Som första land i EU har dataskyddsmyndigheten i Holland (Dutch DPA) nyligen offentliggjort sin GDPR-bötespolicy. GDPR möjliggör ett maximalt bötesbelopp på 4 procent av de globala intäkterna eller 20 miljoner euro, beroende på vad som är högst, men lite har sagts om hur man bestämmer det exakta fina beloppet och vad skalan är.
Dutch DPA har inför ett system med fyra kategorier, vilket tar hänsyn till det bötfällda företagets storlek och maximala bötesbelopp. Till exempel, om ett företags högsta böter är 10 miljoner euro, kan böter för följande mindre allvarliga överträdelser utdömas enligt följande:
Kategori I: € 0 till € 200.000
Kategori II: 120 000 till 500 000 €
Kategori III: 300 000 till 750 000 €
Kategori IV: 450 000 till 1 miljon euro
Trots att BNR inte uttryckligen anger hur myndigheten ska kategorisera brott mot GDPR, delar den en lista med "relevanta faktorer" för att avgöra hur allvarlig överträdelsen är. Bland faktorer ingår överträdelsens varaktighet, antalet registrerade personer (personer) som drabbats, hur snabbt företaget reagerar och vilken typ av personuppgifter det handlar om.
Att införa kategorier underlättar för företag och allmänheten att förstå hur GDPR kommer att verkställas. Den nya policyn innebär att att "enkla" brott kan hanteras med relativt låga böter, vilket minskar antalet överklaganden och gör hela processen smidigare.
