Volgens de Financial Times zijn de boetes onder de Algemene Verordening Gegevensbescherming (AVG) in het jaar 2023 met bijna 40 procent gestegen. Toezichthouders van Europese landen hebben vorig jaar een stuk strenger gehandhaafd en leggen steeds vaker druk op bedrijven en instanties.
Uit onderzoek van DLA Piper is gebleken dat grote tech- en social mediabedrijven het zwaarst zijn getroffen door de boetes, terwijl de EU-toezichthouders ook steeds assertiever worden bij het opleggen van boetes aan bedrijven van verschillende omvang en in een toenemend aantal sectoren. Sectoren als de detailhandel, telecommunicatie en horeca komen bijvoorbeeld steeds vaker in aanraking met AVG boetes.
Recordhoge boetes in 2023
De trend van recordhoge boetes onder de AVG van de afgelopen zes jaar blijft zich voortzetten in 2023. De Ierse gegevensbeschermingtoezichthouder legde Facebook-moederbedrijf Meta in mei vorig jaar nog een boete op van 1,2 miljard euro. Hiermee overtrof de Ierse toezichthouder de Luxemburgse, die in 2021 Amazon Europe nog een boete van 746 miljoen euro had opgelegd.
Het totaalbedrag dat in 2023 door Europese toezichthouders werd opgelegd bedroeg 1,78 miljard euro, een stijging van 14,10 procent ten opzichte van de 1,56 miljard euro van het jaar ervoor. Daarmee houdt de geleidelijke toename van het aantal opgelegde boetes sinds de invoering van de AVG in 2018 aan.
Hoewel deze stijging van het totaalbedrag opgeledge boetes aanzienlijk blijft, is deze een stuk kleiner dan de stijging van 50 procent in het voorgaande jaar. Een van de oorzaken voor deze stagnatie is volgens het DLA Piper rapport te wijten aan de toename van succesvolle rechtszaken die steeds vaker leiden tot een verlaging of zelfs een volledige intrekking van boetes.
In 2023 hebben Europese toezichthouders ook minder boetes opgelegd op basis van adviezen en bindende besluiten van de European Data Protection Board (EDPB), dat via artikel 63 AVG toezichthouders de mogelijkheid biedt om in samenwerking zaken aan te spannen via zogenoemde coherentiemechanismen.
Dit staat in contrast met voorgaande jaren, toen de betrokkenheid van de EDPB het aantal boetes aanzienlijk opdreef. Hoewel de EDPB in 2023 veel verwijzingen en conformiteitsverklaringen heeft uitgebracht, moet nog blijken of deze verwijzingen worden omgezet in definitieve boetes die door toezichthouders kunnen worden opgelegd.
Innen van boetes ligt met name over 2023 stukken hoger
Sinds de invoering van de AVG hebben toezichthouders in de EU 272 miljoen euro aan boetes geïnd. 159 miljoen euro van dit totaalbedrag is over het jaar 2023 geïnd. De Italiaanse en Duitse DPA’s waren voornamelijk vrij actief, en gezamenlijk goed voor meer dan 50 procent van het totaal aantal geïnde boetes van vorig jaar.
Het groeiende aantal boetes en de toenemende hoogte ervan benadrukken sterk dat de invloed van Europese toezichthouders toeneemt en dat de wetgeving op het gebied van privacy en gegevensbescherming strenger wordt gehandhaafd naarmate de tijd vordert. Dit plaatst bedrijven steeds meer onder druk om te voldoen aan de voortdurend strenger wordende wettelijke verplichtingen.
De grootste tot nu toe opgelegde boete, een bedrag van 50 miljoen euro aan Google, werd in 2019 opgelegd door de Franse toezichthouder CNIL. Deze boete werd opgelegd vanwege een gebrek aan transparantie in gegevensverzameling en illegale praktijken met betrekking tot de personalisering van advertenties. Deze overtredingen schonden onder andere artikelen 6, 12 en 13 van de AVG.
Gangbare boetes tijdens de handhaving van de AVG
De meeste AVG-boetes waren voornamelijk gericht op overtredingen van algemene beginselen, waarbij de beginselen van rechtmatigheid, behoorlijkheid en transparantie onder artikel 5(1)(a) AVG het vaakst werden overtreden.
TikTok kreeg een aanzienlijke boete vanwege het niet verstrekken van informatie over persoonsgegevens, zoals vastgelegd in de artikelen 13 en 14 van de AVG. In september 2023 legden Ierse toezichthouders hiervoor een sanctie op van € 345 miljoen, met name vanwege het niet informeren van minderjarige gebruikers en het gebruik van zogenoemde dark patterns.
Afgelopen jaar hebben zowel EU-toezichthouders als nationale rechtbanken in verschillende zaken steeds vaker overtredingen aangekaart met betrekking tot de rechtmatige verwerking van persoonsgegevens onder artikel 6 van de AVG. Bedrijven en instanties worden steeds vaker geconfronteerd met boetes vanwege het kiezen van onjuiste rechtsgrondslagen, een veelvoorkomend en gemakkelijk te overzien aspect van de naleving van de AVG.
In dit verband werden met name de juridische grondslagen 6(1)(b) (uitvoering van een overeenkomst) en 6(1)(f) (gerechtvaardigde belangen) over het algemeen het meest behandeld.
Met name in de zaak Meta Platforms V. Bundeskartellamt heeft het Europese Hof van Justitie strengere beperkingen opgelegd met betrekking tot de juiste keuze onder artikel 6(1)(b). Het Hof stelde dat verwerkingsactiviteiten alleen gerechtvaardigd zijn indien ze objectief noodzakelijk zijn voor overeenkomstige verplichtingen of strikt noodzakelijk zijn op basis van een gerechtvaardigd belang.
Handhaving van de AVG naleven met oog op toenemende controles
Privacy- en gegevensbeschermingswetgeving blijft in deze tijd vrij dynamisch. De grotere betrokkenheid van EU-autoriteiten en rechtbanken heeft aangetoond dat bedrijven, ongeacht hun omvang en sector, steeds nauwkeuriger moeten voldoen aan de principes van de AVG.
Aangezien handhavingstrends zich blijven ontwikkelen, is het voor bedrijven noodzakelijk om prioriteiten te stellen met betrekking tot naleving van de AVG en strengere gegevensbeschermingsmaatregelen te nemen om risico’s te beperken en boetes te vermijden.