EU-Domstolens nylige afgørelse i ILVA-sagen slår fast, at GDPR-bøder skal udmåles baseret på den samlede koncerns årlige globale omsætning.
ILVA først idømt langt lavere bøde end foreslået
I 2021 blev ILVA idømt Danmarks første GDPR-bøde for at have overtrådt slettereglerne i GDPR. Anklagemyndigheden havde, i overensstemmelse med Datatilsynets bødeindstilling, påstået ILVA idømt en bøde på 1,5 millioner kroner.
ILVA slap dog i byretten med en bøde på blot 100.000 kr., blandt andet fordi byretten beregnede bøden baseret på ILVAs egen årlige omsætning, og ikke på Lars Larsen Groups samlede koncernomsætning, som var væsentligt højere.
Som led i sagens behandling i Vestre Landsret, er EU-Domstolen nået samme resultat, som Datatilsynet indstillede på baggrund af: Nemlig at bøden skal udmåles baseret på den årlige globale omsætning i hele koncernen Lars Larsen Group og ikke alene baseret på ILVAs egne årlige omsætning.
Hele koncernen skal anses for ”en virksomhed”
Som led i ankesagen forelagde Vestre Landsret spørgsmålet for EU-Domstolen, om hvordan begrebet "virksomhed" i GDPR’s bestemmelser om bødeudmåling skulle forstås.
Ifølge EU-Domstolen skal begrebet "virksomhed" forstås i overensstemmelse med det konkurrenceretlige begreb i EU-retten. Det betyder, at ”en virksomhed” kan bestå af flere selskaber, hvis de samlet udøver økonomisk virksomhed.
Dermed må den samlede koncern anses for en ”virksomhed” i GDPR’s forstand. Når GDPR-bøder til selskaber i koncernforhold skal udmåles, skal regnestykket altså tage udgangspunkt i hele koncernens årlige globale omsætning.
I ILVA’s tilfælde betyder det, at bøden skal udmåles baseret på den årlige globale omsætning i hele Lars Larsen Group. Dette medvirker, ifølge EU-Domstolen, til at sikre, at GDPR-bøder er effektive og proportionelle og har en afskrækkende virkning.
Afgørelsens betydning
Selvom EU-Domstolens resultat ikke er overraskende, står det med afgørelsen nu klart, at store koncerner ikke kan gå i ly for høje GDPR-bøder ved at lægge behandlingsaktiviteter ned i mindre selskaber. EU-Domstolens dom bekræfter således den restriktive linje, som EU-Domstolen i forvejen har lagt for fortolkningen af GDPR.
Afgørelsen understreger desuden, at koncerner skal indtænke risikoen for endog meget store bøder i sin økonomiske risikoafdækning.
Dette er særligt relevant for virksomheder, der indgår i M&A-transaktioner. Her skal der i due diligence-processen risikoafdækkes ud fra, at bøden for target-virksomhedens overtrædelser af GDPR skal udmåles baseret på hele køberkoncernes årlige globale omsætning.
ILVA-sagen er endnu ikke slut
I modsætning til andre EU-lande kan Datatilsynet i Danmark ikke selv udstede bøder, men kun indstille hertil. EU-Domstolen understreger dog i afgørelsen, at GDPR-bøder i Danmark stadig skal være lige så effektive og afskrækkende som i resten af EU, selvom bøden først kan fastsættes som led i en straffesag for domstolene.
Med EU-Domstolens afgørelse er det ikke givet, at ILVA ender med at gå fra landsretten med en bøde på 1,5 millioner kroner. Under alle omstændigheder skal bøden udmåles i lyset af alle relevante omstændigheder, hvilket nu er op til Vestre Landsret at vurdere.