Vestre Landsret har forhøjet en GDPR-bøde til 1,5 mio. kr. efter EU-Domstolens afklaring af, at bøder skal beregnes på grundlag af koncernens samlede globale omsætning, når den dataansvarlige indgår i en koncern. Afgørelsen skærper udmålingsniveauet for koncernforbundne virksomheder.
Sagen udsprang af et tilsyn fra Datatilsynet i 2018, hvor virksomheden manglede slettefrister og procedurer i et ældre it-system og derfor opbevarede kundedata unødigt længe. Retten i Aarhus fastsatte oprindeligt bøden til 100.000 kr. med udgangspunkt i virksomhedens egen omsætning. Under anken forelagde landsretten præjudicielle spørgsmål om virksomhedsbegrebet og beregningsgrundlaget, og EU-Domstolen fastslog, at bøder skal tage udgangspunkt i den samlede koncernomsætning. På den baggrund forhøjede Vestre Landsret bøden.
Afgørelsen understreger, at princippet om opbevaringsbegrænsning og effektiv sletning er centralt, og at bødeudmålingen forankres i GDPR art. 83 og EU-rettens virksomhedsbegreb. Koncernstrukturer får dermed direkte betydning for sanktionsrisikoen.
Virksomheder bør sikre følgende grundelementer for at reducere risikoen for bøder:
- Dokumenterede slettefrister og klare opbevaringsperioder på tværs af systemer, herunder legacy.
- Tekniske sletteprocedurer og slettelog, der kan efterprøves ved tilsyn.
- Styringsmodeller for periodisk gennemgang, dataminimering og ansvar for opfølgning.
- Kortlægning af koncernforhold og omsætning ved risikovurdering af potentielle sanktioner.
