EU-Domstolen har fastslået, at beregning af bøder efter GDPR kan ske på koncernniveau. Begrebet “virksomhed” i GDPR skal forstås som den økonomiske enhed kendt fra konkurrenceretten, så alle enheder i koncernen, der direkte eller indirekte er involveret i overtrædelsen, kan indgå i vurderingen. Domstolen bekræfter samtidig, at bøder skal være proportionale og have en reel afskrækkende virkning, mens den konkrete bødestørrelse i den underliggende sag afklares nationalt.
Koncernniveau i bødeudmåling
Afgørelsen betyder, at maksimumrammen i GDPR’s bødebestemmelser kan beregnes med udgangspunkt i koncernens samlede omsætning fremfor alene datterselskabets. Det hæver i praksis loftet for potentielle sanktioner i større grupper og skærper incitamentet til at have ensartede og effektive kontrolmiljøer på tværs af enheder.
Selv om omsætningen nu kan opgøres samlet, beror den endelige udmåling fortsat på en konkret vurdering efter GDPR art. 83, herunder overtrædelsens karakter, grovhed, varighed, kategorier af data, graden af uagtsomhed, afhjælpende tiltag og tidligere overtrædelser. Tilsynsmyndighederne skal altså fortsat afveje proportionalitet og afskrækkelse.
Praktiske konsekvenser for danske koncerner
Virksomheder i koncernforhold bør styrke governance og forankre databeskyttelse centralt: fælles politikker for sletning og opbevaringsbegrænsning, ensartede kontroller, systematisk dokumentation samt løbende uddannelse. Forældede kundedata og utilstrækkelige sletteprocedurer udgør nu en forstørret bøderisiko, fordi konsekvensen kan skaleres op til koncernniveau.
Ledelsesansvar og tilsyn skærpes tilsvarende. Koncernledelsen bør sikre, at lokale datterselskaber faktisk efterlever fælles standarder, og at afvigelser hurtigt identificeres og håndteres. Databeskyttelsesrådgiverens rolle og interne audit bør udvides til at dække samtlige relevante enheder.
M&A og risikohåndtering
I virksomhedsoverdragelser bliver GDPR-forhold endnu mere due diligence-kritiske. Købere bør inddrage bøderisiko på koncernniveau i risikomodeller, kontraktgarantier og eventuelle prisjusteringsmekanismer. Sælger bør tilsvarende fremlægge robust dokumentation for efterlevelse, slettepraksis og hændelseshåndtering.
Myndighedernes fokus på lagring og sletning kan forventes at tiltages. Se Datatilsynets vejledning om sletning af personoplysninger for praktiske retningslinjer og eksempler på korrekt praksis: sletning af personoplysninger på Datatilsynets hjemmeside.
