Søg
EU-Domstolen afsagde tidligere i dag sin dom i ILVA-sagen vedrørende koncernomsætningens betydning for GDPR’s bestemmelser om bødeudmåling. Fortolkningen af det i denne henseende afgørende begreb ’virksomhed’ er ikke så overraskende, men det understreger at Domstolen har en relativt streng tilgang.
Dommen er oplagt relevant for virksomheder, der indgår i koncerner, men sagens udfald er også vigtigt at holde for øje ved vurderingen af risikoen i M&A-transaktioner, der omfatter virksomheder der indgår i en koncern. Den vil alt andet lige kunne indebære et højere bødeniveau ved de danske domstole fremadrettet.
Sagen angik en overtrædelse af GDPR begået af ILVA A/S, der er en del af Lars Larsen Group, og anklagemyndigheden krævede derfor under sagen en bøde baseret på koncernens samlede omsætning – ikke kun ILVAs egen. Ved sin besvarelse af det præjudicielle spørgsmål om fortolkningen af artikel 83 i GDPR støttede EU-Domstolen op om den tilgang.
Dommen understreger, at begrebet “virksomhed” i GDPR skal forstås i overensstemmelse med de konkurrenceretlige regler i Traktaten om Den Europæiske Unions Funktionsmåde (specifikt artikel 101 og 102). Det indebærer, at en bødes maksimumsbeløb for overtrædelse af GDPR skal fastsættes på grundlag af en procentdel af den globale koncernomsætning i det foregående regnskabsår, hvilket blandt andet skal sikre, at bøden er ”effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning”.
Dette er som nævnt ikke et overraskende resultat, men er dog en klar påmindelse om den restriktive linje, som Domstolen lægger for dagen ved fortolkningen af GDPR. Denne linje kom eksempelvis også til udtryk i afgørelsen i Lindenapotheke-sagen fra oktober 2024, hvor begrebet ’helbredsoplysninger’ blev fortolket til også at omfatte oplysninger vedrørende købet af håndkøbsmedicin.
Hvis du har spørgsmål til disse nye afgørelser eller databeskyttelsesretten generelt, er du altid velkommen til at række ud.