Overwegingen
1. Eiseres is een recruitmentbedrijf. Verweerder heeft in november 2018 en maart 2019 klachten ontvangen over een mogelijke overtreding van de Avg door eiseres. Concreet hielden die klachten in dat verzoekster in drie gevallen niet tijdig persoonsgegevens heeft verwijderd van kandidaten die daar om hadden verzocht. Verweerder heeft onderzoek naar de klachten gedaan en drie overtredingen van de Avg geconstateerd. Hierna heeft verweerder de hiervoor genoemde besluiten genomen.
Standpunt eiseres
2.1
Eiseres voert -samengevat- aan dat het opleggen en de hoogte van de bestuurlijke boete strijdig zijn met het evenredigheidsbeginsel. Verder voert eiseres aan dat verweerder had kunnen volstaan met het opleggen van een lichtere sanctie zoals een berisping.
2.2
Volgens eiseres leidt openbaarmaking van het boetebesluit tot onevenredige benadeling en moet van volledige publicatie daarvan worden afgezien. Verweerder onderschat de financiële impact en de eventuele reputatieschade bij openbaarmaking van het boetebesluit. Eiseres wijst op de uitspraak van de rechtbank Rotterdam van 24 februari 20172 en stelt dat als verweerder wil overgaan tot publicatie dit ook anoniem kan.
3. De voor de beoordeling van de beroepen belangrijke wet- en regelgeving is te vinden in de bijlage bij deze uitspraak.
Beoordeling door de rechtbank
4.1.
De rechtbank beoordeelt allereerst de rechtmatigheid van het boetebesluit. Een bestuurlijke boete is een bestraffende sanctie. Dat brengt met zich mee dat verweerder moet bewijzen dat de overtredingen zijn gepleegd. Niet in geschil is dat eiseres de Avg heeft overtreden door in drie gevallen niet tijdig persoonsgegevens te verwijderen van betrokkenen die daar om hadden verzocht.3 De overtredingen staan daarmee vast. Omdat voor de overtredingen geen opzet of schuld is vereist, mag van de verwijtbaarheid uit worden gegaan. Dat de overtredingen het gevolg zijn van een menselijke fout, maakt niet dat sprake is van een uitzonderingssituatie op grond waarvan had moeten worden afgezien van handhavend optreden. Eiseres is er als verwerkingsverantwoordelijke immers verantwoordelijk voor dat haar privacybeleid goed wordt uitgevoerd.
4.2
De wetgever beschouwt dit soort overtredingen als een ernstige inbreuk en koppelt daar het hoogste maximum boetebedrag aan.4 Voor deze overtredingen geldt een boetebandbreedte tussen € 120.000,- en € 500.000,- en een basisboete van € 310.000.5 Verweerder heeft de boete gematigd tot € 6.000,- op grond van de omstandigheden dat het gaat om drie gevallen terwijl eiseres volgens eigen opgave 650 verzoeken tot uitschrijving heeft verwerkt, dat eiseres heeft voorzien in beleid en dat eiseres het beleid heeft aangescherpt om overtredingen voor de toekomst zoveel mogelijk te voorkomen.
De rechtbank ziet geen aanleiding voor verdere matiging van de boete. Verweerder heeft rekening gehouden met de door eiseres in dat kader naar voren gebrachte omstandigheden en de boete op basis daarvan al sterk gematigd. Verder is niet gebleken van bijzondere omstandigheden op grond waarvan de bestuurlijke boete te hoog is.
4.3
De rechtbank ziet evenmin reden voor het opleggen van een alternatieve sanctie zoals een berisping. Volgens overweging 148 van de Avg is een berisping bedoeld voor de gevallen waarin het gaat om een kleine inbreuk. Zoals hiervoor al is opgemerkt, beschouwt de wetgever de onderhavige overtredingen als een ernstige inbreuk waar een hoge boete op staat. Het opleggen van een berisping doet geen recht aan de ernst van de overtredingen.
Het openbaarmakingsbesluit
5. Volgens vaste rechtspraak van de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) past het in het takenpakket van toezichthouders dat boetebesluiten worden gepubliceerd, zodat bekendheid wordt gegeven aan de wijze van uitvoering van deze taak en de consument wordt gewaarschuwd.6 Artikel 8 van de Wet openbaarheid van bestuur (Wob) biedt volgens de Afdeling in het algemeen de basis om boetebesluiten volledig te publiceren. Volgens de Afdeling is in die situatie een nadere afweging van belangen geboden. Deze nadere afweging houdt in dit geval in dat het algemene belang dat door onverkorte openbaarmaking wordt gediend, wordt afgewogen tegen het belang van eiseres geen onevenredig nadeel te ondervinden als gevolg van de openbaarmaking, waarbij aan het algemeen belang een groot gewicht moet worden toegekend.7 Verweerder heeft onweersproken gesteld dat eiseres per maand 1,5 miljoen euro verdient. Daar tegenover zet eiseres de mogelijke financiële schade variërend van 300.000 euro tot 600.000 euro. De rechtbank is van oordeel dat, gelet hierop, verweerder het algemeen belang zwaarder heeft mogen laten wegen dan de mogelijk te verwachten financiële schade. Hoewel enige reputatieschade voor eiseres niet valt uit te sluiten, weegt ook dit niet op tegen het algemeen belang. Van bijzondere omstandigheden die een uitzondering rechtvaardigen op het standpunt dat openbaarheid de regel is, is niet gebleken.8
6. De verwijzing van eiseres naar genoemde uitspraak van de rechtbank Rotterdam die er toe zou moeten leiden dat van volledige publicatie moet worden afgezien omdat publicatie een punitief karakter heeft, treft geen doel. In die zaak ging het immers om een ander toetsingskader, namelijk dat van de Wet op het financieel toezicht. De Afdeling heeft overigens over een vergelijkbaar betoog geoordeeld dat het oogmerk van publicatie van het boetebesluit, net als in deze zaak, was gericht op voorlichting en niet op bestraffing.9
7. De rechtbank volgt verweerder in de stelling dat van publicatie met naam en toenaam een effectievere generale preventieve werking uitgaat dan van anonieme publicatie. In de omstandigheid dat het gaat om slechts drie betrokkenen van wie de informatie ook op LinkedIn te vinden is, wat daar ook van zij, ziet de rechtbank geen aanleiding om anders te oordelen. Op de zitting heeft verweerder overigens verklaard dat zich nog geen gevallen hebben voorgedaan waarin anoniem is gepubliceerd.
8. De beroepen zijn ongegrond.
9. Voor een proceskostenveroordeling of vergoeding van het griffierecht bestaat geen aanleiding.
Bijlage: voor deze uitspraak belangrijke wet- en regelgeving
Avg
Artikel 12, derde lid
(…) De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen één maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging, met vermelding van de redenen voor de vertraging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
(…)
i. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
(…)
b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;
(…)
5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20.000.000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:
(…)
b) de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22;
Hoofdstuk 2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019
Voor de hier aan de orde zijnde overtredingen geldt een boetebrandbreedte tussen
€ 120.000,- en € 500.000,- en een basisboete van € 310.000,-
Artikel 7 Boetebeleidsregels Autoriteit Persoonsgegevens 2019
Artikel 7. Relevante factoren
Onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht houdt de Autoriteit Persoonsgegevens rekening met de factoren genoemd onder a tot en met k, voor zover in het concrete geval van toepassing:
a. a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de
technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32
van de Algemene verordening gegevensbescherming;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en
de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en
zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i. i) de naleving van dein artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de Algemene verordening gegevensbescherming; en
k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien
Algemene wet bestuursrecht (Awb)
Artikel 4:84
Het bestuursorgaan handelt overeenkomstig de beleidsregel, tenzij dat voor een of meer belanghebbenden gevolgen zou hebben die wegens bijzondere omstandigheden onevenredig zijn in verhouding tot de met de beleidsregel te dienen doelen.
1. De wet bepaalt de bestuurlijke boete die wegens een bepaalde overtreding ten hoogste kan worden opgelegd.
2. Tenzij de hoogte van de bestuurlijke boete bij wettelijk voorschrift is vastgesteld, stemt het bestuursorgaan de bestuurlijke boete af op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten. Het bestuursorgaan houdt daarbij zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd.
3. Indien de hoogte van de bestuurlijke boete bij wettelijk voorschrift is vastgesteld, legt het bestuursorgaan niettemin een lagere bestuurlijke boete op indien de overtreder aannemelijk maakt dat de vastgestelde bestuurlijke boete wegens bijzondere omstandigheden te hoog is.
Overweging 59 AVG (GDPR) | GDPR-Text.com
Overweging 65 AVG (GDPR)GDPR-Text.com
Overweging 148 AVG (GDPR) | GDPR-Text.com
Wob [Regeling vervallen per 01-05-2022 ivm inwerkingtreding WOO]
Wob is hier van toepassing vanwege de datum van de bestreden besluiten.
Artikel 8, eerste lid. Het bestuursorgaan dat het rechtstreeks aangaat, verschaft uit eigen beweging informatie over het beleid, de voorbereiding en de uitvoering daaronder begrepen, zodra dat in het belang is van een goede en democratische bestuursvoering.
Op grond van artikel 10, tweede lid, aanhef en onder g, van de Wob blijft openbaarmaking achterwege als het belang daarvan niet opweegt tegen het voorkomen van onevenredige benadeling van bij de aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel van derden.
Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens
Artikel 2.1 t/m 2.3 en artikel 4.1 e.v.
.jpg?width=50&height=55)
.jpg?width=50&height=55)
