GDPR-bøder skal beregnes ud fra koncernens globale omsætning
EU-domstolen har slået fast, at bøder for brud på GDPR skal beregnes ud fra en procentdel af den globale omsætning. Sagen viser, at det dermed ikke kun er den enkelte dataansvarlige virksomhed, der bliver ramt, men hele koncernen.
I forbindelse med en straffesag mod en stor møbelkæde for brud på GDPR, opstod der uenighed om, hvorvidt bødens procentdel skulle udmåles på baggrund af hele koncernens omsætning. Datatilsynet havde lagt op til en bøde på et millionbeløb, mens Retten i Aarhus idømte en bøde på 100.000 kroner. Vi har tidligere skrevet om sagen her.
Virksomheden havde en samlet omsætning på 1.8 milliarder kroner, mens koncernens samlede omsætning var mere end tre gange højere. Bøden ville derfor variere betydeligt, alt efter hvilket tal procentdelen skulle beregnes efter. Vestre Landsret bad derfor EU-domstolen om at afklare spørgsmålet.
EU-domstolen slog fast, at begrebet ”virksomhed” skal forstås på samme måde som i konkurrencereglerne. Det betyder, at bøder skal beregnes ud fra en procentdel af den samlede globale omsætning for hele koncernen, ikke kun den enkelte juridiske enhed. Samtidig understregede EU-domstolen, at det netop er afgørende, at bøder har et niveau, der sikrer, at reglerne bliver overholdt i praksis.
IUNO mener
Sagen viser, ikke overraskende, at brud på databeskyttelsesreglerne i én virksomhed pludselig kan komme til at koste dyrt for hele koncernen. Derfor er det en klar fordel, at compliance-arbejdet sker på tværs af hele gruppen.
IUNO anbefaler, at virksomheder som et minimum har godt styr på de helt grundlæggende krav under databeskyttelsesreglerne.
I den konkrete sag var der tale om brud på slettereglerne, da virksomheden ulovligt havde opbevaret oplysninger om cirka 385.000 kunder. Vi har tidligere skrevet om bøder for manglende sletning her og her.
[EU-Domstolens dom af den 13. februar 2025 i sag C-383/23]
I forbindelse med en straffesag mod en stor møbelkæde for brud på GDPR, opstod der uenighed om, hvorvidt bødens procentdel skulle udmåles på baggrund af hele koncernens omsætning. Datatilsynet havde lagt op til en bøde på et millionbeløb, mens Retten i Aarhus idømte en bøde på 100.000 kroner. Vi har tidligere skrevet om sagen her.
Virksomheden havde en samlet omsætning på 1.8 milliarder kroner, mens koncernens samlede omsætning var mere end tre gange højere. Bøden ville derfor variere betydeligt, alt efter hvilket tal procentdelen skulle beregnes efter. Vestre Landsret bad derfor EU-domstolen om at afklare spørgsmålet.
EU-domstolen slog fast, at begrebet ”virksomhed” skal forstås på samme måde som i konkurrencereglerne. Det betyder, at bøder skal beregnes ud fra en procentdel af den samlede globale omsætning for hele koncernen, ikke kun den enkelte juridiske enhed. Samtidig understregede EU-domstolen, at det netop er afgørende, at bøder har et niveau, der sikrer, at reglerne bliver overholdt i praksis.
IUNO mener
Sagen viser, ikke overraskende, at brud på databeskyttelsesreglerne i én virksomhed pludselig kan komme til at koste dyrt for hele koncernen. Derfor er det en klar fordel, at compliance-arbejdet sker på tværs af hele gruppen.
IUNO anbefaler, at virksomheder som et minimum har godt styr på de helt grundlæggende krav under databeskyttelsesreglerne.
I den konkrete sag var der tale om brud på slettereglerne, da virksomheden ulovligt havde opbevaret oplysninger om cirka 385.000 kunder. Vi har tidligere skrevet om bøder for manglende sletning her og her.
[EU-Domstolens dom af den 13. februar 2025 i sag C-383/23]
