EU-Domstolen har afklaret, at GDPR-bøder skal beregnes på baggrund af hele koncernens globale omsætning, når overtrædelsen kan tilregnes den samme økonomiske enhed. Afgørelsen ændrer udmålingsgrundlaget i den verserende danske sag om en møbelkæde, hvor den nationale ret havde fastsat en markant lavere bøde.
Retsafgørelsen
Domstolen lægger virksomhedsbegrebet fra konkurrenceretten til grund: En koncern udgør en økonomisk enhed, og omsætningen opgøres derfor samlet for foregående regnskabsår. Formålet er at sikre effektive, proportionale og afskrækkende sanktioner efter GDPR art. 83.
I den danske straffesag var beregningsgrundlaget afgørende for bødeniveauet. Med præjudikatet forventes en væsentlig højere ramme, når overtrædelsen kan henføres til koncernen og ikke blot den enkelte juridiske enhed.
Konsekvenser for virksomheder
Afgørelsen skærper incitamentet til koncernbred compliance. Styring af slettepolitik, dokumentation og intern kontrol bør harmoniseres på tværs af selskaber for at reducere sanktionsrisikoen.
Sagen udsprang af manglende efterlevelse af slettereglerne ved langvarig opbevaring af kundedata. Virksomheder bør sikre klare retention-regler, løbende sletninger og sporbar efterlevelse, så tilsyn og domstole kan efterprøve processen.
