Generaladvokaten har den 12. september 2024 fremsat forslag til afgørelse i den såkaldte Ilva-sag, der vedrører tilsidesættelse af databeskyttelsesforordningens artikel 5, stk. 1, litra e), artikel 5, stk. 2, og artikel 6, ved at have opbevaret personoplysninger om ca. 350.000 personer i længere tid, end hvad der var nødvendigt i et ældre og til dels udfaset kundedatasystem.
Datatilsynet politianmeldte i 2019 Ilva (IDdesign A/S) og indstillede samtidig virksomheden til en bøde på 1,5 mio. kr. Ilva havde forud for et tilsynsbesøg oplyst til Datatilsynet, at der i enkelte butikker fortsat blev anvendt et ældre system, som var erstattet af et nyere system i de andre butikker, og at der i det gamle system blev behandlet oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Under tilsynsbesøget oplyste Ilva desuden, at der ikke var fastsat slettefrister i det ældre system, og personoplysningerne i dette system var derfor aldrig blevet slettet.
Ved beregningen af bøden havde Datatilsynet og anklagemyndigheden taget udgangspunkt i nettoomsætningen for hele Lars Larsen Group-koncernen, som ILVA er en del, og altså ikke alene nettoomsætningen for ILVA. Dette princip følger af databeskyttelsesforordningens præambelbetragtning 150.
Ilva blev ved Retten i Aarhus idømt en væsentlig lavere bøde, end hvad tilsynet og anklagemyndigheden havde lagt op til, idet bøden blev udmålt til 100.000 kr. Byretten fandt alene bevis for, at overtrædelsen var begået uagtsomt og lagde til grund, at den manglende sletning var en forglemmelse, der skyldtes en for ensidig fokusering på selskabets nye aktive IT-systemer, ligesom retten fandt, at det kun var Ilvas egen omsætning, der skulle lægges til grund for beregning af bødens størrelse.
Dommen blev anket til Vestre Landsret, der har stillet et præjudicielt spørgsmål til EU-Domstolen om, hvordan begrebet ”virksomhed” i databeskyttelsesforordningens artikel 83, stk. 4-6 skal forstås i lyset af præambelbetragtning 150. Spørgsmålet vedrører, om der i forbindelse med pålæggelsen af en bøde for en overtrædelse af databeskyttelsesforordningen skal tages hensyn til den samlede årlige omsætning for den koncern, som det pågældende selskab er en del af, og ikke kun dette selskabs samlede årlige omsætning.
Den 12. september 2024 afgav generaladvokaten sit forslag til afgørelse i sagen. Generaladvokaterne er tilknyttet EU-Domstolen og deres opgave er at fremsætte et begrundet forslag til afgørelse i de sager, der forelægges EU-Domstolen.
Generaladvokatens forslag til afgørelse
Det er Generaladvokatens vurdering, at databeskyttelsesforordningen skal fortolkes således, at når der pålægges en dataansvarlig eller databehandler, der er en del af en koncern, en bøde, skal begrebet “virksomhed” forstås i overensstemmelse med TEUF artikel 101 og 102, hvilket indebærer, at der ved fastsættelsen af en bøde, skal tages udgangspunkt i den samlede globale årlige omsætning for den koncern, som virksomheden er en del af.
Desuden fandt generaladvokaten, at begrebet ”virksomhed”, ved fastsættelsen af den faktiske bøde, skal fortolkes i sammenhæng med databeskyttelsesforordningens art. 83, stk. 1, og anvendes som et element blandt andre, når der tages hensyn til de særlige omstændigheder i den konkrete sag. I denne forbindelse kan særlige omstændigheder vedrøre omfanget af moderselskabets indflydelse på beslutninger i datterselskabet, omfanget af behandlingen af oplysninger, der er i strid med reglerne i forordningen, og antallet af enheder i virksomheden, der er involveret i overtrædelsen.
Endelig fremgår det af generaladvokatens forslag til afgørelse, at den nationale domstol ved fastsættelsen af den faktiske bøde skal sikre, at proportionalitetsprincippet er overholdt, idet der skal sikres en rimelig balance mellem de krav, der følger af samfundets almene interesse i beskyttelsen af personoplysninger, og kravene til beskyttelse af de grundlæggende rettigheder for den dataansvarlige, databehandleren eller den koncern, som denne er en del af.
Mette Klingsten Advokatpartnerselskab bemærker
Det må forventes, at EU-Domstolen følger generaladvokatens forslag til afgørelse ved besvarelse af Vestre Landsrets præjudicielle spørgsmål. EU-Domstolen forholder sig ikke til den konkrete fastsættelse af bøden, men alene til de spørgsmål, som den nationale ret har stillet, og konkret til fortolkningen af databeskyttelsesforordningen.
Generaladvokaten forslag til afgørelse af 12. september i sag Sag C-383/23 (ECLI:EU:C:2024:752) kan læses i sin helhed via dette link
Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)
