Aan wie kan een geldboete opgelegd worden onder de AVG?

De toezichthouder (in Nederland: de Autoriteit Persoonsgegevens (AP)) mag uit eigen beweging optreden tegen zowel de verwerkingsverantwoordelijke als de verwerker van persoonsgegevens die de regels uit de AVG overtre(e)d(en)t. De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt, bijvoorbeeld een bedrijf dat bepaalt dat de naam- en contactgegevens van het personeel en de klanten geregistreerd moeten worden. De verwerker is de partij die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke, bijvoorbeeld een externe salarisadministrateur of een ICT-dienstverlener die een online CRM-systeem levert en beheert om de klantgegevens in op te slaan en bij te werken.
Het zal echter vaak voor komen dat actie wordt ondernomen naar aanleiding van een klacht van een getroffen betrokkene. Denk aan situaties waar een organisatie persoonsgegevens gebruikt voor een ander doel dan waarvoor toestemming is gegeven, dat bijzondere persoonsgegevens (zoals medische dossiers) zijn gelekt of dat een verzoek tot verwijderen van de geregistreerde persoonsgegevens niet wordt verwerkt. Nieuw is dat toezichthouders zeer hoge boetes mogen opleggen bij dit soort overtredingen van de AVG, zowel aan de verwerkingsverantwoordelijke als de verwerker.