Koncernomsætning som bødegrundlag
Vestre Landsret har forhøjet ILVAs bøde for brud på GDPR til 1,5 mio. kr. Afgørende var, at bøden skulle udmåles på baggrund af koncernens samlede globale omsætning og ikke alene datterselskabets tal. Afgørelsen kan få bred betydning for bødeniveauet i koncernstrukturer.
EU-Domstolen har fastslået, at begrebet virksomhed i databeskyttelsesforordningen skal forstås som i konkurrenceretten. Dermed vurderes den økonomiske enhed under ét, når loft og udgangspunkt for bøder fastsættes efter GDPR art. 83.
Sagens baggrund og proces
Sagen udspringer af, at ILVA opbevarede oplysninger om cirka 385.000 kunder uden en entydig slettepolitik, hvilket berører princippet om opbevaringsbegrænsning i GDPR art. 5. Byretten i Aarhus udmålte i 2021 en bøde på 100.000 kr. med udgangspunkt i ILVA A/S’ omsætning.
Anklagemyndigheden ankede. Landsretten forelagde herefter præjudicielle spørgsmål for EU-Domstolen, som afklarede, at koncernens globale omsætning er relevant ved bødeudmåling, også når overtrædelsen er begået i et datterselskab. Med denne fortolkning har landsretten nu fastsat bøden til 1,5 mio. kr. Dommen kan i udgangspunktet afslutte sagen, men prøvelse i Højesteret kan søges med tredjeinstansbevilling.
Praktiske konsekvenser og næste skridt
Afgørelsen øger bøderisikoen for koncerner, fordi brud ét sted kan få økonomiske følger på tværs af hele den økonomiske enhed. Bestyrelse og direktion bør sikre koncerndækkende styring af databeskyttelse, klare roller og dokumenteret tilsyn.
Følgende opmærksomhedspunkter bør prioriteres for at reducere risikoen for sanktioner efter GDPR art. 83:
- Etabler koncerndækkende governance, slettepolitikker og livscyklusstyring af data.
- Sikr dokumenteret kontrol og audit af datterselskaber samt effektiv opfølgning på fund.
- Indarbejd juridisk risikovurdering, der tager højde for bødeberegning ud fra global omsætning.
