Den 21. september 2025 afsagde Vestre Landsret dom i straffesagen mod ILVA A/S om ulovlig opbevaring af personoplysninger i strid med Databeskyttelsesforordningen (GDPR). ILVA A/S blev ved dommen idømt en bøde på 1.500.000 kr., hvilket er en forhøjelse af den af byretten fastsatte bøde med hele 1.400.000 kr.
Sagens baggrund
I 2018 foretog Datatilsynet et tilsynsbesøg hos en af ILVA A/S’ butikker. Ved besøget opdagede Datatilsynet, at ILVA A/S foretog ulovlig opbevaring af personoplysninger, idet ILVA A/S ikke havde fastsat frister for sletning af personoplysninger vedrørende virksomhedens kunder. GDPR artikel 5, stk. 1, litra e fastsætter nemlig, at den dataansvarlige i hver enkelt opbevaringssituation skal afgøre, hvor længe opbevaringen af identificerbare personoplysninger kan ske. I nærværende sag var det afgørende, at ILVA A/S ikke kunne angive et eller flere saglige formål med opbevaringen, ligesom ILVA A/S ikke havde fastsat en procedure for sletning af personoplysninger. ILVA A/S havde således tilsidesat et af grundprincipperne i GDPR.
Datatilsynet politianmeldte herefter den 11. juni 2019 ILVA A/S for overtrædelse af reglerne om opbevaringsbegrænsning.
Sagen blev først afgjort ved Retten i Aarhus den 12. april 2021, hvor ILVA A/S blev fundet skyldig og idømt en bøde på 100.000 kr. Retten tog ved udmålingen af bøden udgangspunkt i ILVA A/S’ nettoomsætning og ikke i koncernens nettoomsætning, som Datatilsynet ellers havde lagt op til.
Anklagemyndigheden valgte herefter at anke sagen til Vestre Landsret, der i forbindelse med sagen forelagde to præjudicielle spørgsmål for EU-domstolen.
Forelæggelse af præjudicielle spørgsmål for EU-Domstolen
De præjudicielle spørgsmål i ankesagen vedrørte fortolkningen af begrebet ”en virksomhed” i GDPR. Konkret skulle det afklares, om begrebet i GDPR artikel 83, stk. 4-6, omfatter hele koncernen eller alene den enkelte juridiske enhed.
EU-Domstolen fastslog, at ”en virksomhed” i denne sammenhæng skal forstås som den samlede koncern og ikke blot som en enkelt afdeling eller selskab.
Afgørelsen indebærer derfor, at når en virksomhed, eller en del af en koncern, pålægges en bøde for overtrædelse af GDPR, skal bøden beregnes på baggrund af koncernens samlede globale omsætning i det foregående regnskabsår.
Landsrettens begrundelse for forhøjelse af bøden
Efter EU-Domstolens afklaring fandt Vestre Landsret frem til, at beregningen af bødestørrelsen skulle ske på baggrund af koncernens samlede globale omsætning, og ikke alene den enkelte enheds.
På den baggrund forhøjede Vestre Landsret bøden til 1.500.000 kr., hvilket er en væsentlig stigning i forhold til byrettens bøde på 100.000 kr.
Sagen er således principiel, idet den fastslår, at bøder for overtrædelse af GDPR, skal udmåles på baggrund af hele koncernens samlede omsætning og ikke den enkelte afdelings omsætning.
Denne forskel medfører, at bødestørrelserne for overtrædelse af GDPR i fremtidige sager må forventes at blive markant højere end hidtil set.
Det er således afgørende, at man som virksomhed har styr på sin compliance og overholder GDPR.
Hvis I har brug for rådgivning eller ønsker en gennemgang af, hvorvidt jeres virksomhed overholder GDPR, er I velkommen til at kontakte os.
