En samlet vurdering
Nu har sagen været omkring landsretten, der nåede frem til, at bødestørrelsen faktisk skal baseres på hele koncernens omsætning – og ikke alene på datterselskabets lokale omsætning. Det skete dog først efter at have konsulteret EU-Domstolen. Den fastslog, at “virksomhed” i GDPR-bøde sammenhæng skal forståes i overensstemmelse med det konkurrenceretlige begreb i EU-retten. Her omfatter begrebet ”virksomhed” flere selskaber, hvis de udøver en samlet økonomisk virksomhed.
Proportional og afskrækkende
Bøden skal baseres på hele koncernens årlige globale omsætning, da bødemodtagerens reelle eller faktiske økonomiske formåen har betydning for, hvorvidt bøden både er effektiv, proportional og forebyggende. GDPR-bøder skal nemlig ifølge EU-Domstolen være både effektive og stå i et rimeligt forhold til overtrædelsen – og desuden have en afskrækkende virkning. Dette ligger godt i tråd med EU-Domstolens ønske om en mere restriktiv fortolkning af GDPR-reglerne.
Dermed kan koncerner ikke omgå reglerne ved at placere (ikke-lovlige) behandlingsaktiviteter i mindre selskaber. Derfor skal de også tage højde for noget større bøder end hidtil i deres økonomiske risikoafdækning.
Hvad angår ILVA, afventer vi nu blot, at den konkrete bødestørrelse bliver fastlagt.
