EU-Domstolen har præciseret, at ”virksomhed” i GDPR artikel 83, stk. 4–6, skal forstås som den økonomiske enhed, der også anvendes i EU-konkurrenceretten. Dermed kan administrative bøder for brud på databeskyttelsesreglerne baseres på hele koncernens globale omsætning, når overtrædelsen kan henføres til enheder i samme virksomhed i EU-rettens forstand.
Afgørelsen kommer efter en præjudiciel forelæggelse fra Vestre Landsret i ankesagen mod ILVA, hvor Datatilsynet har rejst kritik for manglende sletning af omfattende kundedata. Domstolen understreger samtidig, at bøden skal afspejle den faktiske økonomiske formåen og være effektiv, proportional og afskrækkende. Det er uden betydning, om overtrædelsen formelt kun kan tilskrives et datterselskab, hvis moderselskabet udøver bestemmende indflydelse.
Konsekvenser for bødeudmåling
Praksisændringen skærper bødeeksponeringen for koncerner med centraliseret styring af data og compliance. Nationale tilsynsmyndigheder og domstole må ved udmålingen identificere den relevante økonomiske enhed og lægge koncernomsætningen til grund, hvor betingelserne er opfyldt.
For danske og europæiske virksomheder bør afgørelsen udløse en opdatering af governance, slettepolitikker og interne kontroller på tværs af selskaber. Koncernledelser bør kunne dokumentere styring af databeskyttelse, ansvarsplacering og beslutningslinjer, da disse elementer vil være centrale for vurderingen af tilskrivning og bødebase i fremtidige sager, herunder den verserende ILVA-sag ved Vestre Landsret.
