EU-domstolen: Sanktionsavgifter för GDPR-överträdelser av dotterbolag ska beräknas utifrån den totala koncernomsättningen

Den 13 februari 2025 meddelade EU-domstolen ett nytt beslut (C-383/23), som rör sanktionsavgifter enligt GDPR för koncerner. Domstolen konstaterade att begreppet ”företag” som framkommer i artikel 83.4-83.6 ska tolkas i enlighet med dess innebörd i artiklarna 101 och 102 i Fördraget om Europeiska unionens funktionssätt (FEUF). Av detta följer att beräkningen av det högsta beloppet för en administrativ sanktionsavgift som åläggs en personuppgiftsansvarig i ett bolag som ingår i en koncern, ska baseras på den totala globala årsomsättningen för det föregående räkenskapsåret.

Bakgrund

Fallet rörde den danska möbelkedjan Ilva A/S (”Ilva”), ett dotterbolag inom koncernen Lars Larsen Group (”koncernen”). Ilva åtalades av allmän åklagare enligt dansk reglering för att ha åsidosatt sina skyldigheter enligt GDPR. Enligt det danska åtalet ska bolaget ha lagrat personuppgifter tillhörande cirka 350.000 tidigare kunder under maj 2018 och januari 2019 utan att ha fullgjort sina skyldigheter som personuppgiftsansvarig enligt GDPR. Ilva ansågs därmed ha hanterat personuppgifter avseende dess tidigare kunder på ett felaktigt sätt.

Den danska domstolen förklarade Ilva skyldigt och ålade bolaget att betala en sanktionsavgift på 100.000 danska kronor, eftersom det endast var Ilva som hade åtalats och inte hela koncernen. Den allmänna åklagaren överklagade beslutet och ansåg att sanktionsavgiften i stället skulle bestämmas utifrån koncernens omsättning. Åklagaren hänvisade till skäl 150 i GDPR som anger att begreppet “företag” ska definieras på samma sätt som i artiklarna 101 och 102 i FEUF. Den domstol som mottog överklagandet hänsköt frågan till EU-domstolen för förhandsavgörande och ställde följande tolkningsfrågor:

• Ska begreppet ”företag” som framkommer i artikel 83.4-83.6 i GDPR tolkas i enlighet med definitionen i artiklarna 101 och 102 FEUF, med hänsyn till skäl 150 i dataskyddsförordningen och EU-domstolens konkurrensrättsliga praxis, så att det omfattar varje enhet som bedriver ekonomisk verksamhet, oavsett dess rättsliga status och finansiering?
• Om fråga 1 besvaras jakande, ska sanktionsavgifter enligt artikel 83.4-83.6 GDPR beräknas utifrån den totala globala årsomsättningen för den ekonomiska enhet som företaget ingår i, eller enbart utifrån företagets egna totala globala årsomsättning?

Utredningen

I korthet fastställde EU-domstolen att begreppet ”företag” så som det nämns i artikel 83.4-83.6 GDPR bör tolkas i enlighet med den definition som används i artiklarna 101 och 102 FEUF. Enligt domstolen ska GDPR inte betraktas isolerat utan måste förstås i kontexten av EU:s ekonomiska lagstiftning, vilket innebär att begreppet ”företag” inte är begränsat till enskilda juridiska personer utan omfattar hela koncerner om ett bolag ingår i en sådan.

Med det följer, enligt EU-domstolen, att en sanktionsavgift för en GDPR-överträdelse inte kan beräknas enbart baserat på årsomsättningen för det direkt ansvariga dotterbolaget. I stället är hela koncernens totala globala årsomsättning relevant, om det berörda företaget är en integrerad del av den ekonomiska enheten och moderbolaget påverkar dess affärsbeslut. Eftersom sanktionsavgifterna syftar till att ha en avskräckande effekt, skulle en annan ordning innebära att stora koncerner saknar incitament att följa regelverket. Värt att notera är dock att detta gäller fastställande av det högsta beloppet för sanktionsavgifter. Detta ska skiljas från den faktiska beräkningen av sanktionsavgifter där flera faktorer måste beaktas, för att fastställa att böterna är effektiva, avskräckande och proportionerliga.

EU-domstolen hade en annan syn än generaladvokaten gällande när koncernens årsomsättning ska beaktas. Generaladvokaten menade att koncernens sammanlagda årsomsättning bara är relevant som en form av justeringsmekanism om moderbolaget är inblandat och överträdelsen påverkar hela koncernen, inte enbart dotterbolaget. Enligt detta resonemang skulle koncernens omsättning endast beaktas under specifika omständigheter.

Konsekvenser av domstolens beslut

EU-domstolens bedömning är i linje med EDPB:s riktlinjer och är därför ingen överraskning. Beslutet anger hur sanktionsavgifter ska fastställas till följd av GDPR-överträdelser och säkerställer en enhetlig tillämpning av bestämmelserna inom samtliga medlemsstater. Genom beslutet har det förtydligats att stora koncerner inte kan undgå höga sanktionsavgifter enligt GDPR genom att exempelvis flytta behandlingen av personuppgifter till dotterbolag. I praktiken innebär det att koncerner fortsatt måste säkerställa att krav enligt GDPR:s följs, och beakta risken för betydande sanktionsavgifter.

Har du frågor eller funderingar kring GDPR? Tveka inte att kontakta oss på Delphi!

Denna artikel är skriven av Associate Klara Thyrén och Thesis Trainee Sophie Wichmann