van het specialiteitsbeginsel, het subsidiariteitsbeginsel of het consumptiebeginsel vallen en doorgaans verschillende doelen beogen.
39. Het beginsel van eenheid van handelingen werd nader gepreciseerd op het niveau van het afgeleid recht in artikel 83, lid 3, AVG in de vorm van 'eenheid van verwerking'. Het is belangrijk om te begrijpen dat artikel 83, lid 3, AVG beperkt is wat de toepassing ervan betreft en niet van toepassing is op elk afzonderlijk geval waarin meervoudige inbreuken worden vastgesteld, maar alleen op de gevallen waarin meervoudige inbreuken voortvloeien uit 'dezelfde of daarmee verband houdende verwerkingsactiviteiten' zoals hierboven uitgelegd 14 . In die gevallen mag het totale bedrag van de administratieve geldboete niet hoger zijn dan het bedrag dat is vastgesteld voor de zwaarste inbreuk 15 .
40. In sommige speciale gevallen kan ook eenheid van handelingen worden verondersteld indien één enkele handeling meerdere malen inbreuk maakt op dezelfde wettelijke bepaling. Dit kan met name het geval zijn

14 Bindend besluit EDPB 1/2021, punt 320.

15 Artikel 83, lid 3, AVG luidt: 'Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.'

wanneer omstandigheden een iteratieve en soortgelijke inbreuk op dezelfde wettelijke bepaling vormen en elkaar in ruimte en in tijd snel opvolgen.

Voorbeeld 2 - Eenheid van handelingen

Een verwerkingsverantwoordelijke stuurt zonder enige rechtsgrondslag in de loop van een dag in verschillende ronden bundels marketing-e-mails naar groepen betrokkenen en maakt aldus met één eenheid van handelingen meerdere malen inbreuk op artikel 6, lid 1, AVG.

41. De formulering van artikel 83, lid 3, AVG lijkt niet rechtstreeks betrekking te hebben op dit laatste geval van eenheid van handelingen, aangezien geen inbreuk wordt gemaakt op 'meerdere bepalingen'. Er zou echter sprake zijn van ongelijke en oneerlijke behandeling als een overtreder die met één handeling inbreuk maakt op verschillende bepalingen die verschillende doelen beogen, zou worden bevoorrecht ten opzichte van een overtreder die meerdere malen met dezelfde handeling inbreuk maakt op dezelfde bepaling die hetzelfde doel beoogt. Om inconsistentie van rechtsbeginselen te voorkomen en het grondrecht van gelijke behandeling volgens het Handvest na te leven, is artikel 83, lid 3, AVG in dergelijke gevallen van overeenkomstige toepassing.
42. In geval van eenheid van handelingen mag de totale geldboete niet hoger zijn dan het bedrag dat is vastgesteld voor de zwaarste inbreuk. 'Wat betreft de interpretatie van artikel 83, lid 3, AVG, wijst het Comité erop dat het effet utile -beginsel vereist dat alle instellingen volledig uitvoering geven aan de EUwetgeving' 16 . In dit verband mag artikel 83, lid 3, AVG niet zodanig worden uitgelegd dat 'het niet ter zake [zou] doen of een verwerkingsverantwoordelijke één of talrijke inbreuken op de AVG pleegt […] bij het bepalen van de geldboete' 17 .
43. De term 'totale geldboete' impliceert dat bij de vaststelling van het bedrag van de geldboete rekening moet worden gehouden met alle gepleegde inbreuken 18 en de formulering '[geldboete] voor de zwaarste inbreuk' verwijst naar de wettelijke maximale geldboeten (bv. artikel 83, leden 4 tot en met 6, AVG). Dus '[h]oewel de geldboete zelf de wettelijke bovengrens van het hoogste boeteniveau niet mag overschrijden, wordt de overtreder toch uitdrukkelijk schuldig bevonden aan het overtreden van verscheidene bepalingen en moet met deze overtredingen rekening worden gehouden bij het bepalen van de hoogte van de uiteindelijke geldboete die moet worden opgelegd' 19 . Hoewel dit geen afbreuk doet aan de plicht van de toezichthoudende autoriteit die de geldboete oplegt om er rekening mee te houden dat de boete evenredig moet zijn, mogen de andere gepleegde inbreuken niet buiten beschouwing worden gelaten, maar moeten die inbreuken in aanmerking worden genomen bij het berekenen van de geldboete.

3.2 - Meerdere inbreuk makende gedragingen

44. Het beginsel van veelheid van handelingen (ook 'Realkonkurrenz', 'feitelijke samenloop' of 'toevallige samenloop' genoemd) beschrijft alle gevallen die niet onder de beginselen van samenloop van inbreuken (paragraaf 3.1.1) of artikel 83, lid 3, AVG (paragraaf 3.1.2) vallen.
45. De enige reden waarom deze inbreuken in één besluit worden behandeld, is omdat zij bij toeval op hetzelfde moment onder de aandacht van de toezichthoudende autoriteit zijn gekomen, zonder dat het om dezelfde

16 Bindend besluit EDPB 1/2021, punt 322.

17 Zie voetnoot 16, punt 323.

18 Zie voetnoot 16, punt 325.

19 Zie voetnoot 16, punt 326.

of daarmee verband houdende verwerkingsactiviteiten in de zin van artikel 83, lid 3, AVG gaat. Bijgevolg wordt vastgesteld dat de overtreder inbreuk heeft gemaakt op meerdere wettelijke bepalingen en worden meerdere geldboeten opgelegd overeenkomstig de nationale procedure, hetzij in hetzelfde besluit tot oplegging van een geldboete, hetzij in afzonderlijke besluiten. Bovendien geldt, aangezien artikel 83, lid 3, AVG niet van toepassing is, dat de totale geldboete hoger mag zijn dan die voor de zwaarste inbreuk (a contrario-redeneermethode). Gevallen van veelheid van handelingen geven geen aanleiding tot bevoorrechting van de overtreder met betrekking tot de boeteberekening. Dit doet echter geen afbreuk aan de verplichting om te blijven voldoen aan het algemene evenredigheidsbeginsel.

Voorbeeld 3 - Veelheid van handelingen

Na een inspectie van de gegevensbescherming in de bedrijfsruimten van een verwerkingsverantwoordelijke stelt de toezichthoudende autoriteit vast dat de verwerkingsverantwoordelijke heeft verzuimd een procedure voor de beoordeling en voortdurende verbetering van de beveiliging van zijn website in te stellen, de in artikel 13 genoemde informatie aan werknemers te verstrekken met betrekking tot de verwerking van HR-gegevens en de toezichthoudende autoriteit in kennis te stellen van een recente inbreuk in verband met de gegevens van zijn leveranciers. Geen van de inbreuken wordt uitgesloten of omvat op grond van specialiteit, subsidiariteit of consumptie. Ook betreft het niet dezelfde verwerkingsactiviteit noch daarmee verband houdende verwerkingsactiviteiten: zij vormen geen eenheid van handelingen, maar een veelheid van handelingen. De toezichthoudende autoriteit zal dus concluderen dat de verwerkingsverantwoordelijke met verschillende gedragingen inbreuk heeft gemaakt op de artikelen 13, 32 en 33 AVG. Zij zal in haar besluit tot oplegging van een geldboete voor elk van de inbreuken een afzonderlijke geldboete opleggen, zonder dat er een wettelijk maximum geldt voor de som ervan.

HOOFDSTUK 4 - UITGANGSBEDRAG VOOR DE BEREKENING

46. De EDPB is van mening dat de berekening van administratieve geldboeten moet beginnen bij een geharmoniseerd uitgangsbedrag 20 . Dit uitgangsbedrag vormt het begin voor de verdere berekening, waarbij alle omstandigheden van het geval in aanmerking worden genomen en afgewogen, die resulteert in het uiteindelijke bedrag van de geldboete die moet worden opgelegd aan de verwerkingsverantwoordelijke of de verwerker.
47. De vaststelling van geharmoniseerde uitgangsbedragen in deze richtsnoeren belet niet en mag niet beletten dat de toezichthoudende autoriteiten elk geval beoordelen op basis van de intrinsieke kenmerken ervan. De aan een verwerkingsverantwoordelijke/verwerker opgelegde geldboete kan variëren van elk bedrag tot het wettelijke maximumboetebedrag, op voorwaarde dat de boete doeltreffend, afschrikkend en evenredig is. Het bestaan van een uitgangsbedrag verandert niets aan de mogelijkheid voor de toezichthoudende autoriteit om de geldboete te verlagen of te verhogen (tot het maximumbedrag) als de omstandigheden van het geval dat vereisen.

20 Op voorwaarde dat de richtsnoeren voldoende ruimte laten om een administratieve geldboete aan de omstandigheden van het geval aan te passen, aanvaardt het Hof van Justitie van de EU (hierna 'het Hof' genoemd) doorgaans dat berekeningen beginnen bij een abstract uitgangsbedrag. Met name in gevoegde zaken C-189/02 P, C202/02 P, C-205/02 P tot en met C-208/02 P en C -213/02 P, Dansk Rørindustri, maar ook recenter in zaak T-15/02, BASF AG/Commissie, punten 120-121; 134, zaak C-227/14 P, LG Display Co. Ltd/Commissie, punt 53, en zaak T-26/02, Daiichi Pharmaceutical Co. Ltd/Commissie, punt 50.

48. De EDPB kijkt naar drie elementen om het uitgangsbedrag voor de verdere berekening te bepalen: de indeling van inbreuken volgens hun aard op grond van artikel 83, leden 4 tot en met 6, AVG, de zwaarte van de inbreuk (zoals besproken in paragraaf 4.2) en de omzet van de onderneming als relevant element om rekening mee te houden met het oog op het opleggen van een doeltreffende, afschrikkende en evenredige geldboete op grond van artikel 83, lid 1, AVG. Deze elementen worden uiteengezet in de paragrafen 4.1, 4.2 en 4.3.

4.1 - Indeling van inbreuken op grond van artikel 83, leden 4 tot en met 6, AVG

49. Bijna alle verplichtingen van verwerkingsverantwoordelijken en verwerkers overeenkomstig de verordening worden in de bepalingen van artikel 83, leden 4 tot en met 6, AVG 21 volgens hun aard ingedeeld. De AVG voorziet in twee categorieën inbreuken: inbreuken die beboetbaar zijn op grond van artikel 83, lid 4, AVG enerzijds en inbreuken die beboetbaar zijn op grond van artikel 83, leden 5 en 6, AVG anderzijds. De eerste categorie inbreuken kan worden bestraft met een geldboete van maximaal 10 miljoen EUR of 2 % van de jaaromzet van de onderneming, indien dit cijfer hoger is, terwijl de tweede kan worden bestraft met een geldboete van maximaal 20 miljoen EUR of 4 % van de jaaromzet van de onderneming, indien dit cijfer hoger is.
50. Middels dit onderscheid heeft de wetgever een eerste indicatie gegeven van de zwaarte van de inbreuk in abstracte zin. Hoe zwaarder de inbreuk, des te hoger de geldboete waarschijnlijk zal zijn.

4.2 - Zwaarte van de inbreuk in elk individueel geval

51. Op grond van de AVG moet de toezichthoudende autoriteit naar behoren rekening houden met de aard, de ernst en de duur van de inbreuk, met inachtneming van de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade (artikel 83, lid 2, punt a), AVG); de opzettelijke of nalatige aard van de inbreuk (artikel 83, lid 2, punt b), AVG); en de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft (artikel 83, lid 2, punt g), AVG). In het kader van deze richtsnoeren duidt de EDPB deze factoren aan als de zwaarte van de inbreuk.
52. De toezichthoudende autoriteit moet deze factoren beoordelen in het licht van de omstandigheden van het specifieke geval en - op basis van die analyse - de zwaarte van de inbreuk vaststellen zoals aangegeven in punt 60. In dit verband kan de toezichthoudende autoriteit ook onderzoeken of de betrokken gegevens direct identificeerbaar waren. Deze factoren worden in deze richtsnoeren afzonderlijk besproken, maar zijn in werkelijkheid echter vaak met elkaar verbonden en moeten worden beschouwd met betrekking tot alle feitelijke omstandigheden.

4.2.1 - Aard, ernst en duur van de inbreuk

53. Artikel 83, lid 2, punt a), AVG heeft een ruim toepassingsgebied en schrijft voor dat de toezichthoudende autoriteit een volledig onderzoek verricht van alle elementen waaruit de inbreuk bestaat en die geschikt zijn om de inbreuk te onderscheiden van andere soortgelijke inbreuken. Bij deze beoordeling moet derhalve rekening worden gehouden met de volgende specifieke factoren:

• a) De aard van de inbreuk , beoordeeld aan de hand van de concrete omstandigheden van het geval. In die zin is deze analyse specifieker dan de abstracte indeling van artikel 83, leden 4 en 6, AVG. De toezichthoudende autoriteit kan nagaan welk belang de geschonden bepaling moet beschermen en welke plaats deze bepaling heeft in het kader voor gegevensbescherming.

Daarnaast kan de toezichthoudende autoriteit onderzoeken in hoeverre de inbreuk een belemmering vormde voor de doeltreffende toepassing van de bepaling en de verwezenlijking van het doel dat erdoor moet worden beschermd.

• b) De ernst van de inbreuk , beoordeeld op basis van de specifieke omstandigheden. Zoals vermeld in artikel 83, lid 2, punt a), AVG gaat het hierbij om de aard van de verwerking, maar ook 'de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade' vormen een indicatie van de ernst van de inbreuk.
• i. De aard van de verwerking , met inbegrip van de context waarin de verwerking functioneel plaatsvindt (bv. zakelijke activiteit, non-profit, politieke partij enz.) en alle kenmerken van de verwerking 22 . Wanneer de aard van de verwerking grotere risico's met zich meebrengt, bv. wanneer het doel is om toezicht te houden, persoonlijke eigenschappen te beoordelen of besluiten of maatregelen te nemen met negatieve gevolgen voor de betrokkenen, kan de toezichthoudende autoriteit, afhankelijk van de context van de verwerking en de rol van de verwerkingsverantwoordelijke of de verwerker, overwegen meer gewicht aan deze factor toe te kennen. Voorts kan een toezichthoudende autoriteit meer gewicht aan deze factor toekennen wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkenen en de verwerkingsverantwoordelijke (bv. wanneer de betrokkenen werknemers, leerlingen of patiënten zijn) of wanneer de verwerking kwetsbare betrokkenen, met name kinderen, betreft.
• ii. De omvang van de verwerking , onder verwijzing naar de lokale, nationale of grensoverschrijdende omvang van de verrichte verwerking en de relatie tussen deze informatie en de feitelijke omvang van de verwerking met betrekking tot de toewijzing van middelen door de verwerkingsverantwoordelijke. Met dit element wordt gewezen op een reële risicofactor die verband houdt met het feit dat het voor de betrokkene en de toezichthoudende autoriteit moeilijker is om onrechtmatige gedragingen tegen te gaan naarmate de omvang van de verwerking toeneemt. Hoe groter de omvang van de verwerking, des te meer gewicht de toezichthoudende autoriteit aan deze factor kan toekennen.
• iii. Het doel van de verwerking kan ertoe leiden dat de toezichthoudende autoriteit meer gewicht aan deze factor toekent. De toezichthoudende autoriteit kan ook in aanmerking nemen of de verwerking van persoonsgegevens onder de zogenoemde kernactiviteiten van de verwerkingsverantwoordelijke valt. Hoe centraler de plaats van de verwerking binnen de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker, hoe ernstiger onregelmatigheden bij die verwerking zullen zijn. De toezichthoudende autoriteit kan in dat geval meer gewicht aan deze factor toekennen. Er kunnen echter omstandigheden zijn waarin de verwerking van persoonsgegevens minder centraal staat in de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker, maar toch

aanzienlijke gevolgen heeft voor de beoordeling (dit is bijvoorbeeld het geval bij de verwerking van persoonsgegevens van werknemers, indien door de inbreuk de waardigheid van die werknemers in belangrijke mate wordt aangetast).

• iv. Het aantal betrokkenen dat daadwerkelijk maar ook mogelijkerwijs wordt getroffen. Hoe hoger het aantal getroffen betrokkenen, des te meer gewicht de toezichthoudende autoriteit aan deze factor kan toekennen. In veel gevallen kan ook in aanmerking worden genomen dat de inbreuk een 'systemische' connotatie heeft en daarom, zelfs op verschillende tijdstippen, gevolgen kan hebben voor nog meer betrokkenen die geen klacht of melding bij de toezichthoudende autoriteit hebben ingediend. De toezichthoudende autoriteit kan in dat kader, afhankelijk van de omstandigheden van het geval, rekening houden met de verhouding tussen het aantal getroffen betrokkenen en het totale aantal betrokkenen (bv. het aantal burgers, klanten of werknemers) om te beoordelen of de inbreuk systemisch van aard is.
• v. De omvang van de schade die is geleden en de mate waarin het gedrag van invloed kan zijn op de individuele rechten en vrijheden. De verwijzing naar de 'omvang' van de geleden schade is derhalve bedoeld om de aandacht van de toezichthoudende autoriteit te vestigen op de geleden of waarschijnlijke schade als bijkomende, afzonderlijke parameter met betrekking tot het aantal betrokkenen (bijvoorbeeld in gevallen waarin het aantal door de onrechtmatige verwerking getroffen personen hoog is, maar de door hen geleden schade gering is). Volgens overweging 75 AVG heeft de omvang van de geleden schade betrekking op lichamelijke, materiële of immateriële schade. De beoordeling van de schade moet in ieder geval worden beperkt tot wat functioneel noodzakelijk is om tot een juiste beoordeling van de zwaarte van de inbreuk te komen zoals vermeld in punt 60, zonder dat er sprake mag zijn van overlappingen met de activiteiten van rechterlijke instanties die belast zijn met het vaststellen van de verschillende vormen van individuele schade.
• c) De duur van de inbreuk , wat betekent dat een toezichthoudende autoriteit over het algemeen meer gewicht zal toekennen aan een inbreuk met een langere duur. Hoe langer de duur van de inbreuk, des te meer gewicht de toezichthoudende autoriteit aan deze factor kan toekennen. Onverminderd het nationale recht geldt dat, indien een bepaalde gedraging ook illegaal was binnen het vorige regelgevingskader, zowel de periode na de datum waarop de AVG van kracht is geworden als de voorafgaande periode in aanmerking kunnen worden genomen bij het bepalen van de geldboete, rekening houdend met de voorwaarden van dat kader.

54. De toezichthoudende autoriteit kan gewicht toekennen aan de bovengenoemde factoren, afhankelijk van de omstandigheden van het geval. Als zij niet bijzonder relevant zijn, kunnen zij ook als neutraal worden beschouwd.

4.2.2 - Opzettelijke of nalatige aard van de inbreuk

55. In zijn vorige richtsnoeren stelde de EDPB: 'In het algemeen omvat 'opzet' zowel kennis als moedwil met betrekking tot de kenmerken van een strafbaar feit, terwijl 'onopzettelijk' betekent dat er geen opzet was om de inbreuk te veroorzaken, hoewel de verwerkingsverantwoordelijke of de verwerker de in de wet

voorgeschreven zorgplicht heeft geschonden.' 23 Onopzettelijk in die zin kan niet worden gelijkgesteld met niet-vrijwillig.

Voorbeeld 4 - Voorbeelden van opzet en nalatigheid (uit WP 253) 24

'Omstandigheden die wijzen op een opzettelijke inbreuk kunnen onrechtmatige verwerking zijn die uitdrukkelijk is toegestaan door de hiërarchie van het topmanagement van de verwerkingsverantwoordelijke, of ondanks het advies van de functionaris voor gegevensbescherming of in strijd met bestaand beleid, bijvoorbeeld het verkrijgen en verwerken van gegevens over werknemers bij een concurrent met de bedoeling die concurrent in diskrediet te brengen op de markt. Andere voorbeelden zijn:

• -het wijzigen van persoonsgegevens om een misleidende (positieve) indruk te geven dat doelstellingen zijn gehaald - wij hebben dit gezien in het kader van doelstellingen voor wachttijden in ziekenhuizen;
• -de handel in persoonsgegevens voor marketingdoeleinden, d.w.z. de verkoop van gegevens alsof de betrokkenen daartoe hun toestemming hebben gegeven (opt-in), terwijl het standpunt van de betrokkenen over het gebruik van hun gegevens niet werd nagetrokken of terzijde werd geschoven.

Andere omstandigheden, zoals het niet lezen en naleven van bestaande beleidsregels, menselijke fouten, het niet controleren van persoonsgegevens in gepubliceerde informatie, het niet tijdig toepassen van technische updates, het niet goedkeuren van beleidsregels (in plaats van ze simpelweg niet toe te passen) kunnen wijzen op nalatigheid.'

56. De opzettelijke of nalatige aard van de inbreuk (artikel 83, lid 2, punt b), AVG) moet worden beoordeeld met inachtneming van de objectieve aspecten van het gedrag die uit de feiten van het geval zijn afgeleid. De EDPB benadrukte dat algemeen wordt toegegeven dat opzettelijke inbreuken, 'die blijk geven van minachting voor de bepalingen van de wet, ernstiger zijn dan onopzettelijke inbreuken' 25 . In geval van een opzettelijke inbreuk zal de toezichthoudende autoriteit waarschijnlijk meer gewicht aan deze factor toekennen. Afhankelijk van de omstandigheden van het geval kan de toezichthoudende autoriteit ook gewicht toekennen aan de mate van nalatigheid. In het beste geval kan nalatigheid als neutraal worden beschouwd.

4.2.3 - Categorieën van persoonsgegevens waarop de inbreuk betrekking heeft

57. Wat betreft de eis om rekening te houden met de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft (artikel 83, lid 2, punt g), AVG), worden in de AVG duidelijk de soorten gegevens vermeld die bijzondere bescherming nodig hebben en ten aanzien waarvan derhalve strenger moet worden opgetreden in verband met geldboeten. Het gaat hierbij in ieder geval om de in de artikelen 9 en 10 AVG bedoelde soorten gegevens en gegevens buiten het toepassingsgebied van deze artikelen waarvan de verspreiding onmiddellijk schade of leed voor de betrokkene tot gevolg zou hebben 26 (bv. locatiegegevens, gegevens over privécommunicatie, nationale identificatienummers of financiële gegevens zoals transactieoverzichten of creditcardnummers) 27 . Over het algemeen geldt dat om hoe meer van deze categorieën gegevens het gaat of hoe gevoeliger de gegevens, des te meer gewicht de toezichthoudende autoriteit aan deze factor kan toekennen.

23 Richtsnoeren WP 253, blz. 12.

24 Deze voorbeelden zijn rechtstreeks overgenomen uit de richtsnoeren WP 253, blz. 12.

25 Richtsnoeren WP 253, blz. 12.

26 Zie voetnoot 25, blz. 16.

58. Verder is de hoeveelheid gegevens over elke betrokkene van belang, gezien het feit dat de inbreuk op het recht op privacy en bescherming van persoonsgegevens zwaarder wordt met de toename van de hoeveelheid gegevens over elke betrokkene.

4.2.4 - Indeling van de zwaarte van de inbreuk en vaststelling van het passende uitgangsbedrag

59. Op basis van de beoordeling van de bovenstaande factoren (de paragrafen 4.2.1 tot en met 4.2.3) wordt de zwaarte van de inbreuk als geheel bepaald. Deze beoordeling is geen mathematische berekening waarin de bovengenoemde factoren afzonderlijk worden beschouwd, maar eerder een grondige evaluatie van de concrete omstandigheden van het geval, waarin alle bovengenoemde factoren onderling met elkaar verbonden zijn. Daarom moet bij het beoordelen van de zwaarte van de inbreuk worden gekeken naar de inbreuk als geheel.
60. Op basis van de evaluatie van de hierboven beschreven factoren wordt bepaald of het gaat om een inbreuk van een i) lage, ii) gemiddelde of iii) hoge zwaarte. Deze categorieën staan los van de vraag of er al dan niet een geldboete kan worden opgelegd.
61. -Bij het berekenen van de administratieve geldboete voor inbreuken van een lage zwaarte zal de toezichthoudende autoriteit het uitgangsbedrag voor de verdere berekening vaststellen op een punt tussen de 0 en 10 % van het toepasselijke wettelijke maximumbedrag.
62. -Bij het berekenen van de administratieve geldboete voor inbreuken van een gemiddelde zwaarte zal de toezichthoudende autoriteit het uitgangsbedrag voor de verdere berekening vaststellen op een punt tussen de 10 en 20 % van het toepasselijke wettelijke maximumbedrag.
63. -Bij het berekenen van de administratieve geldboete voor inbreuken van een hoge zwaarte zal de toezichthoudende autoriteit het uitgangsbedrag voor de verdere berekening vaststellen op een punt tussen de 20 en 100 % van het toepasselijke wettelijke maximumbedrag.
64. In de regel geldt dat hoe zwaarder de inbreuk is binnen de betreffende categorie, des te hoger het uitgangsbedrag waarschijnlijk zal zijn.
65. De bereiken waarbinnen het uitgangsbedrag wordt bepaald, worden voortdurend geëvalueerd door de EDPB en zijn leden, en kunnen zo nodig worden aangepast.

Voorbeeld 5a - Kwalificatie van de zwaarte van een inbreuk (hoge zwaarte) Na talrijke klachten van klanten van een telefoonmaatschappij over ongevraagde oproepen te hebben onderzocht, stelde de toezichthoudende autoriteit vast dat de telefoonmaatschappij zonder geldige rechtsgrondslag de contactgegevens van haar klanten gebruikte voor telemarketingdoeleinden (inbreuk op artikel 6 AVG). In het bijzonder had de telefoonmaatschappij de namen en geregistreerde telefoonnummers van haar klanten voor marketingdoeleinden aangeboden aan derden. De telefoonmaatschappij ging hiertoe over ondanks dat de functionaris voor gegevensbescherming dit had afgeraden, zonder enige moeite te doen om de praktijk tegen te gaan of klanten een mogelijkheid te bieden om bezwaar te maken. De praktijk was al in mei 2018 begonnen en nog steeds aan de gang ten tijde van het onderzoek. De telefoonmaatschappij in kwestie was landelijk actief en alle 4 miljoen klanten waren slachtoffer van de praktijk. De toezichthoudende autoriteit stelde vast dat al die klanten regelmatig ongevraagd waren opgebeld door derden, zonder dat zij doeltreffende middelen hadden om daar iets tegen te doen.

De toezichthoudende autoriteit kreeg de taak om de zwaarte van deze inbreuk te beoordelen. Om te beginnen merkte de toezichthoudende autoriteit op dat een inbreuk op artikel 6 AVG wordt genoemd bij de inbreuken van artikel 83, lid 5, AVG en derhalve in het hogere niveau van artikel 83 AVG valt. Vervolgens maakte de toezichthoudende autoriteit een beoordeling van de omstandigheden van het geval. In dat verband kende de toezichthoudende autoriteit een groot gewicht toe aan de aard van de inbreuk , aangezien de geschonden bepaling (artikel 6 AVG) de basis vormt voor de rechtmatigheid van de gegevensverwerking als geheel. Als deze bepaling niet wordt nageleefd, geschiedt de verwerking als geheel niet rechtmatig. Daarnaast kende de toezichthoudende autoriteit een groot gewicht toe aan de duur van de inbreuk , die aanving bij de inwerkingtreding van de AVG en ten tijde van het onderzoek nog niet was beëindigd. Het feit dat de telefoonmaatschappij landelijk actief was, leidde tot een hoger gewicht voor de omvang van de verwerking . Het aantal betrokkenen werd als zeer hoog beschouwd (4 miljoen, afgezet tegen een totale bevolking van 14 miljoen mensen), terwijl de omvang van de schade die zij hadden geleden als middelmatig werd beschouwd (immateriële schade, in de vorm van hinder). Bij deze laatste beoordeling werd rekening gehouden met de categorieën van gegevens waarop de inbreuk betrekking heeft (naam en telefoonnummer). De zwaarte van de inbreuk nam echter toe vanwege het feit dat de inbreuk was gepleegd tegen het advies van de functionaris voor gegevensbescherming in en bijgevolg als opzettelijk werd beschouwd.

Al het bovenstaande in aanmerking genomen (ernstig, lange duur, groot aantal betrokkenen, landelijke omvang, opzettelijk, tegenover middelmatige schade), concludeert de toezichthoudende autoriteit dat het gaat om een inbreuk van hoge zwaarte . De toezichthoudende autoriteit zal het uitgangsbedrag voor de verdere berekening vaststellen op een punt tussen de 20 en 100 % van het wettelijke maximumbedrag dat is opgenomen in artikel 83, lid 5, AVG.

Voorbeeld 5b - Kwalificatie van de zwaarte van een inbreuk (gemiddelde zwaarte)

Een toezichthoudende autoriteit ontving van een ziekenhuis een melding van een inbreuk in verband met persoonsgegevens. Uit deze melding bleek dat verschillende personeelsleden delen van patiëntendossiers met gezondheidsgegevens hadden kunnen inzien waartoe zij - op basis van hun afdeling - geen toegang hadden moeten hebben. Het ziekenhuis had gewerkt aan procedures om de toegang tot patiëntendossiers te reguleren en had strenge maatregelen genomen voor beperkte toegang. Daardoor had het personeel van een afdeling alleen toegang tot medische informatie die van belang is voor die specifieke afdeling. Daarnaast had het ziekenhuis geïnvesteerd in privacybewustzijn onder zijn personeelsleden. Zoals gebleken is, waren er echter problemen met de monitoring van autorisaties. Personeelsleden die naar een andere afdeling verhuisden, hadden nog steeds toegang tot de patiëntendossiers van hun 'oude' afdeling en het ziekenhuis beschikte niet over procedures om de huidige functie van het personeelslid in overeenstemming te brengen met zijn autorisatie. Uit intern onderzoek van het ziekenhuis bleek dat ten minste 150 personeelsleden (van de 3 500) een onjuiste autorisatie hadden, wat van invloed was op ten minste 20 000 van de 95 000 patiëntendossiers. Het ziekenhuis kon aantonen dat in ten minste 16 gevallen personeelsleden hun autorisatie hadden gebruikt om patiëntendossiers in te zien. De toezichthoudende autoriteit is van oordeel dat er sprake is van een inbreuk op artikel 32 AVG.

Bij het beoordelen van de zwaarte van de inbreuk merkte de toezichthoudende autoriteit eerst op dat een inbreuk op artikel 32 AVG wordt genoemd bij de inbreuken van artikel 83, lid 4, AVG en derhalve in het lagere niveau van artikel 83 AVG valt. Vervolgens maakte de toezichthoudende autoriteit een beoordeling van de omstandigheden van het geval. In dat verband nam de toezichthoudende autoriteit in overweging dat het aantal door de inbreuk getroffen betrokkenen

weliswaar slechts 16 bedroeg, maar dat dit er onder de omstandigheden van het geval 20 000 hadden kunnen zijn en zelfs 95 000 gezien de systemische aard van de kwestie. Voorts deelde de toezichthoudende autoriteit de inbreuk in als nalatig van aard, maar in geringe mate, hetgeen in de omstandigheden van dit specifieke geval als neutrale factor werd beschouwd vanwege het feit dat het ziekenhuis geen beleid inzake autorisaties had vastgesteld terwijl het dit wel had moeten doen, maar anderzijds het nodige had gedaan om strenge maatregelen te nemen om toegang te beperken. Deze evaluatie werd niet beïnvloed door het feit dat ander beleid inzake gegevensbescherming en beveiliging met succes was uitgevoerd, zoals de AVG voorschrijft. Tot slot kende de toezichthoudende autoriteit een groot gewicht toe aan het feit dat de patiëntendossiers gezondheidsgegevens bevatten. Dit is een bijzondere categorie van gegevens overeenkomstig artikel 9 AVG.

Al het bovenstaande in aanmerking genomen (aard van de verwerking en bijzondere categorie van gegevens tegenover het aantal daadwerkelijk en mogelijkerwijs getroffen betrokkenen), concludeert de toezichthoudende autoriteit dat het gaat om een inbreuk van een zwaarte . De toezichthoudende autoriteit zal het uitgangsbedrag voor de verdere berekening vaststellen op een punt tussen de 10 en 20 % van het wettelijke maximumbedrag dat is opgenomen in artikel 83, lid 4, AVG.

Voorbeeld 5c - Kwalificatie van de zwaarte van een inbreuk (lage zwaarte)

Een toezichthoudende autoriteit heeft talrijke klachten ontvangen over de manier waarop een webwinkel omgaat met het recht van inzage van zijn betrokkenen. Volgens de klagers neemt de afhandeling van hun verzoeken om inzage tussen de vier en zes maanden in beslag, wat langer is dan toegestaan op grond van de AVG. De toezichthoudende autoriteit onderzoekt de klachten en stelt vast dat de webwinkel in 5 % van de gevallen maximaal drie maanden te laat op verzoeken om inzage reageert. In totaal heeft de winkel jaarlijks circa 1 000 verzoeken om inzage ontvangen en bevestigd dat 950 van die verzoeken op tijd werden afgehandeld. Bovendien had de webwinkel beleid ingevoerd om te waarborgen dat alle verzoeken om inzage correct en volledig werden afgehandeld. Niettemin concludeerde de toezichthoudende autoriteit dat de webwinkel inbreuk had gemaakt op artikel 12, lid 3, AVG en besloot zij een geldboete op te leggen.

Bij de berekening van de hoogte van de op te leggen geldboete kreeg de toezichthoudende autoriteit de taak om de zwaarte van deze inbreuk te beoordelen. Om te beginnen merkte de toezichthoudende autoriteit op dat een inbreuk op artikel 12 AVG wordt genoemd bij de inbreuken van artikel 83, lid 5, AVG en derhalve in het hogere niveau van artikel 83 AVG valt. Vervolgens maakte de toezichthoudende autoriteit een beoordeling van de omstandigheden van het geval. In dat verband voerde de toezichthoudende autoriteit een zorgvuldige analyse uit van de aard van de inbreuk . Hoewel het tijdige recht op inzage in persoonsgegevens een van de hoekstenen van de rechten van de betrokkenen is, was de toezichthoudende autoriteit van mening dat de ernst van de inbreuk in dat opzicht beperkt was, gezien het feit dat alle verzoeken uiteindelijk en met beperkte vertraging werden afgehandeld. Met betrekking tot het doel van de verwerking stelde de toezichthoudende autoriteit vast dat de verwerking van persoonsgegevens geen kernactiviteit van de webwinkel was, maar nog altijd een belangrijke nevenactiviteit bij het vervullen van het doel om online goederen te verkopen. De toezichthoudende autoriteit oordeelde dat hierdoor de zwaarte van de inbreuk toenam. Anderzijds werd de omvang van de schade die de betrokkenen hadden geleden, minimaal geacht, aangezien alle verzoeken om inzage binnen zes maanden werden afgehandeld.

Al het bovenstaande in aanmerking genomen (aard van de inbreuk, doel van de verwerking en omvang van de schade), concludeert de toezichthoudende autoriteit dat het gaat om een inbreuk van een lage mate zwaarte. De toezichthoudende autoriteit zal het uitgangsbedrag voor de verdere

berekening vaststellen op een punt tussen de 0 en 10 % van het wettelijke maximumbedrag dat is opgenomen in artikel 83, lid 5, AVG.

4.3 - Omzet van de onderneming met het oog op het opleggen van een doeltreffende, afschrikkende en evenredige geldboete

63. Op grond van de AVG moet elke toezichthoudende autoriteit ervoor zorgen dat de administratieve geldboeten die worden opgelegd in elk individueel geval doeltreffend, evenredig en afschrikkend zijn (artikel 83, lid 1, AVG). De toepassing van deze beginselen van het recht van de Europese Unie kan in individuele gevallen verstrekkende gevolgen hebben, aangezien de uitgangsbedragen voor het berekenen van administratieve boeten in de AVG net zo goed voor micro-ondernemingen als voor multinationals gelden. Om een geldboete op te leggen die in alle gevallen doeltreffend, evenredig en afschrikkend is, wordt van de toezichthoudende autoriteiten verwacht dat zij de administratieve geldboeten aanpassen binnen het volledige beschikbare bereik tot aan het wettelijke maximumboetebedrag. Dit kan leiden tot aanzienlijke verhogingen of verlagingen van het bedrag van de geldboete, afhankelijk van de omstandigheden van het geval.
64. De EDPB is van oordeel dat het eerlijk is om in de hierna te bepalen uitgangsbedragen een onderscheid naar de omvang van de onderneming tot uiting te laten komen en houdt daarom rekening met de omzet van de onderneming 28 . De EDPB houdt zich aan de voorschriften van artikel 83 AVG, de AVG als geheel en de vaste rechtspraak van het Hof waarin wordt gesteld dat de omzet van een onderneming een indicatie kan vormen van de omvang en economische macht van een onderneming 29 . Dit ontslaat de toezichthoudende autoriteit echter niet van haar verantwoordelijkheid om aan het einde van de berekening te beoordelen of de geldboete doeltreffend, afschrikkend en evenredig is (zie hoofdstuk 7). Dit laatste punt omvat alle omstandigheden van het geval, met inbegrip van bijvoorbeeld de accumulatie van meerdere inbreuken, verhogingen en verlagingen vanwege verzwarende en verzachtende omstandigheden en financiële/sociaaleconomische omstandigheden. Het is evenwel aan de toezichthoudende autoriteit om erop toe te zien dat dezelfde omstandigheden niet tweemaal worden meegeteld. Met name mogen toezichthoudende autoriteiten, overeenkomstig hoofdstuk 7, de verhogingen of verlagingen in verhouding tot de omzet van de onderneming niet herhalen. In plaats daarvan moeten zij hun evaluatie van het passende uitgangsbedrag herzien.
65. Om de hierboven uiteengezette redenen kan de toezichthoudende autoriteit overwegen om het uitgangsbedrag overeenkomstig de zwaarte van de inbreuk aan te passen in gevallen waarin deze inbreuk is gepleegd door een onderneming met een jaaromzet van niet meer dan 2 miljoen EUR, een jaaromzet van niet meer dan 10 miljoen EUR of een jaaromzet van niet meer dan 50 miljoen EUR 30 .

• -Voor ondernemingen met een jaaromzet van ≤ 2 miljoen EUR kunnen de toezichthoudende autoriteiten overwegen om de berekening voort te zetten op basis van een bedrag tussen de 0,2 en 0,4 % van het vastgestelde uitgangsbedrag.
• -Voor ondernemingen met een jaaromzet van 2 miljoen EUR tot 10 miljoen EUR kunnen de toezichthoudende autoriteiten overwegen om de berekening voort te zetten op basis van een bedrag tussen de 0,3 en 2 % van het vastgestelde uitgangsbedrag.
• -Voor ondernemingen met een jaaromzet van 10 miljoen EUR tot 50 miljoen EUR kunnen de toezichthoudende autoriteiten overwegen om de berekening voort te zetten op basis van een bedrag tussen de 1,5 en 10 % van het vastgestelde uitgangsbedrag.

66. Om dezelfde redenen kan de toezichthoudende autoriteit overwegen om het uitgangsbedrag in overeenstemming te brengen met de zwaarte van de inbreuk in gevallen waarin deze inbreuk is gepleegd door een onderneming met een jaaromzet van niet meer dan 100 miljoen EUR, een jaaromzet van niet meer dan 250 miljoen EUR of een jaaromzet van niet meer dan 500 miljoen EUR 31 .

• -Voor ondernemingen met een jaaromzet van 50 miljoen EUR tot 100 miljoen EUR kunnen de toezichthoudende autoriteiten overwegen om de berekening voort te zetten op basis van een bedrag tussen de 8 en 20 % van het vastgestelde uitgangsbedrag.
• -Voor ondernemingen met een jaaromzet van 100 miljoen EUR tot 250 miljoen EUR kunnen de toezichthoudende autoriteiten overwegen om de berekening voort te zetten op basis van een bedrag tussen de 15 en 50 % van het vastgestelde uitgangsbedrag.
• -Voor ondernemingen met een jaaromzet van 250 miljoen EUR tot 500 miljoen EUR kunnen de toezichthoudende autoriteiten overwegen om de berekening voort te zetten op basis van een bedrag tussen de 40 en 100 % van het vastgestelde uitgangsbedrag.
• -Voor ondernemingen met een jaaromzet van meer dan 500 miljoen EUR kunnen de toezichthoudende autoriteiten overwegen om de berekening voort te zetten zonder het vastgestelde uitgangsbedrag aan te passen. Dergelijke ondernemingen komen immers al boven het statische wettelijke maximum uit, waardoor de omvang van de onderneming reeds tot uitdrukking komt in het dynamische wettelijke maximum dat wordt gebruikt voor het bepalen van het uitgangsbedrag voor verdere berekening op basis van de beoordeling van de zwaarte van de inbreuk.

67. In de regel geldt dat hoe hoger de omzet van de onderneming is binnen het toepasselijke niveau, des te hoger het uitgangsbedrag waarschijnlijk zal zijn. Dit laatste geldt in het bijzonder voor de grootste ondernemingen, waarvoor de categorie van uitgangsbedragen het breedst is.
68. Bovendien is de toezichthoudende autoriteit niet verplicht om deze aanpassing toe te passen als het met het oog op een doeltreffende, afschrikkende en evenredige geldboete niet noodzakelijk is om het uitgangsbedrag aan te passen.
69. Er wordt nogmaals op gewezen dat deze cijfers de uitgangsbedragen voor de verdere berekening zijn, en geen vaste bedragen (prijskaartjes) voor inbreuken op bepalingen van de AVG. De toezichthoudende autoriteit heeft de vrijheid om gebruik te maken van het volledige boetebereik vanaf elk bedrag tot aan het

31 Deze cijfers worden toegevoegd ter overbrugging van de kloof tussen de hoogste drempelwaarde van het vorige punt en de in artikel 83, leden 4 tot en met 6, AVG vastgestelde omzetdrempel.

wettelijke maximumboetebedrag, waarbij zij ervoor zorgt dat de geldboete is afgestemd op de omstandigheden van het geval, zoals vereist door het Hof van Justitie wanneer een abstract uitgangsbedrag wordt gebruikt.

Voorbeeld 6a - De vaststelling van het uitgangsbedrag voor de verdere berekening

Een supermarktketen met een omzet van 450 miljoen EUR heeft inbreuk gemaakt op artikel 12 AVG. De toezichthoudende autoriteit oordeelde op basis van een zorgvuldige analyse van de omstandigheden van het geval dat het ging om een inbreuk van een lage zwaarte. Om het uitgangsbedrag voor de verdere berekening te bepalen, stelt de toezichthoudende autoriteit eerst vast dat artikel 12 AVG wordt genoemd in artikel 83, lid 5, punt b), AVG en dat er, op basis van de omzet van de onderneming (450 miljoen EUR), een wettelijk maximumboetebedrag van 20 miljoen EUR geldt.

Op basis van de door de toezichthoudende autoriteit vastgestelde zwaarte (laag) moet rekening worden gehouden met een uitgangsbedrag van tussen de 0 en 2 miljoen EUR (tussen 0 en 10 % van het toepasselijke wettelijke maximumbedrag, zie punt 60).

De toezichthoudende autoriteit is van mening dat een aanpassing naar beneden tot 90 % van het uitgangsbedrag gerechtvaardigd is op basis van de omvang van de onderneming, die een omzet heeft van 450 miljoen EUR. Dit bedrag vormt de basis voor de verdere berekening, die een eindbedrag moet opleveren dat niet hoger is dan het toepasselijke wettelijke maximum van 20 miljoen EUR.

Voorbeeld 6b - De vaststelling van het uitgangsbedrag voor de verdere berekening

Een startende datingapp met een omzet van 500 000 EUR bleek gevoelige persoonsgegevens van zijn klanten aan verschillende gegevensmakelaars te hebben verkocht voor analyse en daardoor inbreuk te hebben gemaakt op artikel 9 en artikel 5, lid 1, punt a), AVG. De toezichthoudende autoriteit oordeelde op basis van een zorgvuldige analyse van de omstandigheden van het geval dat het ging om een inbreuk van een hoge zwaarte. Om het uitgangsbedrag voor de verdere berekening te bepalen, stelt de toezichthoudende autoriteit eerst vast dat de artikelen 9 en 5 AVG worden genoemd in artikel 83, lid 5, punt a), AVG en dat er, op basis van de omzet van de onderneming (500 000 EUR), een wettelijk maximumboetebedrag van 20 000 000 EUR geldt.

Op basis van de door de toezichthoudende autoriteit vastgestelde zwaarte (hoog) moet rekening worden gehouden met een uitgangsbedrag van tussen de 4 000 000 en 20 000 000 EUR (tussen 20 en 100 % van het toepasselijke wettelijke maximumbedrag, zie punt 60).

De toezichthoudende autoriteit is van mening dat een aanpassing naar beneden tot 0,25 % van het uitgangsbedrag gerechtvaardigd is op basis van de omvang van de onderneming, die een omzet heeft van 500 000 EUR. Dit bedrag vormt de basis voor de verdere berekening, die een eindbedrag moet opleveren dat niet hoger is dan het toepasselijke maximum van 20 miljoen EUR.

HOOFDSTUK 5 - VERZWARENDE EN VERZACHTENDE OMSTANDIGHEDEN

5.1 - Vaststelling van verzwarende en verzachtende factoren

70. Volgens de structuur van de AVG moet de toezichthoudende autoriteit, nadat zij een beoordeling heeft gemaakt van de aard, de ernst en de duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk en de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft, rekening houden met de overige verzwarende en verzachtende factoren zoals genoemd in artikel 83, lid 2, AVG.
71. Met betrekking tot de beoordeling van deze elementen geldt dat verhogingen of verlagingen van een geldboete niet vooraf aan de hand van tabellen of percentages kunnen worden bepaald. Er wordt nogmaals op gewezen dat de daadwerkelijke kwantificering van de geldboete afhankelijk is van alle elementen die in de loop van het onderzoek zijn verzameld en van verdere overwegingen die ook verband houden met eerdere ervaringen van de toezichthoudende autoriteit op het gebied van geldboeten.
72. Voor de duidelijkheid moet worden opgemerkt dat elk criterium van artikel 83, lid 2, AVG - ongeacht of het wordt beoordeeld krachtens hoofdstuk 4 of dit hoofdstuk - slechts eenmaal in aanmerking mag worden genomen in het kader van de algehele beoordeling van artikel 83, lid 2, AVG.

5.2 - De door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken

73. Een eerste stap om te bepalen of zich verzwarende of verzachtende omstandigheden hebben voorgedaan, bestaat in de beoordeling van artikel 83, lid 2, punt c), dat betrekking heeft op 'de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken'.
74. Zoals vermeld in de richtsnoeren WP 253 zijn verwerkingsverantwoordelijken en verwerkers reeds verplicht 'technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen, effectbeoordelingen inzake gegevensbescherming uit te voeren en de risico's voor de rechten en vrijheden van personen die voortvloeien uit de verwerking van persoonsgegevens, te beperken'. In het geval van een inbreuk dient de verwerkingsverantwoordelijke of de verwerker echter 'al het mogelijke te doen om de gevolgen van de inbreuk voor de betrokkene(n) te beperken' 32 .
75. Het nemen van passende maatregelen om de door de betrokkenen geleden schade te beperken kan als verzachtende factor worden beschouwd, waardoor het bedrag van de geldboete wordt verlaagd.
76. De genomen maatregelen moeten met name worden beoordeeld met betrekking tot de tijdigheid, d.w.z. het moment waarop ze door de verwerkingsverantwoordelijke of de verwerker worden uitgevoerd, en de doeltreffendheid ervan. In die zin worden maatregelen die uit eigen beweging worden uitgevoerd voordat de verwerkingsverantwoordelijke of de verwerker verneemt dat de toezichthoudende autoriteit een onderzoek gaat starten, eerder als verzachtende factor beschouwd dan maatregelen die daarna worden uitgevoerd.

32 Richtsnoeren WP 253, blz. 13.

5.3 - Mate van verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker

77. Overeenkomstig artikel 83, lid 2, punt d), moet worden beoordeeld in welke mate de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is, rekening houdend met de maatregelen die hij heeft uitgevoerd ingevolge de artikelen 25 en 32 AVG. In de richtsnoeren WP 253 staat dat '[d]e vraag die de toezichthoudende autoriteit dan moet beantwoorden, is in hoeverre de verwerkingsverantwoordelijke 'heeft gedaan wat van hem mocht worden verwacht' gelet op de aard, het doel of de omvang van de verwerking, gezien in het licht van de verplichtingen die door de verordening worden opgelegd' 33 .

78. Met betrekking tot dit criterium moet met name een beoordeling worden gemaakt van het restrisico voor de vrijheden en rechten van de betrokkenen, de veroorzaakte schade voor de betrokkenen en de blijvende schade nadat de verwerkingsverantwoordelijke maatregelen heeft genomen, alsook van de robuustheid van de krachtens de artikelen 25 en 32 AVG genomen maatregelen.

79. In dit verband kan de toezichthoudende autoriteit ook onderzoeken of de betrokken gegevens direct identificeerbaar waren en/of beschikbaar waren zonder technische bescherming 34 . Er moet echter in gedachten worden gehouden dat het bestaan van dergelijke bescherming niet noodzakelijkerwijs een verzachtende factor vormt (zie punt 82). Dit hangt af van alle omstandigheden van het geval.

80. Om de bovengenoemde elementen naar behoren te beoordelen, moet de toezichthoudende autoriteit rekening houden met alle door de verwerkingsverantwoordelijke of de verwerker verstrekte relevante documentatie, bv. in het kader van de uitoefening van zijn recht van verdediging. In het bijzonder kan uit dergelijke documentatie blijken wanneer de maatregelen werden getroffen en op welke wijze zij werden uitgevoerd, of er contact is geweest tussen de verwerkingsverantwoordelijke en de verwerker (indien van toepassing) dan wel of er contact is geweest met de functionaris voor gegevensbescherming of betrokkenen (indien van toepassing).

81. Gezien de grotere mate van verantwoording krachtens de AVG in vergelijking met Richtlijn 95/46/EG 35 is het waarschijnlijk dat de mate van verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker als een verzwarende of een neutrale factor zal worden beschouwd. Alleen in uitzonderlijke omstandigheden, waarin de verwerkingsverantwoordelijke of de verwerker verder is gegaan dan de op hem rustende verplichtingen, wordt dit als een verzachtende factor beschouwd.

5.4 - Eerdere inbreuken door de verwerkingsverantwoordelijke of de verwerker

82. Eerdere inbreuken zijn inbreuken die reeds waren vastgesteld voordat het besluit wordt meegedeeld. In geval van samenwerking krachtens hoofdstuk VII AVG zijn eerdere inbreuken die welke reeds waren vastgesteld voordat het ontwerpbesluit (in de zin van artikel 60 AVG) wordt meegedeeld.
83. Overeenkomstig artikel 83, lid 2, punt e), AVG moet bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan rekening worden gehouden met alle eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker. Woorden van gelijke strekking zijn opgenomen in overweging 148 AVG.

33 Zie voetnoot 32, blz. 14.

34 Zie voetnoot 33, blz. 15-16.

35 Zie voetnoot 33, blz. 13.

5.4.1 - Tijdschema

84. In de eerste plaats moet rekening worden gehouden met het tijdstip waarop de eerdere inbreuk plaatsvond, aangezien een eerdere inbreuk van minder belang wordt naarmate er meer tijd is verstreken tot de inbreuk die thans wordt onderzocht. Dus hoe langer geleden de inbreuk werd gepleegd, hoe minder belang de toezichthoudende autoriteiten eraan toekennen. Deze beoordeling wordt aan de toezichthoudende autoriteit overgelaten, onverminderd de toepasselijke nationale en Europese wetgeving en beginselen.
85. Toch kunnen inbreuken die lange tijd geleden zijn gepleegd, nog steeds van belang zijn bij de beoordeling van de 'staat van dienst' van de verwerkingsverantwoordelijke of de verwerker. Daarom worden er hiervoor geen vaste verjaringstermijnen vastgesteld. Volgens sommige nationale wetten mag de toezichthoudende autoriteit eerdere inbreuken echter niet meer in aanmerking nemen na een vastgestelde periode. Evenzo is het krachtens bepaalde nationale wetten verplicht om dossiers na een bepaalde periode te wissen, waardoor de optredende toezichthoudende autoriteiten geen rekening met die precedenten kunnen houden.
86. Om dezelfde reden moet worden opgemerkt dat inbreuken op de AVG, omdat die recenter zijn, als relevanter moeten worden beschouwd dan inbreuken op de nationale bepalingen die zijn vastgesteld ter uitvoering van Richtlijn 95/46/EG (indien de nationale wetgeving toelaat dat de toezichthoudende autoriteit dergelijke inbreuken in aanmerking neemt).

5.4.2 - Onderwerp

87. Voor de toepassing van artikel 83, lid 2, punt e), AVG kunnen eerdere inbreuken met betrekking tot hetzelfde of een ander onderwerp dan dat van de inbreuk die wordt onderzocht, als 'relevant' worden beschouwd.
88. Hoewel alle eerdere inbreuken een indicatie kunnen geven van de algemene houding van de verwerkingsverantwoordelijke of de verwerker ten aanzien van de naleving van de AVG, moet aan inbreuken met betrekking tot hetzelfde onderwerp meer belang worden gehecht. Zij liggen namelijk dichter bij de inbreuk die thans wordt onderzocht, met name wanneer de verwerkingsverantwoordelijke of de verwerker eerder dezelfde inbreuk heeft gepleegd (herhaalde inbreuken). Inbreuken met betrekking tot hetzelfde onderwerp moeten dus als relevanter worden beschouwd dan eerdere inbreuken met betrekking tot een ander onderwerp.
89. Zo moet het feit dat de verwerkingsverantwoordelijke of de verwerker in het verleden niet tijdig heeft gereageerd op betrokkenen die hun rechten uitoefenen, als relevanter worden beschouwd wanneer het bij de onderzochte inbreuk eveneens gaat om het uitblijven van een reactie op betrokkenen die hun rechten uitoefenen dan wanneer het gaat om een inbreuk in verband met persoonsgegevens.
90. Er moet echter terdege rekening worden gehouden met eerdere inbreuken met betrekking tot een ander onderwerp, maar die op dezelfde wijze werden gepleegd, aangezien zij kunnen wijzen op aanhoudende problemen binnen de organisatie van de verwerkingsverantwoordelijke of de verwerker. Dit is bijvoorbeeld het geval bij inbreuken die zich voordoen omdat het advies van de functionaris voor gegevensbescherming in de wind is geslagen.

5.4.3 - Andere overwegingen

91. Indien wordt gekeken naar een eerdere inbreuk op de nationale bepalingen ter uitvoering van Richtlijn 95/46/EG, moeten de toezichthoudende autoriteiten rekening houden met het feit dat de voorschriften in de richtlijn en in de AVG kunnen verschillen (indien de nationale wetgeving toelaat dat de toezichthoudende autoriteit dergelijke inbreuken in aanmerking neemt).

92. Bij de beoordeling van de relevantie van een eerdere inbreuk moet de toezichthoudende autoriteit rekening houden met de status van de procedure waarin de eerdere inbreuk werd vastgesteld - met name de door de toezichthoudende autoriteit of de rechterlijke instantie getroffen maatregelen - overeenkomstig het nationale recht.

93. Eerdere inbreuken kunnen ook in aanmerking worden genomen wanneer zij door een andere toezichthoudende autoriteit werden vastgesteld met betrekking tot dezelfde verwerkingsverantwoordelijke/verwerker. Zo kan de leidende toezichthoudende autoriteit die een inbreuk behandelt via het samenwerkingsmechanisme (éénloketmechanisme) overeenkomstig artikel 60 AVG, rekening houden met inbreuken die eerder in lokale gevallen zijn vastgesteld door een andere toezichthoudende autoriteit met betrekking tot dezelfde verwerkingsverantwoordelijke/verwerker. Evenzo kunnen eerder door de leidende toezichthoudende autoriteit vastgestelde inbreuken in aanmerking worden genomen wanneer een andere autoriteit een bij haar ingediende klacht moet behandelen in gevallen met enkel lokale gevolgen krachtens artikel 56, lid 2, AVG. Indien er geen leidende toezichthoudende autoriteit is (bijvoorbeeld wanneer de verwerkingsverantwoordelijke of de verwerker niet in de Europese Unie is gevestigd), kunnen toezichthoudende autoriteiten ook rekening houden met inbreuken die eerder door een andere toezichthoudende autoriteit zijn vastgesteld met betrekking tot dezelfde verwerkingsverantwoordelijke/verwerker.

94. Het bestaan van eerdere inbreuken kan bij de berekening van de geldboete als een verzwarende factor worden beschouwd. Het aan deze factor toe te kennen gewicht moet worden bepaald in het licht van de aard en de frequentie van de eerdere inbreuken. Het feit dat zich eerder geen inbreuken hebben voorgedaan, kan echter niet als een verzachtende factor worden beschouwd, aangezien de naleving van de AVG de norm is. Als er geen eerdere inbreuken zijn, kan deze factor als neutraal worden beschouwd.

5.5 - De mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken

95. Op grond van artikel 83, lid 2, punt f), AVG moet de toezichthoudende autoriteit rekening houden met de mate waarin de verwerkingsverantwoordelijke of de verwerker met de toezichthoudende autoriteit samenwerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen van de inbreuk te beperken.
96. Voordat nader wordt ingegaan op de mate waarin de verwerkingsverantwoordelijke of de verwerker met de toezichthoudende autoriteit samenwerkt, moet eraan worden herinnerd dat op de verwerkingsverantwoordelijke en de verwerker een algemene verplichting tot medewerking rust krachtens artikel 31 AVG en dat een gebrek aan medewerking kan leiden tot het opleggen van de in artikel 83, lid 4, punt a), AVG bedoelde geldboete. Daarom moet worden bedacht dat de gewone verplichting tot samenwerking bindend is en dus als neutraal moet worden beschouwd (en niet als verzachtende factor).
97. Indien de samenwerking met de toezichthoudende autoriteit echter tot gevolg heeft gehad dat de negatieve gevolgen voor de rechten van de personen die zich anders hadden voorgedaan, werden beperkt of vermeden, kan de toezichthoudende autoriteit dit als een verzachtende factor beschouwen in de zin van artikel 83, lid 2, punt f), AVG, waardoor de geldboete lager wordt. Dit kan bijvoorbeeld het geval zijn wanneer een verwerkingsverantwoordelijke of verwerker 'in de onderzoeksfase in dat specifieke geval op bijzondere wijze [heeft] gereageerd op de verzoeken van de toezichthoudende autoriteit, waardoor de gevolgen voor de rechten van personen aanzienlijk zijn beperkt' 36 .

36 Richtsnoeren WP 253, blz. 15.

5.6 - De wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk

98. Overeenkomstig artikel 83, lid 2, punt h), AVG kan de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, een relevante verzwarende of verzachtende factor zijn. Bij de beoordeling hiervan kan bijzonder gewicht worden toegekend aan de vraag of, en zo ja, in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk uit eigen beweging heeft gemeld voordat de toezichthoudende autoriteit kennis kreeg van de inbreuk als gevolg van bijvoorbeeld een klacht of een onderzoek. Deze omstandigheid is niet van belang wanneer voor de verwerkingsverantwoordelijke een specifieke meldingsplicht geldt (zoals in het geval van inbreuken in verband met persoonsgegevens overeenkomstig artikel 33) 37 . In dergelijke gevallen moet deze melding als neutraal worden beschouwd 38 .
99. Indien de toezichthoudende autoriteit kennis kreeg van de inbreuk als gevolg van bijvoorbeeld een klacht of een onderzoek, moet dit element in de regel ook als neutraal worden beschouwd. De toezichthoudende autoriteit kan dit als een verzachtende omstandigheid beschouwen indien de verwerkingsverantwoordelijke of de verwerker de inbreuk uit eigen beweging heeft gemeld, voordat de toezichthoudende autoriteit kennis kreeg van de zaak.

5.7 - Naleving van maatregelen die eerder met betrekking tot dezelfde aangelegenheid zijn genomen

100. In artikel 83, lid 2, punt i), AVG wordt bepaald dat bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan rekening moet worden gehouden met 'de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen'.
101. In tegenstelling tot artikel 83, lid 2, punt e), AVG heeft deze beoordeling uitsluitend betrekking op maatregelen die de toezichthoudende autoriteiten zelf eerder aan dezelfde verwerkingsverantwoordelijke of verwerker hebben opgelegd met betrekking tot dezelfde aangelegenheid 39 .
102. In dit verband kan de verwerkingsverantwoordelijke of de verwerker redelijkerwijs verwachten dat door eerder aan hem opgelegde maatregelen na te leven, wordt voorkomen dat een inbreuk met betrekking tot dezelfde aangelegenheid in de toekomst plaatsvindt. Aangezien de verwerkingsverantwoordelijke of de verwerker verplicht is eerder genomen maatregelen na te leven, mag dit op zich niet als verzachtende factor worden beschouwd. Om als verzachtende factor te kunnen gelden, is er bij de uitvoering van eerdere maatregelen juist een grotere inzet van de verwerkingsverantwoordelijke of de verwerker vereist, bv. aanvullende maatregelen die verder gaan dan die welke de toezichthoudende autoriteit heeft opgelegd.
103. Omgekeerd kan de niet-naleving van eerder opgelegde corrigerende maatregelen worden beschouwd als een verzwarende factor of als een andere inbreuk op zich, ingevolge artikel 83, lid 5, punt e), en artikel 83, lid 6, AVG. Daarom moet er goed op worden gelet dat hetzelfde niet-conforme gedrag niet kan leiden tot een situatie waarin dat tweemaal wordt bestraft.

37 Er moet worden benadrukt dat een inbreuk in verband met persoonsgegevens niet hoeft te betekenen dat er sprake

is van een inbreuk op de AVG.

38 Dit wordt onderstreept door de richtsnoeren WP 253, blz. 16.

39 Zie voetnoot 38.

5.8 - Het aansluiten bij goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen

104. In artikel 83, lid 2, punt j), AVG staat dat het aansluiten bij gedragscodes krachtens artikel 40 AVG of goedgekeurde certificeringsmechanismen krachtens artikel 42 AVG een relevante factor kan vormen.
105. Zoals in de richtsnoeren WP 253 wordt herhaald, kan de aansluiting bij gedragscodes krachtens artikel 40 AVG of goedgekeurde certificeringsmechanismen krachtens artikel 42 AVG in sommige omstandigheden een verzachtende factor vormen. Goedgekeurde gedragscodes bevatten overeenkomstig artikel 40, lid 4, AVG 'mechanismen die het [toezichthoudend] orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen van de code'. Bepaalde vormen van sancties voor niet-conform gedrag kunnen worden opgelegd via de toezichtregeling, overeenkomstig artikel 41, lid 4, AVG, met inbegrip van schorsing of uitsluiting van de verwerkingsverantwoordelijke of de verwerker in kwestie uit de codegemeenschap. De toezichthoudende autoriteit kan weliswaar rekening houden met eerder opgelegde sancties in het kader van de zelfregulering, maar de bevoegdheden van het toezichthoudend orgaan zijn op grond van artikel 41, lid 4, AVG '[o]nverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit', hetgeen betekent dat de toezichthoudende autoriteit niet verplicht is rekening te houden met sancties van het toezichthoudend orgaan 40 .
106. Anderzijds geldt dat indien de niet-naleving van de gedragscode of certificering rechtstreeks relevant is voor de inbreuk, de toezichthoudende autoriteit dit als een verzwarende omstandigheid kan beschouwen.

5.9 - Andere verzwarende en verzachtende omstandigheden

107. Artikel 83, lid 2, punt k), AVG laat de toezichthoudende autoriteit ruimte om rekening te houden met andere verzwarende of verzachtende factoren die van toepassing zijn op de omstandigheden van het geval. In het individuele geval kunnen veel elementen een rol spelen, die niet allemaal kunnen worden gecodificeerd of vermeld en waarmee rekening moet worden gehouden om ervoor te zorgen dat de toegepaste sanctie in elk individueel geval doeltreffend, evenredig en afschrikkend is.
108. In artikel 83, lid 2, punt k), AVG worden voorbeelden genoemd van 'elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor', d.w.z. gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien. Deze bepaling wordt van fundamenteel belang geacht voor het aanpassen van het bedrag van de geldboete aan het specifieke geval. In die zin moet zij worden uitgelegd als een voorbeeld waarin het beginsel van eerlijkheid en rechtvaardigheid wordt toegepast op het individuele geval.
109. De werkingssfeer van deze bepaling, die per definitie open is, moet zich uitstrekken tot alle gemotiveerde overwegingen ten aanzien van de sociaal-economische context waarin de verwerkingsverantwoordelijke of de verwerker actief is, die met betrekking tot de juridische context en die met betrekking tot de marktcontext 41 .
110. In het bijzonder kan economisch voordeel van de inbreuk een verzwarende omstandigheid zijn indien uit informatie met betrekking tot het geval blijkt dat er als gevolg van de inbreuk op de AVG winst is gemaakt.

40 Richtsnoeren WP 253, blz. 17.

41 De EDPB heeft over deze kwestie een besluit genomen in Bindend besluit EDPB 3/2022 over het door de Ierse toezichthoudende autoriteit voorgelegde geschil over Meta Platforms Ireland Limited en de Facebook Service van die onderneming (artikel 65 AVG) (hierna 'Bindend besluit EDBP 3/2022' genoemd), punt 368.

111. Uitzonderlijke omstandigheden die tot belangrijke veranderingen in de sociaal-economische context kunnen leiden (b.v. het uitbreken van een ernstige pandemiecrisis, waardoor de wijze waarop persoonsgegevens worden verwerkt, ingrijpend kan veranderen), kunnen ook in aanmerking worden genomen krachtens artikel 83, lid 2, punt k), AVG.

NB: De voorbeelden in dit hoofdstuk illustreren de gevolgen die verzwarende en verzachtende omstandigheden kunnen hebben voor de hoogte van de geldboete. De in deze denkbeeldige gevallen genoemde verhogingen of verlagingen mogen niet worden beschouwd als precedenten of indicaties van percentages voor gebruik in praktijkgevallen.

Voorbeeld 7a - Het afwegen van verzwarende en verzachtende omstandigheden

Een sportvereniging maakte bij de ingang van een van haar locaties gebruik van camera's met gezichtsherkenning om haar klanten bij binnenkomst te identificeren. Omdat de sportvereniging dit deed in strijd met artikel 9 AVG (verwerking van biometrische gegevens zonder geldige uitzondering), besloot de toezichthoudende autoriteit die bevoegd is om de inbreuk te onderzoeken, een geldboete op te leggen. Rekening houdend met alle relevante omstandigheden van het geval, was de toezichthoudende autoriteit van mening dat dit een inbreuk van een hoge zwaarte was. Omdat de jaaromzet van de sportvereniging 150 miljoen EUR bedroeg, werd een uitgangsbedrag van 2 000 000 EUR (het hoogste in de categorie) passend geacht.

Dezelfde sportvereniging had twee jaar eerder echter een boete gekregen voor het gebruik van vingerafdruktechnologie bij de draaihekken op een andere locatie. De toezichthoudende autoriteit besloot dit mee te wegen als een recidive (artikel 83, lid 2, punt e), AVG). Daarmee kende zij gewicht toe aan het feit dat dit vrijwel dezelfde aangelegenheid betrof en de inbreuk slechts twee jaar eerder werd begaan. Vanwege deze verzwarende factor besloot de toezichthoudende autoriteit de geldboete in dit specifieke geval te verhogen tot 2 600 000 EUR 42 , waarmee het toepasselijke wettelijke maximumbedrag van 20 miljoen EUR niet werd overschreden.

NB: De voorbeelden in dit hoofdstuk illustreren de gevolgen die verzwarende en verzachtende omstandigheden kunnen hebben voor de hoogte van de geldboete. De in deze denkbeeldige gevallen genoemde verhogingen of verlagingen mogen niet worden beschouwd als precedenten of indicaties van percentages voor gebruik in praktijkgevallen.

Voorbeeld 7b - Het afwegen van verzwarende en verzachtende omstandigheden

Bij de exploitant van een platform voor autoverhuur op korte termijn deed zich een datalek voor, waardoor de persoonsgegevens van zijn klanten gedurende korte tijd kwetsbaar waren. Rekening houdend met alle relevante omstandigheden van het geval, oordeelde de toezichthoudende autoriteit dat de tekortkomingen van de exploitant bij de beveiliging van zijn platform een inbreuk op artikel 32 AVG vormden van een lage zwaarte. Omdat de jaaromzet van de exploitant 255 miljoen EUR bedroeg, werd een uitgangsbedrag van 260 000 EUR passend geacht.

42 Hieruit blijkt dat de categorieën voor de uitgangsbedragen geen beperking vormen voor de mogelijkheden van de toezichthoudende autoriteiten om rekening te houden met verzwarende en verzachtende omstandigheden tot een bedrag dat hoger of lager is dan de categorieën. Zoals ook wordt vermeld in paragraaf 4.3, zijn deze cijfers de uitgangsbedragen voor de verdere berekening, en geen vaste bedragen (prijskaartjes) voor inbreuken op bepalingen van de AVG. De toezichthoudende autoriteit behoudt de vrijheid om gebruik te maken van het volledige boetebereik vanaf een punt boven de 0 EUR tot aan het wettelijke maximumboetebedrag, waarbij zij ervoor zorgt dat de geldboete is afgestemd op de omstandigheden van het geval.

De gecompromitteerde persoonsgegevens omvatten kopieën van rijbewijzen en identiteitsbewijzen. Daarom moesten alle door het datalek getroffen klanten deze documenten opnieuw aanvragen om de kans op identiteitsdiefstal te beperken. Toen de exploitant de betrokkenen op de hoogte bracht van dit incident, bood hij hun hulp aan bij het opnieuw aanvragen van deze documenten bij de juiste openbare instellingen en creëerde hij een systeem om alle kosten van de aanvraag te vergoeden. De toezichthoudende autoriteit beschouwde dit als 'maatregelen om de door betrokkenen geleden schade te beperken' (artikel 83, lid 2, punt c), AVG), hetgeen een matigend effect had op de geldboete. Gezien de proactieve houding en de doeltreffendheid van de maatregelen van de exploitant, besloot de toezichthoudende autoriteit de geldboete te verlagen tot 225 000 EUR 43 , waarmee ook in dit geval het toepasselijke wettelijke maximumbedrag van 10 miljoen EUR niet werd overschreden.

De voorbeelden in dit hoofdstuk illustreren de gevolgen die verzwarende en verzachtende omstandigheden kunnen hebben voor de hoogte van de geldboete. De in deze denkbeeldige gevallen genoemde verhogingen of verlagingen mogen niet worden beschouwd als precedenten of indicaties van percentages voor gebruik in praktijkgevallen.

Voorbeeld 7c - Het afwegen van verzwarende en verzachtende omstandigheden

Een klein kredietbeoordelingsbureau bleek inbreuk te hebben gemaakt op verschillende bepalingen ter bescherming van de rechten van betrokkenen, met name omdat het zijn klanten een vergoeding aanrekende voor de uitoefening van hun recht van inzage. Het bureau deed dit bij alle toegangsverzoeken, niet alleen bij die welke worden genoemd in artikel 12, lid 5, punt a), AVG. Rekening houdend met alle relevante omstandigheden van het geval, oordeelde de toezichthoudende autoriteit dat het ging om inbreuken van een hoge zwaarte. Omdat de jaaromzet van het bureau 35 miljoen EUR bedroeg, werd een uitgangsbedrag van 100 000 EUR passend geacht.

De toezichthoudende autoriteit beschouwde het feit dat het bureau van de inbreuk kon profiteren echter als een verzwarende omstandigheid (artikel 83, lid 2, punt k), AVG). Teneinde de winst als gevolg van de inbreuk te compenseren en tegelijkertijd te zorgen voor een doeltreffende, afschrikkende en evenredige geldboete in dit geval, besloot de toezichthoudende autoriteit de boete te verhogen tot 130 000 EUR, waarmee het toepasselijke wettelijke maximumbedrag van 20 miljoen EUR niet werd overschreden.

De voorbeelden in dit hoofdstuk illustreren de gevolgen die verzwarende en verzachtende omstandigheden kunnen hebben voor de hoogte van de geldboete. De in deze denkbeeldige gevallen genoemde verhogingen of verlagingen mogen niet worden beschouwd als precedenten of indicaties van percentages voor gebruik in praktijkgevallen.

Voorbeeld 7d - Het afwegen van verzwarende en verzachtende omstandigheden

Van een onderneming werd vastgesteld dat zij inbreuk maakt op bepalingen van de AVG, met name omdat zij haar database voor commerciële prospectie aan partners verkoopt. Die database bevat de persoonsgegevens van mensen die geen toestemming hebben verleend om te worden benaderd voor commerciële doeleinden.

43 Zie voetnoot 42.

Rekening houdend met alle relevante omstandigheden van het geval, oordeelde de toezichthoudende autoriteit dat het ging om inbreuken van een gemiddelde zwaarte. Omdat de jaaromzet van de onderneming 45 miljoen EUR bedroeg, werd een uitgangsbedrag van 150 000 EUR passend geacht.

Bovendien was de autoriteit van mening dat het een inbreuk betrof waar de verwerkingsverantwoordelijke voordeel van had. Omdat hij de mensen niet om toestemming vroeg voor de doorgifte van hun gegevens met het oog op het toesturen van gerichte reclame, kon hij vervolgens veel meer gegevens doorverkopen. De toezichthoudende autoriteit beschouwde het feit dat de onderneming van de inbreuk kon profiteren daarom als een verzwarende omstandigheid (artikel 83, lid 2, punt k), AVG).

Teneinde de winst als gevolg van de inbreuk te compenseren en tegelijkertijd te zorgen voor een doeltreffende, afschrikkende en evenredige geldboete in dit geval, besloot de toezichthoudende autoriteit de boete te verhogen tot 200 000 EUR, waarmee het toepasselijke wettelijke maximumbedrag van 20 miljoen EUR niet werd overschreden.

HOOFDSTUK 6 - WETTELIJK MAXIMUMBEDRAG EN AANSPRAKELIJKHEID VAN RECHTSPERSONEN

6.1 - Vaststelling van het wettelijke maximumbedrag

112. Zoals reeds vermeld in de richtsnoeren WP 253, krijgen specifieke inbreuken in de AVG geen specifiek prijskaartje. De AVG bevat in plaats daarvan algemene maximumbedragen 44 en volgt daarmee de algemene traditie van het EU-recht inzake sancties dat reeds in andere rechtshandelingen is vastgelegd 45 .
113. De bedragen in artikel 83, leden 4 tot en met 6, AVG vormen het wettelijke maximum en verbieden de toezichthoudende autoriteiten om geldboeten op te leggen die hoger uitkomen dan de toepasselijke maximumbedragen. Om het juiste wettelijke maximumbedrag te bepalen, moet in voorkomend geval rekening worden gehouden met artikel 83, lid 3, AVG 46 (zie paragraaf 3.1.2). Elke toezichthoudende autoriteit moet er derhalve voor zorgen dat deze maximumbedragen bij het berekenen van geldboeten aan de hand van deze richtsnoeren niet worden overschreden. Afhankelijk van het individuele geval kunnen verschillende maximumbedragen van belang worden.

6.1.1 - Statische maximumbedragen

114. In artikel 83, leden 4 tot en met 6, AVG zijn als regel statische bedragen vastgesteld en wordt onderscheid gemaakt tussen inbreuken van verschillende categorieën verplichtingen krachtens de AVG. Zoals hierboven toegelicht, voorziet artikel 83, lid 4, AVG in geldboeten van maximaal 10 miljoen EUR voor inbreuken op de in dat lid beschreven verplichtingen, terwijl artikel 83, leden 5 en 6, AVG voorzien in geldboeten van maximaal 20 miljoen EUR voor inbreuken op de in die leden beschreven verplichtingen.

6.1.2 - Dynamische maximumbedragen

115. In het geval van een onderneming 47 kan het boetebereik verschuiven naar een hoger maximumbedrag dat gebaseerd is op de omzet 48 . Dit op de omzet gebaseerde maximumbedrag is dynamisch en wordt afgestemd op de betrokken onderneming om de beginselen van doeltreffendheid, evenredigheid en afschrikking te realiseren.
116. Meer bepaald voorziet artikel 83, lid 4, AVG in een maximumbedrag van 2 % en voorzien artikel 83, leden 5 en 6, in een maximumbedrag van 4 % van de totale jaaromzet in het voorgaande boekjaar. Volgens de tekst van de AVG moet worden uitgegaan van het statische maximumbedrag of het dynamische, op de omzet gebaseerde maximumbedrag, 'indien dit cijfer hoger is'. Bijgevolg zijn deze op de omzet gebaseerde maximumbedragen uitsluitend van toepassing indien zij in het individuele geval hoger zijn dan het statische

44 Overweging 150 AVG, tweede zin: 'In deze verordening dienen inbreuken te worden benoemd, evenals maxima en criteria voor de vaststelling van de daaraan verbonden administratieve geldboeten, die per afzonderlijk geval dienen te worden bepaald door de bevoegde toezichthoudende autoriteit, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van met name de aard, de ernst en de duur van de inbreuk en van de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken.'

maximumbedrag. Dat is het geval wanneer de totale jaaromzet van de onderneming in het voorgaande boekjaar meer dan 500 miljoen EUR bedraagt 49 .

Voorbeeld 8a - Dynamisch maximum

Een kredietbeoordelingsbureau verzamelt en verkoopt zonder rechtsgrondslag alle kredietwaardigheidsgegevens van alle EU-burgers aan reclame- en detailhandelsbedrijven. De wereldwijde jaaromzet van het kredietbeoordelingsbureau in het voorgaande jaar bedraagt 3 miljard EUR. Het kredietbeoordelingsbureau heeft hier onder andere inbreuk gemaakt op artikel 6, wat kan worden bestraft met een geldboete op grond van artikel 83, lid 5, AVG. Het statische maximumbedrag bedraagt 20 miljoen EUR. Het dynamische maximumbedrag bedraagt 120 miljoen EUR (4 % van 3 miljard EUR). De geldboete kan maximaal 120 miljoen EUR bedragen, aangezien dit dynamische maximumbedrag hoger is dan het statische maximumbedrag van 20 miljoen EUR. Bijgevolg mag de geldboete meer bedragen dan het statische maximumbedrag van 20 miljoen EUR, maar niet meer dan het toepasselijke wettelijke maximumbedrag van 120 miljoen EUR.

Voorbeeld 8b - Statisch maximum

Een detailhandelaar van zonnebrillen beheert een webwinkel waar klanten een bestelling kunnen plaatsen. Via het bestelformulier verwerkt de detailhandelaar ook persoonsgegevens, waaronder de bankgegevens. De detailhandelaar voorziet niet in een versleutelde internetverbinding, zodat derden de persoonsgegevens tijdens de transactie zouden kunnen onderscheppen. De detailhandelaar maakt inbreuk op artikel 32, lid 1, AVG en kan worden beboet op grond van artikel 83, lid 4, AVG. De wereldwijde jaaromzet van de detailhandelaar in het voorgaande jaar bedraagt 450 miljoen EUR. In dit geval is het statische maximum van 10 miljoen EUR hoger dan het dynamische maximum van 9 miljoen EUR (= 2 % van 450 miljoen EUR), zodat het maximum van 10 miljoen EUR van toepassing is. De geldboete mag dus niet meer bedragen dan het wettelijke maximumbedrag van 10 miljoen EUR.

Voorbeeld 8c - Verwerkingsverantwoordelijken en verwerkers die geen onderneming zijn Een gemeente heeft een onlinesysteem waar burgers zich kunnen registreren om een afspraak te maken, bijvoorbeeld voor het aanvragen van een paspoort of toestemming voor een huwelijk. De gemeente is de enige verwerkingsverantwoordelijke voor dit onlinesysteem. Helaas wordt geconstateerd dat het systeem ook op permanente basis de verzamelde gegevens verzendt naar externe servers van een verwerker in een derde land zonder adequate bescherming, waar zij worden opgeslagen. Er is niet gezorgd voor adequate waarborgen met betrekking tot de doorgifte aan het derde land. Met uitzondering van de doorgifte worden de gegevens verzameld en verwerkt op basis van geldige toestemming. De gemeente heeft inbreuk gemaakt op artikel 44 AVG door bijzondere categorieën van persoonsgegevens zonder passende waarborgen door te geven aan een derde land zonder adequate bescherming. Daarom kan zij worden beboet op grond van artikel 83, lid 5. Omdat de gemeente niet voldoet aan de definitie van een onderneming, is het statische wettelijke maximumbedrag van toepassing. De boete mag dus niet meer bedragen dan 20 miljoen EUR. Dit is echter alleen het geval als de lidstaat waarin de gemeente zich bevindt, geen specifieke regels heeft vastgesteld betreffende de vraag of en in hoeverre administratieve boeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen (artikel 83, lid 7, AVG).

49 2 % van 500 miljoen is 10 miljoen (het in artikel 83, lid 4, AVG voorziene statische maximumbedrag) en 4 % van 500 miljoen is 20 miljoen (het in artikel 83, lid 5, AVG voorziene statische maximumbedrag).

6.2 - Bepaling van de omzet van de onderneming en aansprakelijkheid van rechtspersonen

117. Om de juiste omzet te bepalen voor het dynamische maximumbedrag is het belangrijk te begrijpen wat wordt bedoeld met de begrippen 'onderneming' en 'omzet' in de zin van artikel 83, leden 4 tot en met 6, AVG. In dit verband moet maximale aandacht worden geschonken aan de overwegingen van de AVG, die door de EUwetgever zijn opgesteld als houvast voor de interpretatie van de AVG.

6.2.1 - Omschrijving van een onderneming en aansprakelijkheid van rechtspersonen

118. Met betrekking tot de term 'onderneming' geeft de EU-wetgever een expliciete nadere verduidelijking. In overweging 150 AVG wordt gesteld: 'Wanneer de administratieve geldboeten worden opgelegd aan een onderneming, moet een onderneming in die context worden gezien als een onderneming overeenkomstig de artikelen 101 en 102 van het VWEU.'
119. In artikel 83, leden 4 tot en met 6, AVG wordt, gezien overweging 150, derhalve uitgegaan van het begrip 'onderneming' overeenkomstig de artikelen 101 en 102 VWEU 50 , onverminderd artikel 4, punt 18, AVG (waarin een definitie van een onderneming wordt gegeven) en artikel 4, punt 19, AVG (waarin een concern wordt gedefinieerd). Het eerstgenoemde begrip wordt voornamelijk gebruikt in hoofdstuk V AVG, in de formulering 'groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen'. Daarnaast wordt de term in algemene zin gebruikt, niet als de adressaat van een bepaling of verplichting.
120. Bijgevolg kan in gevallen waarin de verwerkingsverantwoordelijke of de verwerker (een onderdeel van) een onderneming in de zin van de artikelen 101 en 102 VWEU is, de gecombineerde omzet van die onderneming als geheel worden gebruikt om de dynamische bovengrens van de geldboete te bepalen (zie paragraaf 6.2.2) en om ervoor te zorgen dat de resulterende geldboete in overeenstemming is met de beginselen van doeltreffendheid, evenredigheid en afschrikking (artikel 83, lid 1, AVG) 51 .
121. Het Hof heeft inmiddels uitgebreide rechtspraak over het begrip 'onderneming' opgebouwd. De term 'onderneming' '[omvat] elke eenheid […] die een economische activiteit uitoefent, ongeacht haar rechtsvorm en de wijze waarop zij wordt gefinancierd' 52 . In het kader van het mededingingsrecht worden 'ondernemingen' daarom gelijkgesteld aan economische eenheden en niet aan juridische eenheden. Verschillende ondernemingen die tot dezelfde groep behoren, kunnen een economische eenheid en derhalve een onderneming in de zin van de artikelen 101 en 102 VWEU vormen 53 .
122. Overeenkomstig de vaste rechtspraak van het Hof kan de term 'onderneming' in de artikelen 101 en 102 VWEU verwijzen naar een economische eenheid, ook al bestaat die economische eenheid uit verschillende natuurlijke of rechtspersonen. Of verschillende entiteiten een economische eenheid vormen hangt vooral af van de vraag of de individuele entiteit vrij is in haar beslissingsbevoegdheid dan wel of een leidende entiteit,

53 Zaak C-516/15 P, Akzo Nobel e.a./Commissie, punt 48.

namelijk de moedermaatschappij, beslissende invloed uitoefent over de andere entiteiten 54 . De criteria om dit vast te stellen zijn gebaseerd op de economische, juridische en organisatorische banden tussen de moedermaatschappij en de dochteronderneming, bijvoorbeeld het bedrag van de deelneming, personele en organisatorische relaties, instructies en het bestaan van bedrijfscontracten 55 .

123. Overeenkomstig de doctrine van economische eenheid zijn artikel 83, leden 4 tot en met 6, AVG gebaseerd op het beginsel van rechtstreekse aansprakelijkheid van rechtspersonen, wat inhoudt dat alle handelingen die worden verricht of nagelaten door natuurlijke personen die bevoegd zijn namens een onderneming te handelen, aan die onderneming worden toegerekend en worden beschouwd als een handeling en inbreuk die rechtstreeks door de onderneming zelf worden gepleegd 56 . Dat bepaalde werknemers zich niet aan die gedragscode hebben gehouden, volstaat niet om deze toerekening te verstoren 57 . Zij wordt daarentegen alleen verstoord wanneer de natuurlijk persoon uitsluitend voor zijn eigen doeleinden of voor de doeleinden van derden handelt, waardoor hij zelf een afzonderlijke verwerkingsverantwoordelijke wordt (d.w.z. de natuurlijke persoon heeft buiten zijn toegestane bevoegdheid gehandeld) 58 . Dit rechtsbeginsel van de Europese Unie en toepassingsgebied van aansprakelijkheid van rechtspersonen prevaleert en mag niet worden ondermijnd door het te beperken tot de handelingen van bepaalde functionarissen (zoals de belangrijkste managers) middels tegenstrijdige nationale wetgeving. Het is niet van belang welke natuurlijke persoon voor rekening van welke entiteit handelde. De toezichthoudende autoriteit en de nationale rechterlijke instanties mogen derhalve niet worden verplicht om bij het onderzoek of in het besluit tot oplegging van de geldboete een natuurlijke persoon te achterhalen of te identificeren 59 .
124. In het specifieke geval waarin een moedermaatschappij 100 % van de aandelen of bijna 100 % van de aandelen in handen heeft van een dochteronderneming die inbreuk heeft gemaakt op artikel 83 AVG, en dus beslissende invloed kan uitoefenen op het gedrag van haar dochteronderneming, bestaat er een vermoeden dat de moedermaatschappij die beslissende invloed ook daadwerkelijk uitoefent op het gedrag van haar dochteronderneming (het zogenoemde Akzo-vermoeden) 60 . Dit geldt ook wanneer de moedermaatschappij de aandelen in het totale kapitaal niet direct in handen heeft, maar indirect via een of meer

54 Ter verduidelijking: de 'beslissingsbevoegdheid' die moet worden beoordeeld om vast te stellen of een moedermaatschappij beslissende invloed uitoefent over andere entiteiten in de groep heeft te maken met de beslissingsbevoegdheid met betrekking tot het gedrag van de dochteronderneming 'op de markt'. Dit is anders dan, en staat volledig los van, de invloed die een moedermaatschappij al dan niet heeft op de betrokken verwerking en met name de bevoegdheid om besluiten te nemen met betrekking tot 'het doel van en de middelen voor' de verwerking. Dergelijke zaken moeten worden beoordeeld in het kader van een eventueel onderzoek naar de identiteit van de verwerkingsverantwoordelijke en zijn niet relevant voor de beoordeling van beslissende invloed om vast te stellen of er sprake is van één enkele economische eenheid.

57 Zaak C-501/11 P, Schindler Holding e.a./Commissie, punt 114; het is daarom belangrijk voor ondernemingen dat hun nalevingsmanagementsysteem niet slechts een 'papieren schild' is, maar ook echt doeltreffend is in de praktijk.

59 Zaak C-338/00 P, Volkswagen/Commissie, punten 97 en 98; elke tegenstrijdige nationale wetgeving is niet in overeenstemming met de AVG en het beginsel van doeltreffendheid, en mag dan ook niet worden toegepast. 60 Zaak C-97/08 P, Akzo Nobel en anderen/Commissie, punten 59 en 60.

dochterondernemingen 61 . Er kan bijvoorbeeld ook een keten van dochterondernemingen zijn, waarbij één entiteit 100 % of bijna 100 % van de aandelen in handen heeft van een tussenliggende entiteit die 100 % of bijna 100 % van de aandelen in handen heeft van een andere entiteit, en zo verder. Ook kan een moedermaatschappij 100 % of bijna 100 % van de aandelen in handen hebben van twee entiteiten die elk ongeveer 50 % van een entiteit in handen hebben, waardoor de moedermaatschappij beslissende invloed over al deze entiteiten heeft. In die situatie hoeft de toezichthoudende autoriteit alleen aan te tonen dat de dochteronderneming direct of indirect volledig of bijna volledig eigendom is van de moedermaatschappij om te vermoeden - als praktijkervaringsregel - dat de moedermaatschappij beslissende invloed uitoefent.

125. Het Akzo-vermoeden is echter geen absoluut vermoeden, maar kan door ander bewijsmateriaal worden weerlegd 62 . Om het vermoeden te weerleggen, moet(en) de onderneming(en) bewijs met betrekking tot de organisatorische, economische en juridische banden tussen de dochteronderneming en haar moedermaatschappij overleggen waarmee kan worden aangetoond dat zij niet een economische eenheid vormen, hoewel zij 100 % of bijna 100 % van de aandelen in handen hebben. Om vast te stellen of een dochteronderneming zich autonoom gedraagt, moet rekening worden gehouden met alle relevante factoren betreffende de banden waarmee de dochteronderneming verbonden is met de moedermaatschappij, die per geval kunnen verschillen en derhalve niet in een uitputtende lijst kunnen worden opgesomd.
126. Indien de moedermaatschappij daarentegen niet al of bijna al het kapitaal in handen heeft, moet de toezichthoudende autoriteit aanvullende feiten aantonen om het bestaan van een economische eenheid te rechtvaardigen. In een dergelijk geval moet de toezichthoudende autoriteit niet alleen aantonen dat de moedermaatschappij het vermogen heeft om beslissende invloed uit te oefenen op de dochteronderneming, maar ook dat zij die beslissende invloed daadwerkelijk heeft uitgeoefend, zodat zij op elk moment de keuzevrijheid van de dochteronderneming kan sturen en haar gedrag kan bepalen. De aard van de instructie of het soort instructie is niet van belang bij de vaststelling van de invloed van de moedermaatschappij.
127. De geldboete wordt opgelegd 63 aan de (gezamenlijke) verwerkingsverantwoordelijke(n)/verwerker(s) en de bevoegde toezichthoudende autoriteit heeft de mogelijkheid om de moedermaatschappij hoofdelijk aansprakelijk 64 te stellen voor de betaling van de geldboete.

6.2.2 - Bepaling van de omzet

128. De omzet wordt overgenomen uit de jaarrekening van een onderneming, die wordt opgesteld onder verwijzing naar het fiscaal jaar en een overzicht geeft van het afgelopen boekjaar van een onderneming of een concern (geconsolideerde jaarrekening). Omzet wordt gedefinieerd als de som van alle verkochte goederen en diensten. De netto-omzet is het bedrag met betrekking tot de verkoop van goederen en de

61 De zaken T-38/05, Agroexpansión/Commissie en C-508/11 P, Eni/Commissie, punt 48.

63 Het besluit waarin de geldboete wordt opgelegd, wordt gericht aan en bezorgd bij de verwerkingsverantwoordelijke(n)/verwerker(s) als de pleger(s) van de inbreuk en kan daarnaast worden gericht aan en bezorgd bij andere rechtspersonen van de enkele economische eenheid die hoofdelijk aansprakelijk zijn voor de geldboete.

64 Bindend besluit EDPB 1/2021, punt 290.

verlening van diensten, na aftrek van kortingen en belasting over de toegevoegde waarde (btw) en andere rechtstreeks met de omzet verbonden belastingen 65 .

129. De omzet wordt overgenomen uit de presentatie van de winst-en-verliesrekening 66 . De netto-omzet omvat de inkomsten uit de verkoop, verhuur en leasing van producten en de inkomsten uit de verkoop van diensten met aftrek van in mindering van de koopsom komende bedragen (bv. rabatten, prijsverlagingen) en btw.
130. Indien de onderneming verplicht is een geconsolideerde jaarrekening op te stellen 67 , dan is deze geconsolideerde jaarrekening van de moedermaatschappij die aan het hoofd van de groep staat van belang om de gezamenlijke omzet van de onderneming weer te geven 68 . Indien er geen jaarrekening is, moeten andere documenten worden verkregen en gebruikt waaruit de wereldwijde jaaromzet van de onderneming in het betreffende boekjaar kan worden afgeleid.
131. In artikel 83, leden 4 tot en met 6, AVG staat dat de totale wereldwijde jaaromzet in het voorgaande boekjaar moet worden gebruikt. Wat betreft de vraag op welke gebeurtenis de term 'voorgaande' betrekking heeft, moet de rechtspraak van het Hof ook worden toegepast voor geldboeten krachtens de AVG, zodat de relevante gebeurtenis het besluit van de toezichthoudende autoriteit tot oplegging van de geldboete is en niet het tijdstip van de inbreuk noch de rechterlijke beslissing 69 . In geval van grensoverschrijdende verwerking is het relevante besluit tot oplegging van een geldboete niet het ontwerpbesluit, maar het definitieve besluit van de leidende toezichthoudende autoriteit 70 . Indien de medebesluitvormingsprocedure van artikel 60 met betrekking tot het ontwerpbesluit tegen het einde van een kalenderjaar start, zodat het definitieve besluit waarschijnlijk niet in datzelfde kalenderjaar zal worden vastgesteld, berekent de leidende toezichthoudende autoriteit een voorgestelde geldboete op basis van de meest actuele financiële informatie die beschikbaar is op de datum waarop het ontwerpbesluit aan de betrokken toezichthoudende autoriteiten wordt toegezonden om hun mening te geven. Die informatie wordt later bijgewerkt, zoals voorgeschreven, voordat het definitieve nationale besluit door de leidende toezichthoudende autoriteit wordt afgerond en vastgesteld.

HOOFDSTUK 7 - DOELTREFFENDHEID, EVENREDIGHEID EN AFSCHRIKKEND EFFECT

132. De in artikel 83, leden 4 tot en met 6, AVG bedoelde administratieve boete die wordt opgelegd voor inbreuken op de AVG moet in elk individueel geval doeltreffend, evenredig en afschrikkend zijn. Met andere woorden, het bedrag van de opgelegde geldboete wordt afgestemd op de gemaakte inbreuk, waarbij

(hierna de 'EG-concentratieverordening' genoemd).

70 Bindend besluit EDPB 1/2021, punt 298.

rekening wordt gehouden met de specifieke context. De EDPB is van oordeel dat het de taak van de toezichthoudende autoriteiten is om na te gaan of het bedrag van de geldboete aan deze eisen voldoet, dan wel of er verdere aanpassingen van het bedrag nodig zijn.

133. Zoals reeds toegelicht in hoofdstuk 4 omvat de evaluatie in dit hoofdstuk de gehele opgelegde geldboete en alle omstandigheden van het geval, met inbegrip van bijvoorbeeld de accumulatie van meerdere inbreuken, verhogingen en verlagingen vanwege verzwarende en verzachtende omstandigheden en financiële/sociaaleconomische omstandigheden. Het is evenwel aan de toezichthoudende autoriteit om erop toe te zien dat dezelfde omstandigheden niet tweemaal worden meegeteld.
134. Indien deze aanpassingen een verhoging van de geldboete betekenen, mag de verhoogde geldboete per definitie niet meer bedragen dan het in hoofdstuk 6 beschreven wettelijke maximumbedrag.

7.1 - Doeltreffendheid

135. In het algemeen kan een geldboete als doeltreffend worden beschouwd indien ermee wordt bereikt wat ermee wordt beoogd. Het kan hierbij gaan om het herstellen van de naleving van de regels, het bestraffen van onrechtmatig gedrag, of beide 71 . Bovendien wordt in overweging 148 AVG benadrukt dat administratieve geldboeten moeten worden opgelegd '[m]et het oog op een krachtiger handhaving van de regels van deze verordening'. De op basis van deze richtsnoeren opgelegde boete moet daarom hoog genoeg zijn om deze doelstellingen te verwezenlijken.
136. Zoals artikel 83, lid 2, AVG voorschrijft, moet de toezichthoudende autoriteit in elke zaak de doeltreffendheid van de geldboete beoordelen. Daartoe moet naar behoren rekening worden gehouden met de omstandigheden van het geval, en met name met de hierboven gemaakte beoordeling 72 , waarbij in gedachten wordt gehouden dat de geldboete ook evenredig en afschrikkend moet zijn, zoals hieronder wordt uiteengezet.

7.2 - Evenredigheid

137. Het beginsel van evenredigheid houdt in dat genomen maatregelen niet verder gaan dan wat passend en noodzakelijk is voor de verwezenlijking van de legitieme doelstellingen die met de betrokken regeling worden nagestreefd, met dien verstande dat wanneer een keuze mogelijk is tussen meerdere passende maatregelen, die maatregel moet worden gekozen die de minste belasting met zich brengt, en dat de veroorzaakte nadelen niet onevenredig mogen zijn aan de nagestreefde doelstellingen 73 .
138. Hieruit volgt dat de bedragen van de geldboeten niet onevenredig mogen zijn aan de nagestreefde doelstellingen (d.w.z. de naleving van de regels betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en de regels betreffende het vrije verkeer van

71 Richtsnoeren WP 253, blz. 6.

72 Zoals ook vermeld in overweging 148 AVG: 'met de aard, de ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk, met schadebeperkende maatregelen, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverantwoordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren'.

persoonsgegevens) en dat de opgelegde geldboete evenredig moet zijn aan de inbreuk, in zijn geheel gezien, met inachtneming van met name de ernst ervan 74 .

139. Daarom moet de toezichthoudende autoriteit nagaan of het bedrag van de geldboete evenredig is aan zowel de zwaarte van de inbreuk als de omvang van de onderneming waartoe de entiteit die de inbreuk heeft gemaakt, behoort 75 , en of de opgelegde geldboete derhalve niet verder gaat dan wat noodzakelijk is voor de verwezenlijking van de doelstellingen die met de AVG worden nagestreefd.
140. Als een specifieke afgeleide van het beginsel van evenredigheid kan de toezichthoudende autoriteit overwegen - overeenkomstig het nationale recht - de geldboete verder te verlagen op basis van het beginsel van onvermogen om te betalen. Voor een dergelijke verlaging zijn uitzonderlijke omstandigheden vereist. Overeenkomstig de richtsnoeren van de Europese Commissie voor de berekening van geldboeten 76 moet er aan de hand van objectief bewijs worden aangetoond dat het opleggen van een boete de levensvatbaarheid van de betrokken onderneming onherroepelijk in gevaar zou brengen. Voorts moeten de risico's worden geanalyseerd in een specifieke sociale en economische context.

• a) Economische levensvatbaarheid: de onderneming is verplicht gedetailleerde financiële gegevens te verstrekken (van de afgelopen vijf jaar, alsook prognoses voor het huidige en de komende twee jaar), zodat de toezichthoudende autoriteit kan onderzoeken hoe belangrijke factoren zoals de solvabiliteit, de liquiditeit en de winstgevendheid zich in de toekomst waarschijnlijk zullen ontwikkelen. De Europese gerechten hebben verklaard dat de enkele omstandigheid dat een onderneming zich in een slechte financiële situatie bevindt, of zal bevinden na een hoge boete, niet aan de eis voldoet 'aangezien de erkenning van een dergelijke verplichting zou neerkomen op het verschaffen van een ongerechtvaardigd concurrentievoordeel aan de ondernemingen die het minst zijn aangepast aan de eisen van de markt' 77 . Bij de beoordeling van het vermogen van de onderneming om de geldboete te betalen, wordt ook rekening gehouden met eventuele herstructureringsplannen en de stand van zaken van de uitvoering daarvan, de betrekkingen met externe financiële partners/instellingen zoals banken en de betrekkingen met aandeelhouders 78 .
• b) Bewijs van waardeverlies: een boeteverlaging kan slechts worden toegekend indien het opleggen van de geldboete de economische levensvatbaarheid van een onderneming in gevaar zou brengen en de activa van de onderneming daardoor al of bijna al hun waarde zouden verliezen 79 . Een direct oorzakelijk verband tussen de geldboete en het aanzienlijke verlies aan waarde van de activa moet worden aangetoond. Het wordt niet automatisch aanvaard dat faillissement of insolventie

74 Zie voetnoot 73.

76

Zie met betrekking tot dit beginsel bijvoorbeeld Richtsnoeren van de Commissie voor de berekening van geldboeten die uit hoofde van artikel 23, lid 2, punt a), van Verordening (EG) nr. 1/2003 worden opgelegd (2006/C 210/02).

in zaak C-308/04 P, SGL Carbon/Commissie, punt 105, en zaak T-429/10 (gevoegde zaken T-426/10, T-427/10, T-428/10,

T-429/10, T-438/12, T-439/12, T-440/12, T-441/12), Global Steel Wire/Commissie, punten 492-493.

78

Zie zaak T-429/10 (gevoegde zaken T-426/10, T-427/10, T-428/10, T-429/10, T-438/12, T-439/12, T-440/12, T-

441/12), Global Steel Wire/Commissie, punten 521 tot en met 527.

onvermijdelijk tot een aanzienlijk verlies van waarde van de activa zal leiden. Voorts kan er geen sprake van zijn dat de geldboete de economische levensvatbaarheid van een onderneming in gevaar heeft gebracht indien die onderneming zelf had besloten haar activiteiten te beëindigen en al haar activa te verkopen. De onderneming moet bewijzen dat zij de markt waarschijnlijk zal verlaten en dat haar activa zullen worden ontmanteld of verkocht tegen aanmerkelijk gereduceerde prijzen, zonder alternatieven voor de onderneming (of haar activa) om de activiteiten voort te zetten. Dit betekent dat de toezichthoudende autoriteit van de onderneming moet verlangen dat zij aantoont dat er geen duidelijke aanwijzingen zijn dat de onderneming (of haar activa) in handen van een andere onderneming/eigenaar zullen komen en de activiteiten zullen worden voortgezet.

• c) Specifieke sociale en economische context: de specifieke economische context kan in aanmerking worden genomen indien de betrokken sector een cyclische crisis doormaakt (bv. te kampen heeft met overcapaciteit of dalende prijzen) of indien ondernemingen moeilijk kapitaal of krediet kunnen verkrijgen als gevolg van de heersende economische omstandigheden. De specifieke sociale context doet zich waarschijnlijk voor in het kader van hoge en/of stijgende werkloosheid op regionaal niveau of op bredere schaal. Deze kan ook worden beoordeeld door te kijken naar de gevolgen die de betaling van de geldboete kan hebben met betrekking tot de stijging van de werkloosheid of de verslechtering van de economische situatie van de sectoren die aan de betrokken onderneming leveren of haar producten afnemen 80 .

141. Indien aan de criteria is voldaan, kunnen de toezichthoudende autoriteiten rekening houden met het onvermogen van de onderneming om te betalen en de geldboete dienovereenkomstig verlagen.

7.3 - Afschrikkend effect

142. Tot slot is een afschrikkende geldboete een boete die een werkelijk afschrikkend effect heeft 81 . In dat verband kan onderscheid worden gemaakt tussen algemene afschrikking (anderen ervan weerhouden in de toekomst dezelfde inbreuk te plegen) en specifieke afschrikking (degene aan wie de geldboete wordt opgelegd ervan weerhouden dezelfde inbreuk nogmaals te plegen) 82 . Bij het opleggen van een geldboete houdt de toezichthoudende autoriteit rekening met zowel algemene als specifieke afschrikking.
143. Een geldboete is afschrikkend wanneer de boete een particulier ervan weerhoudt om de in het EU-recht opgenomen doelstellingen en regelingen te schenden. Hierbij is niet alleen de aard en de hoogte van de geldboete van belang, maar ook de kans dat de boete wordt opgelegd. Degene die een inbreuk pleegt, moet vrezen dat de geldboete ook daadwerkelijk aan hem zal worden opgelegd. In dit opzicht overlappen het criterium van de afschrikking en dat van de doeltreffendheid elkaar 83 .
144. De toezichthoudende autoriteiten kunnen overwegen de geldboete te verhogen indien zij het bedrag niet voldoende afschrikkend achten. In sommige omstandigheden kan de toepassing van een afschrikkingsfactor gerechtvaardigd zijn 84 . Deze factor kan door de toezichthoudende autoriteit worden bepaald, teneinde de doelen van de afschrikking te weerspiegelen zoals hierboven uiteengezet.

83 Conclusie van advocaat-generaal Kokott in gevoegde zaken C-387/02, C-391/02 en C-403/02, Silvio Berlusconi e.a., punt 89.

HOOFDSTUK 8 - FLEXIBILITEIT EN REGELMATIGE EVALUATIE

145. De bovenstaande hoofdstukken bevatten een beschrijving van een algemene methode voor de berekening van geldboeten en moeten verdere harmonisatie en transparantie van de praktijken van toezichthoudende autoriteiten op het gebied van geldboeten vergemakkelijken. Deze algemene methode mag echter niet worden opgevat als een vorm van automatische of rekenkundige berekening. De individuele vaststelling van een geldboete moet altijd gebaseerd zijn op een menselijke beoordeling van alle relevante omstandigheden van het geval en moet doeltreffend, evenredig en afschrikkend zijn met betrekking tot dat specifieke geval.
146. Er moet in gedachten worden gehouden dat deze richtsnoeren niet kunnen vooruitlopen op alle mogelijke bijzonderheden van een geval en in dit verband niet kunnen voorzien in uitputtende richtsnoeren voor toezichthoudende autoriteiten. Daarom worden deze richtsnoeren regelmatig geëvalueerd om te toetsen of de toepassing ervan daadwerkelijk resulteert in de verwezenlijking van de doelstellingen van de AVG. De EDPB kan deze richtsnoeren herzien op basis van de verdere ervaringen van de toezichthoudende autoriteiten met de dagelijkse toepassing ervan in de praktijk, en het kan deze richtsnoeren op enig moment voor de toekomst intrekken, wijzigen, beperken, aanpassen of vervangen.

BIJLAGE - TABEL TER ILLUSTRATIE VAN DE RICHTSNOEREN 04/2022 VOOR DE BEREKENING VAN ADMINISTRATIEVE GELDBOETEN KRACHTENS DE AVG

Leeswijzer

• -Deze tabel moet worden gelezen in samenhang met de richtsnoeren in hun geheel en is niet bedoeld als volledige samenvatting van de richtsnoeren of als alternatief voor het bestuderen van de richtsnoeren in hun geheel.
• -Deze tabel dient uitsluitend ter illustratie en vormt geen volledige of afdoende weergave van het standpunt van de EDPB inzake de berekening van administratieve geldboeten.
• -De tabel omvat twee stappen: de eerste verduidelijkt het bereik voor het uitgangsbedrag op basis van de zwaarte en de tweede verduidelijkt het bereik voor het uitgangsbedrag na aanpassing op basis van de omvang van de onderneming.
• -De als uitgangsbedrag gebruikte getallen komen enerzijds overeen met de aanbeveling van de Commissie betreffende kmo's en met hoe de in die aanbeveling genoemde omzet zich verhoudt tot de omzet die afkomstig is uit artikel 83 AVG 85 . Anderzijds, als het gaat om de zwaarte van de inbreuk, zijn de getallen gebaseerd op inzichten van de huidige praktijken op het gebied van geldboeten en uitvoerige interne tests met modellen voor geldboeten gedurende meerdere jaren. De EDPB is ervan overtuigd dat deze uitgangsbedragen recht doen aan de beginselen van doeltreffendheid, evenredigheid en afschrikking, zoals voorgeschreven in artikel 83, lid 1, AVG.
• -De EDPB is zich er echter zoals altijd van bewust dat de berekening van een administratieve geldboete niet alleen een kwestie van rekenen is, en dat praktijkgevallen en toepassing onvermijdelijk zullen leiden tot een verdere aanscherping van de uitgangsbedragen in deze tabel. Daartoe wordt in de richtsnoeren vermeld dat de tabel en de getallen in de tabel steeds nauwlettend door de EDPB zullen worden geëvalueerd en indien nodig zullen worden aangepast.
• -Ook wordt er nogmaals op gewezen dat deze cijfers de uitgangsbedragen voor de verdere berekening zijn, en geen vaste bedragen (prijskaartjes). De toezichthoudende autoriteit heeft de vrijheid om gebruik te maken van het volledige boetebereik vanaf elk bedrag tot en met het wettelijke maximumboetebedrag.
• -In de eerste stap geldt dat hoe zwaarder de inbreuk is binnen de betreffende categorie, des te hoger het uitgangsbedrag waarschijnlijk zal zijn.
• -In de tweede stap zijn de percentages leidend bij het bepalen van het definitieve uitgangsbedrag, terwijl aanpassingen naar beneden mogelijk zijn tot aan een bepaald percentage van het in stap 1 vastgestelde uitgangsbedrag. Dit betekent dat het in stap 2 gekozen percentage wordt gebruikt als vermenigvuldigingsfactor voor het in stap 1 bepaalde uitgangsbedrag. Hoe hoger de omzet van de onderneming is binnen het toepasselijke niveau, des te hoger het uitgangsbedrag waarschijnlijk zal zijn in stap 2.
• -De bedragen in de tweede stap geven slechts een beeld van het allerlaagste en allerhoogste bedrag dat in de categorie kan worden toegepast. Het uiteindelijke uitgangsbedrag zal ergens tussen deze

twee uitersten uitkomen. Aan de hand van de bereiken in de tweede stap kan de zaakbehandelaar dus controleren of het uiteindelijke uitgangsbedrag toegestaan is.

• -In stap 2 is er geen aanpassing voor ondernemingen met een omzet van 500 miljoen EUR of meer, omdat die ondernemingen boven het statische wettelijke maximumbedrag zullen uitkomen en de omvang van de onderneming dus al wordt weerspiegeld in het dynamische wettelijke maximumbedrag dat in stap 1 wordt gebruikt om het uitgangsbedrag voor de verdere berekening te bepalen.
• -De toepassing van de methode, met inbegrip van het gebruik van de tabellen, wordt geïllustreerd met twee voorbeelden aan het einde van deze bijlage.

Stap 1: berekening van het uitgangsbedrag op basis van de zwaarte

NB. Hoe zwaarder de inbreuk is binnen de betreffende categorie, des te hoger het uitgangsbedrag waarschijnlijk zal zijn in deze eerste stap.

	Lage zwaarte	Lage zwaarte	Gemiddelde zwaarte	Gemiddelde zwaarte	Hoge zwaarte	Hoge zwaarte
	Statisch bereik	Dynamisch bereik bij een omzet > 500 mln.	Statisch bereik	Dynamisch bereik bij een omzet > 500 mln.	Statisch bereik	Dynamisch bereik bij een omzet > 500 mln.
Artikel 83, lid 4, AVG	0-1 mln.	0-0,2 %van de jaaromzet	1 mln.- 2 mln.	0,2-0,4 %van de jaaromzet	2 mln.- 10 mln.	0,4-2 %van de jaaromzet
Artikel 83, leden 5 en 6, AVG	0-2 mln.	0-0,4 %van de jaaromzet	2 mln.- 4 mln.	0,4-0,8 %van de jaaromzet	4 mln.- 20 mln.	0,8-4 %van de jaaromzet

Stap 2: aanpassing van het uitgangsbedrag op basis van de omvang van de onderneming (alleen van toepassing op ondernemingen waarop het statische wettelijke bereik van toepassing is)

NB. Hoe hoger de omzet van de onderneming is binnen het toepasselijke niveau, des te hoger het uitgangsbedrag waarschijnlijk zal zijn in deze tweede stap.

Artikel 83, lid 4, AVG

	Lage zwaarte	Gemiddelde zwaarte	Hoge zwaarte
Ondernemingen met een omzet van	40-100 %van het uitgangsbedrag	40-100 %van het uitgangsbedrag	40-100 %van het uitgangsbedrag

	Lage zwaarte	Gemiddelde zwaarte	Hoge zwaarte
250 miljoen EUR tot 500 miljoen EUR	0-1 mln.	400 000-2 mln.	800 000-10 mln.
Ondernemingen met een omzet van 100 miljoen EUR tot 250 miljoen EUR	15-50 %van het uitgangsbedrag	15-50 %van het uitgangsbedrag	15-50 %van het uitgangsbedrag
Ondernemingen met een omzet van 100 miljoen EUR tot 250 miljoen EUR	0-500 000	150 000-1 mln.	300 000-5 mln.
Ondernemingen met een omzet van 50 miljoen EUR tot 100 miljoen EUR	8-20 %van het uitgangsbedrag	8-20 %van het uitgangsbedrag	8-20 %van het uitgangsbedrag
Ondernemingen met een omzet van 50 miljoen EUR tot 100 miljoen EUR	0-200 000	80 000-400 000	160 000-2 mln.
Ondernemingen met een omzet van 10 miljoen EUR tot 50 miljoen EUR	1,5-10 %van het uitgangsbedrag	1,5-10 %van het uitgangsbedrag	1,5-10 %van het uitgangsbedrag
Ondernemingen met een omzet van 10 miljoen EUR tot 50 miljoen EUR	0-100 000	15 000-200 000	30 000-1 mln.
Ondernemingen met een omzet van 2 miljoen EUR tot 10 miljoen EUR	0,3-2 %van het uitgangsbedrag	0,3-2 %van het uitgangsbedrag	0,3-2 %van het uitgangsbedrag
Ondernemingen met een omzet van 2 miljoen EUR tot 10 miljoen EUR	0-20 000	3 000-40 000	6 000-200 000
Ondernemingen met een omzet tot 2 miljoen EUR	0,2-0,4 %van het uitgangsbedrag	0,2-0,4 %van het uitgangsbedrag	0,2-0,4 %van het uitgangsbedrag
Ondernemingen met een omzet tot 2 miljoen EUR	0-4 000	2 000-8 000	4 000-40 000

Artikel 83, leden 5 en 6, AVG

	Lage zwaarte	Gemiddelde zwaarte	Hoge zwaarte
Ondernemingen met een omzet van 250 miljoen EUR tot 500 miljoen EUR	40-100 %van het uitgangsbedrag	40-100 %van het uitgangsbedrag	40-100 %van het uitgangsbedrag
Ondernemingen met een omzet van 250 miljoen EUR tot 500 miljoen EUR	0-2 mln.	800 000-4 mln.	1,6 mln.-20 mln.
Ondernemingen met een omzet van 100 miljoen EUR tot 250 miljoen EUR	15-50 %van het uitgangsbedrag	15-50 %van het uitgangsbedrag	15-50 %van het uitgangsbedrag
Ondernemingen met een omzet van 100 miljoen EUR tot 250 miljoen EUR	0-1 mln.	300 000-2 mln.	600 000-10 mln.
Ondernemingen met een omzet van 50 miljoen EUR tot 100 miljoen EUR	8-20 %van het uitgangsbedrag	8-20 %van het uitgangsbedrag	8-20 %van het uitgangsbedrag
Ondernemingen met een omzet van 50 miljoen EUR tot 100 miljoen EUR	0-400 000	160 000-800 000	320 000-4 mln.
Ondernemingen met een omzet van 10 miljoen EUR tot 50 miljoen EUR	1,5-10 %van het uitgangsbedrag	1,5-10 %van het uitgangsbedrag	1,5-10 %van het uitgangsbedrag
Ondernemingen met een omzet van 10 miljoen EUR tot 50 miljoen EUR	0-200 000	30 000-400 000	60 000-2 mln.
Ondernemingen met een omzet van 2 miljoen EUR tot 10 miljoen EUR	0,3-2 %van het uitgangsbedrag	0,3-2 %van het uitgangsbedrag	0,3-2 %van het uitgangsbedrag
Ondernemingen met een omzet van 2 miljoen EUR tot 10 miljoen EUR	0-40 000	6 000-80 000	12 000-400 000

	Lage zwaarte	Gemiddelde zwaarte	Hoge zwaarte
Ondernemingen met een omzet tot 2 miljoen EUR	0,2-0,4 %van het uitgangsbedrag	0,2-0,4 %van het uitgangsbedrag	0,2-0,4 %van het uitgangsbedrag
Ondernemingen met een omzet tot 2 miljoen EUR	0-8 000	4 000-16 000	8 000-80 000

Stapsgewijze aanpak voor het toepassen van hoofdstuk 4 van de richtsnoeren voor de berekening van geldboeten, met inbegrip van de tabellen

Voorbeeld A

Een socialemediabedrijf met een omzet van 200 miljoen EUR bleek gevoelige gegevens van zijn gebruikers aan verschillende gegevensmakelaars te hebben verkocht. In dit voorbeeld heeft het bedrijf alleen inbreuk gemaakt op artikel 9 AVG. De toezichthoudende autoriteit oordeelde op basis van een analyse van alle relevante omstandigheden van het geval krachtens artikel 83, lid 2, punten a), b) en g), dat het ging om een inbreuk van een hoge zwaarte.

Daarna moet de toezichthoudende autoriteit het uitgangsbedrag voor de verdere berekening bepalen. Artikel 9 wordt genoemd in artikel 83, lid 5, punt a), AVG, op grond waarvan het wettelijke maximumbedrag 20 miljoen EUR of 4 % van de jaaromzet bedraagt. In dit geval is de omzet van de onderneming lager dan 500 miljoen EUR, wat betekent dat het statische maximumbedrag en bereik van toepassing zijn. Daarom moet worden uitgegaan van een uitgangsbedrag tussen 20 en 100 % van het toepasselijke wettelijke maximumbedrag, d.w.z. tussen 4 miljoen EUR en 20 miljoen EUR. Gezien het feit dat hoe zwaarder de inbreuk is binnen de betreffende categorie, des te hoger het uitgangsbedrag waarschijnlijk zal zijn, besluit de toezichthoudende autoriteit dat het uitgangsbedrag op basis van de zwaarte van de inbreuk zoals vermeld in stap 1, 10 miljoen EUR moet bedragen.

In stap 2 wordt het in stap 1 vastgestelde uitgangsbedrag aangepast op basis van de omvang van de onderneming. De onderneming heeft een jaaromzet van 200 miljoen EUR en valt daarom binnen het bereik van 100 miljoen EUR en 250 miljoen EUR. Dit betekent dat het uitgangsbedrag zal worden aangepast tot een bedrag tussen de 15 en 50 % van het uitgangsbedrag. Gezien het feit dat hoe hoger de omzet van de onderneming is binnen het toepasselijke niveau, des te hoger het uitgangsbedrag waarschijnlijk zal zijn, besluit de toezichthoudende autoriteit dat een aanpassing naar beneden tot 40 % van het in stap 1 vastgestelde uitgangsbedrag gerechtvaardigd is op basis van de omvang van de onderneming. In dit geval bedraagt het uitgangsbedrag na de aanpassing dus 4 miljoen EUR.

Om te waarborgen dat dit uitgangsbedrag in overeenstemming is met de richtsnoeren, kan het worden gecontroleerd aan de hand van de bereiken in de relevante tabel. Aangezien artikel 83, lid 5, AVG van toepassing is, de onderneming een omzet heeft tussen de 100 miljoen EUR en 250 miljoen EUR en er sprake is van een hoge zwaarte, moet het uitgangsbedrag tussen de 600 000 EUR en 10 miljoen EUR bedragen. De toezichthoudende autoriteit concludeert dat een

uitgangsbedrag van 4 miljoen EUR binnen het bereik van 600 000 EUR en 10 miljoen EUR valt. Derhalve is het uitgangsbedrag in overeenstemming met de richtsnoeren.

Hierna gaat de toezichthoudende autoriteit verder met de berekening van de geldboete op basis van het resterende deel van de richtsnoeren.

Voorbeeld B

Een hotelketen met een omzet van 2 miljard EUR heeft inbreuk gemaakt op artikel 12 AVG. De toezichthoudende autoriteit oordeelde op basis van een analyse van de omstandigheden van het geval krachtens artikel 83, lid 2, punten a), b) en g), dat het ging om een inbreuk met een gemiddelde zwaarte.

Daarna moet de toezichthoudende autoriteit het uitgangsbedrag voor de verdere berekening bepalen. Eerst stelt de toezichthoudende autoriteit vast dat artikel 12 AVG wordt genoemd in artikel 83, lid 5, punt b), AVG. De omzet van de onderneming bedraagt 2 miljard EUR. Dit is meer dan 500 miljoen EUR, dus het dynamische maximumbedrag is van toepassing. Dit betekent dat het wettelijke maximumbedrag gelijk is aan 4 % van de jaaromzet van de onderneming, die 80 miljoen EUR bedraagt. Er is sprake van een gemiddelde zwaarte en er moet dus worden uitgegaan van een uitgangsbedrag tussen de 10 en 20 % van het toepasselijke wettelijke maximumbedrag, d.w.z. tussen de 0,4 en 0,8 % van de jaaromzet, wat neerkomt op een uitgangsbedrag tussen de 8 miljoen EUR en 16 miljoen EUR.

Gezien het feit dat hoe zwaarder de inbreuk is binnen de betreffende categorie, des te hoger het uitgangsbedrag waarschijnlijk zal zijn, oordeelt de toezichthoudende autoriteit dat, vanwege de zwaarte van de inbreuk, het uitgangsbedrag 12 miljoen EUR moet bedragen, ofwel 15 % van het toepasselijke wettelijke maximumbedrag en 0,6 % van de jaaromzet van de onderneming.

Aangezien de onderneming een jaaromzet heeft van meer dan 500 miljoen EUR en het dynamische wettelijke maximumbedrag van toepassing is, wordt de omvang van de onderneming reeds weerspiegeld in het dynamische wettelijke maximumbedrag dat wordt gebruikt om het uitgangsbedrag te bepalen. Bijgevolg worden er geen verdere aanpassingen toegepast.

Hierna gaat de toezichthoudende autoriteit verder met de berekening van de geldboete op basis van het resterende deel van de richtsnoeren.

---

Footnotes

1. Verwijzingen naar 'lidstaten' in dit document moeten worden gelezen als verwijzingen naar 'lidstaten van de EER' (waarbij EER staat voor Europese Economische Ruimte).

2. Zie bijvoorbeeld gevoegde zaken C-189/02 P, C-202/02 P, C-205/02 P tot en met C-208/02 P en C-213/02 P, Dansk Rørindustri A/S e.a./Commissie, punt 172, en zaak T-91/11, InnoLux Corp./Commissie, punt 88.

3. Zie met name de diepgaande analyse in de conclusie van advocaat-generaal Tanchev in zaak C-10/18 P, Marine Harvest.

4. Zie bijvoorbeeld Oostenrijks Verwaltungsgerichtshof, Ra 2018/02/0123, punt 9.

5. Zie bijvoorbeeld Oostenrijks Verwaltungsgerichtshof, Ra 2018/02/0123, punt 7.

6. Het idee van formele subsidiariteit vloeit indirect ook voort uit artikel 35, lid 2, van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 ('NIS 2-richtlijn'), hoewel het conflict eerder op procedureel dan op materieel niveau wordt opgelost. In het artikel is bepaald dat indien de toezichthoudende autoriteiten als bedoeld in artikel 55 of 56 van Verordening (EU) 2016/679 een administratieve geldboete op grond van artikel 58, lid 2, punt i), AVG opleggen, de bevoegde autoriteiten geen administratieve geldboete op grond van artikel 34 van de NIS 2-richtlijn opleggen voor een inbreuk als bedoeld in artikel 35, lid 1 van de NIS 2-richtlijn die voortvloeit uit dezelfde gedraging als die waarvoor de administratieve geldboete uit hoofde van artikel 58, lid 2, punt i), AVG is opgelegd, voor zover de in artikel 35, lid 1, van de NIS 2-richtlijn bedoelde inbreuk indirect als ondergeschikt aan een geldboete op basis van de AVG wordt beschouwd wanneer het om dezelfde gedraging gaat.

7. Zie in dit verband ook de richtsnoeren WP 253, blz. 9.

8. Een voorbeeld is dat de EDPB, bij zijn analyse van het element met betrekking tot de 'aard van de inbreuk', in zijn Besluit 01/2020 over het geschil dat is ontstaan over het ontwerpbesluit van de Ierse toezichthoudende autoriteit betreffende Twitter International Company op grond van artikel 65, lid 1, onder a), AVG (hierna 'Bindend besluit EDPB 01/2020' genoemd) opmerkt dat bij de 'betrokken verwerking' sprake was van communicatie door betrokkenen die er bewust voor hebben gekozen het publiek van die communicatie te beperken, en aanbeveelt dit aspect in aanmerking te nemen bij de beoordeling van de aard van de verwerking. Zie in dit verband ook Bindend besluit EDPB 01/2020, punt 186.

9. De verspreiding van privécommunicatie en locatiegegevens kan onmiddellijk schade of leed voor de betrokkene tot gevolg hebben, hetgeen wordt benadrukt door de bijzondere bescherming die door de EU-wetgever wordt verleend aan privécommunicatie in artikel 7 van het Handvest van de grondrechten en Richtlijn 2002/58/EG, en door het Hof voor locatiegegevens in bepaalde gevallen, zie gevoegde zaken C-511/18, C-512/18 en C-520/18, La Quadrature du Net e.a., punt 117, en de daarin aangehaalde rechtspraak.

10. Zie ook Bindend besluit EDPB 1/2021, punten 411 en 412: '[Voor zover] de omzet van een onderneming niet alleen relevant is voor het bepalen van het maximumboetebedrag overeenkomstig artikel 83,leden 4 tot en met 6, AVG, maar zo nodig ook in aanmerking kan worden genomen [als een van de relevante elementen] voor de berekening van de geldboete zelf, om ervoor te zorgen dat de geldboete doeltreffend, evenredig en afschrikkend is als bedoeld in artikel 83, lid 1, AVG.' De omzet van de betrokken onderneming wordt nader besproken in paragraaf 6.2 van deze richtsnoeren.

11. Dit is door het Gerecht vastgesteld in zaak T-25/06, Alliance One International, Inc./Europese Commissie, punt 211, onder verwijzing naar andere rechtspraak, zoals zaak T-9/99, HFB en anderen/Commissie, punten 528 en 529, en zaak T-175/05, Akzo Nobel en anderen/Commissie , punt 114.

12. Deze omzetcijfers zijn gebaseerd op de aanbeveling van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen. Bij het bepalen van de uitgangsbedragen baseert de EDPB zich op de jaaromzet van de onderneming alleen (zie hoofdstuk 6).

13. Met name artikel 23, lid 2, van Verordening (EG) nr. 1/2003 van de Raad van 16 december 2002 betreffende de uitvoering van de mededingingsregels van de artikelen 81 en 82 van het Verdrag.

14. Zie ook Bindend besluit EDPB 1/2021, punt 326.

15. Zie met betrekking tot de term 'onderneming' paragraaf 6.2.1 van deze richtsnoeren.

16. Zie met betrekking tot de term 'omzet' paragraaf 6.2.2 van deze richtsnoeren.

17. Zoals reeds verduidelijkt in de richtsnoeren WP 253 en later bevestigd door de EDPB in Endorsement 1/2018 op 25 mei 2018. Zie ook Bindend besluit EDPB 1/2021, punt 292, en regionale rechtbank LG Bonn, zaak 29 OWi 1/20, 11 november 2020, punt 92.

18. Zie Bindend besluit EDPB 1/2021, punten 412 en 423, en ook de zaken C-286/13 P, Dole Food en Dole Fresh Fruit Europe/Europese Commissie, punt 149, en C-189/02 P, Dansk Rørindustri en anderen/Commissie, punt 258.

19. Zaak C-41/90, Klaus Höfner en Fritz Elser/Macrotron GmbH, punt 21. Zie bijvoorbeeld ook gevoegde zaken C-159/91 en C-160/91, Poucet en Pistre/Assurances générales de France, punt 17; zaak C-364/92, SAT Fluggesellschaft mbH/Eurocontrol, punt 18; gevoegde zaken C-180 tot en met 184/98, Pavlov en anderen, punt 74; en zaak C-138/11, Compass-Datenbank GmbH/Republik Österreich, punt 35.

20. Zie zaak C-90/09 P, General Química en anderen/Commissie. Het belangrijkste criterium om dit vast te stellen is 'beslissende invloed', hetgeen moet worden bepaald op basis van feitelijk bewijsmateriaal (economische, organisatorische en juridische banden). Bovendien bestaat er een weerlegbaar vermoeden van invloed in het geval van een volledige dochteronderneming. Zie zaak C-97/08 P, Akzo Nobel en anderen/Commissie en gevoegde zaken C-293/13 en 294/13 P, Fresh Del Monte.

21. Zie gevoegde zaken C-100 tot en met 103/80, SA Musique Diffusion française en anderen/Commissie, punt 97, en zaak C-338/00 P, Volkswagen/Commissie, punten 93 tot en met 98.

22. Zie met name de Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG (hierna 'EDPB-richtsnoeren 07/2020' genoemd), punt 19.

23. Zie onder andere zaak C-595/18 P, The Goldman Sachs Group/Commissie, ECLI: EU: C: 2021:73, punt 32, onder vermelding van zaak C 611/18 P, Pirelli & C./Commissie, niet gepubliceerd, punt 68, en aldaar aangehaalde rechtspraak.

24. Zie bv. artikel 2, punt 5, van Richtlijn 2013/34/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende de jaarlijkse financiële overzichten, geconsolideerde financiële overzichten en aanverwante verslagen van bepaalde ondernemingsvormen, tot wijziging van Richtlijn 2006/43/EG van het Europees Parlement en de Raad en tot intrekking van Richtlijnen 78/660/EEG en 83/349/EEG van de Raad (hierna 'Richtlijn 2013/34/EU' genoemd), dat van toepassing is op ondernemingen met beperkte aansprakelijkheid, of gelijksoortige toepasselijke wetgeving en artikel 5, lid 1, van Verordening (EG) nr. 139/2004 van de Raad betreffende de controle op concentraties van ondernemingen

25. Zie bv. bijlage V of VI bij artikel 13, lid 1, van Richtlijn 2013/34/EU onder 'netto-omzet', of gelijksoortige toepasselijke wetgeving.

26. Zie bijvoorbeeld artikel 21 en volgende van Richtlijn 2013/34/EU, of gelijksoortige toepasselijke wetgeving.

27. Zie zaak C-58/12 P, Groupe Gascogne SA/Europese Commissie, ECLI:EU:C:2013:770, punten 54-55.

28. Regionale rechtbank LG Bonn, zaak 29 OWi 1/20, 11 november 2020, punt 95, onder verwijzing naar zaak C-637/13 P, Badezimmerkartell Laufen Austria, punt 49, en zaak C-408/12 P, YKK e.a., punt 90.

29. Zaak T-704/14, Marine Harvest/Commissie, punt 580, onder verwijzing naar zaak T -332/09, Electrabel/Commissie, punt 279.

30. Zie in die zin zaak C-387/97, Commissie/Griekenland, punt 90, en zaak C-278/01, Commissie/Spanje, punt 41, waarin de geldboete zodanig moest worden vastgesteld dat zij 'in overeenstemming is met de omstandigheden en evenredig is aan zowel de vastgestelde inbreuk als de draagkracht van de betrokken lidstaat'.

31. Zie gevoegde zaken C-189/02 P, C-202/02 P, C-205/02 P tot en met C-208/02 P en C-213/02 P, Dansk Rørindustri en anderen/Commissie, punt 327, onder vermelding van gevoegde zaken 96/82 tot en met 102/82, 104/82, 105/82, 108/82 en 110/82, NV IAZ International Belgium en anderen/Commissie, punten 54 en 55. Dit werd meer recentelijk herhaald

32. Zie gevoegde zaken T-236/01, T-239/01, T-244/01 tot en met T-246/01, T-251/01 en T-252/01, Tokai Carbon en anderen/Commissie, punt 372, en zaak T-64/02, Heubach/Commissie, punt 163. Zie zaak T-393/10 INTP, Westfälische Drahtindustrie e.a./Commissie, punten 293 en 294.

33. Zie zaak C-308/04 P, SGL Carbon/Commissie, punt 106.

34. Zie de conclusie van advocaat-generaal Geelhoed in zaak C-304/02, Commissie/Franse Republiek, punt 39.

35. Zie onder andere zaak C-511/11 P, Versalis Spa/Commissie, punt 94.

36. Zie in het bijzonder zaak C-289/04 P, Showa Denko/Commissie, punten 28-39.

37. Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (kennisgeving geschied onder nummer C(2003) 1422).