–

Ilva A/S, genom D.B. Geary, advokat,

–

Europeiska kommissionen, genom A. Bouchagiar, H. Kranenborg och C. Vang, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 83.4–83.6 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i samband med det straffrättsliga förfarande som inletts av Anklagemyndigheden (Åklagarmyndigheten, Danmark) mot bolaget Ilva A/S, i vilket Anklagemyndigheten har gjort gällande att nämnda bolag, i egenskap av personuppgiftsansvarig för behandlingen av personuppgifter avseende tidigare kunder, har åsidosatt sina skyldigheter enligt dataskyddsförordningen.

3

Skälen 150 och 151 i dataskyddsförordningen har följande lydelse:

4

I artikel 5 i dataskyddsförordningen fastställs principerna för behandling av personuppgifter.

5

Artikel 6 i dataskyddsförordningen innehåller de villkor som ska vara uppfyllda för att en behandling av personuppgifter ska betraktas som laglig.

6

Artikel 58 i dataskyddsförordningen har rubriken ”Befogenheter”. I punkt 2 i denna artikel föreskrivs följande:

”Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

…

…”

7

Artikel 83 i dataskyddsförordningen har rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”. I punkterna 1, 2, 4–6 och 9 föreskrivs följande:

”1.   Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.

2.   Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

…

4.   Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 10000000 [euro] eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

…

5.   Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20000000 [euro] eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

…

6.   Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20000000 [euro] eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

…

9.   Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser vara effektiva, proportionella och avskräckande. Dessa medlemsstater ska till [Europeiska] kommissionen anmäla de bestämmelser i deras lagstiftning som de antar i enlighet med denna punkt senast den 25 maj 2018, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.”

8

I 41 § i lov nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (lag nr 502 om kompletterande bestämmelser till [dataskyddsförordningen]) av den 23 maj 2018 föreskrivs följande:

”1.   Såvida inte ett strängare straff föreskrivs enligt annan lagstiftning ska böter eller fängelse i upp till sex månader utdömas för den som överträder bestämmelserna om

…

4) de grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5–7 och 9 i dataskyddsförordningen,

…

3.   Artikel 83.2 i dataskyddsförordningen ska tillämpas när påföljder utdöms enligt punkterna 1 och 2.

…

6.   Bolag m.m. (juridiska personer) kan ådömas straffansvar enligt bestämmelserna i kapitel 5 i straffeloven [(strafflagen)]. …”

9

Ilva driver en kedja med möbelbutiker och ingår i koncernen Lars Larsen Group (nedan kallad koncernen). Koncernens totala omsättning under räkenskapsåret 2016/2017 uppgick till 6,57 miljarder danska kronor (DKK) (cirka 881 miljoner euro). Av detta uppgick dotterbolaget Ilvas omsättning till nästan 1,8 miljarder DKK (cirka 241 miljoner euro).

10

Ilva har åtalats vid de danska domstolarna för att – från maj 2018 till januari 2019 – inte ha fullgjort sina skyldigheter enligt dataskyddsförordningen i sin egenskap av personuppgiftsansvarig när det gäller lagring av personuppgifter avseende cirka 350000 tidigare kunder.

11

På rekommendation av Datatilsynet (Dataskyddsmyndigheten, Danmark) krävde åklagarmyndigheten att Ilva skulle dömas till böter på 1,5 miljoner DKK (cirka 201000 euro). Beräkningen av detta belopp baserades inte bara på Ilvas omsättning, utan på omsättning för hela koncernen Lars Larsen Group.

12

Genom dom av den 12 februari 2021 förklarade Retten i Aarhus (Domstolen i Århus) Ilva skyldigt till de gärningar som lagts bolaget till last och dömde bolaget till böter på 100000 DKK (cirka 13400 euro). Nämnda domstol fann att Ilva hade handlat oaktsamt, i strid med vad åklagarmyndigheten hade gjort gällande. Retten i Aarhus (Domstolen i Århus) konstaterade vidare att det endast var Ilva som hade åtalats och fann därför att det inte var nödvändigt att ta hänsyn till omsättningen för hela koncernen Lars Larsen Group vid beräkningen av bötesbeloppet. Nämnda domstol påpekade också att Ilva bedrev självständig detaljhandelsverksamhet och att moderbolaget i koncernen inte hade bildat Ilva enbart för att ansvara för behandlingen av koncernens personuppgifter.

13

Åklagarmyndigheten överklagade denna dom till Vestre Landsret (Appellationsdomstolen för västra Danmark, Danmark), som är den hänskjutande domstolen. Åklagarmyndigheten har gjort gällande att begreppet företag i artikel 83.4–83.6 i dataskyddsförordningen ska tolkas så, att det som ska beaktas vid påförande av böter när ett bolag har gjort sig skyldigt till överträdelse av dataskyddsförordningen är omsättningen för den koncern i vilken bolaget ingår. Det följer nämligen av skäl 150 i dataskyddsförordningen att detta begrepp ska förstås i enlighet med artiklarna 101 och 102 FEUF.

14

Ilva har däremot gjort gällande att det inte är den globala omsättningen för den koncernen i vilken ett bolag ingår som ska beaktas när böter ska fastställas för bolagets överträdelse av dataskyddsförordningen. I förevarande fall har åtal väckts mot Ilva, och inte även mot Ilvas moderbolag.

15

Den hänskjutande domstolen anser att svaret på denna fråga inte framgår klart av dataskyddsförordningen.

16

Mot denna bakgrund beslutade Vestre Landsret (Appellationsdomstolen för västra Danmark) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

17

Den hänskjutande domstolen har ställt sina frågor, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 83.4–83.6 i dataskyddsförordningen, jämförd med skäl 150 i samma förordning, ska tolkas så, att begreppet företag i dessa bestämmelser motsvarar begreppet företag i den mening som avses i artiklarna 101 och 102 FEUF, vilket innebär att beräkningen av den sanktionsavgift som ska åläggas en personuppgiftsansvarig – som är ett företag eller ingår i ett företag – för överträdelse av dataskyddsförordningen, ska ske på grundval av en procentandel av den totala globala årsomsättning under föregående räkenskapsår för företaget, i den mening som avses i artiklarna 101 och 102.

18

Det ska inledningsvis påpekas att domstolen redan har haft tillfälle att besvara vissa frågor om tolkningen av artikel 83 i dataskyddsförordningen i domen av den 5 december 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, punkterna 53–59), vilken meddelades efter det att det skriftliga förfarandet hade avslutats i förevarande mål.

19

EU-domstolen fann att begreppet företag, i den mening som avses i artiklarna 101 och 102 FEUF, saknar betydelse för frågan om och på vilka villkor administrativa sanktionsavgifter kan påföras en personuppgiftsansvarig som är en juridisk person, med tillämpning av artikel 83 i dataskyddsförordningen. Denna fråga regleras nämligen uttömmande i artiklarna 58.2 och 83.1–83.6 i förordningen (dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 53).

20

Detta begrepp är nämligen endast relevant för att fastställa beloppet på de administrativa sanktionsavgifter som en personuppgiftsansvarig kan påföras med stöd av artikel 83.4–83.6 i dataskyddsförordningen (dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 54).

21

Hänvisningen i skäl 150 i dataskyddsförordningen till begreppet företag, i den mening som avses i artiklarna 101 och 102 FEUF, ska förstås i det specifika sammanhang som avser beräkningen av administrativa sanktionsavgifter vid sådana överträdelser som anges i artikel 83.4–83.6 i förordningen (dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 55).

22

Vid tillämpningen av konkurrensreglerna i artiklarna 101 och 102 FEUF omfattar begreppet företag varje enhet som bedriver ekonomisk verksamhet, oavsett enhetens rättsliga form och oavsett hur den finansieras. Begreppet avser således en ekonomisk enhet oavsett om denna ur rättslig synvinkel består av flera fysiska eller juridiska personer. En sådan ekonomisk enhet består av en enhetlig organisation med personal samt materiella och immateriella tillgångar, vilken på ett varaktigt sätt strävar efter att uppnå ett bestämt ekonomiskt mål (dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 56 och där angiven rättspraxis).

23

Det framgår således av artikel 83.4–83.6 i dataskyddsförordningen, som avser beräkningen av administrativa sanktionsavgifter vid de överträdelser som där anges, att om den som påförs sanktionsavgifterna är ett företag eller ingår i ett företag, i den mening som avses i artiklarna 101 och 102 FEUF, ska sanktionsavgifternas maximala belopp beräknas på grundval av en procentandel av det berörda företagets totala globala årsomsättning under föregående räkenskapsår (dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 57).

24

Fastställandet av detta högsta belopp ska emellertid skiljas från själva beräkningen av den sanktionsavgift som ska åläggas av den behöriga tillsynsmyndigheten för den eller de specifika överträdelser av dataskyddsförordningen som sanktionsavgiften avser.

25

Enligt artikel 83.1 i dataskyddsförordningen ska varje tillsynsmyndighet säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel 83 för sådana överträdelser av dataskyddsförordningen som avses i punkterna 4–6 i artikeln i varje enskilt fall är effektivt, proportionellt och avskräckande.

26

Utöver iakttagandet av dessa tre villkor krävs det enligt artikel 83.2 att den behöriga tillsynsmyndigheten, när den fattar beslut om huruvida administrativa sanktionsavgifter ska påföras och fastställer avgiftsbeloppet, i varje enskilt fall ska ta vederbörlig hänsyn till ett visst antal omständigheter.

27

Bland dessa omständigheter återfinns, i enlighet med sistnämnda bestämmelse, bland annat överträdelsens karaktär, svårighetsgrad och varaktighet, antalet berörda registrerade och den skada som de har lidit, om överträdelsen skett med uppsåt eller genom oaktsamhet, de åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som lidits, graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet och de kategorier av personuppgifter som påverkas av överträdelsen.

28

Dessa omständigheter beskriver antingen beteendet hos den personuppgiftsansvarige eller det personuppgiftsbiträde som anklagas för överträdelser av vissa bestämmelser i dataskyddsförordningen eller dessa överträdelser i sig. De syftar således till att säkerställa att var och en av dessa överträdelser bedöms på grundval av samtliga relevanta individuella omständigheter och att de mål som eftersträvas med det sanktionssystem som föreskrivs i dataskyddsförordningen uppnås.

29

Även om dessa omständigheter inte hänvisar till begreppet företag i den mening som avses i artiklarna 101 och 102 FEUF, har domstolen redan slagit fast att endast sanktionsavgifter som beaktar såväl samtliga omständigheter som beskriver de konstaterade överträdelserna av dataskyddsförordningen, som även, vid behov, den faktiska eller materiella ekonomiska kapaciteten hos den som påförs sanktionsavgifterna, kan uppfylla de tre villkor som anges i artikel 83.1 i dataskyddsförordningen, det vill säga att den ska vara både effektiv, proportionell och avskräckande. Vid bedömningen av dessa villkor ska det beaktas huruvida den som påförs sanktionsavgiften utgör en del av ett företag i den mening som avses i artiklarna 101 och 102 FEUF (se, för ett liknande resonemang, dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 58).

30

Den tolkning av artikel 83 i dataskyddsförordningen som följer av punkterna 25–29 ovan är även tillämplig när den påföljd som åläggs för konstaterade överträdelser av dataskyddsförordningen inte är en administrativ sanktionsavgift, utan i stället en sanktionsavgift som döms ut av behöriga nationella domstolar som en straffrättslig påföljd.

31

Såsom anges i skäl 151 i dataskyddsförordningen är det i vissa nationella rättssystem, däribland Konungariket Danmarks, inte möjligt att påföra administrativa sanktionsavgifter såsom föreskrivs i dataskyddsförordningen.

32

För att reglera denna situation föreskrivs i artikel 83.9 i dataskyddsförordningen att om det i en medlemsstats rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter, får artikel 83 tillämpas på ett sådant sätt, såsom i förevarande fall, att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av behörig nationell domstol.

33

Det preciseras dessutom i artikel 83.9, liksom i skäl 151 i förordningen, att det ska säkerställas att de berörda rättsmedlen är effektiva och har motsvarande verkan som de administrativa sanktionsavgifter som påförs av tillsynsmyndigheter och att de sanktionsavgifter som påförs i alla händelser ska vara effektiva, proportionella och avskräckande.

34

Den omständigheten att sanktionsavgifterna påförs av en brottmålsdomstol inom ramen för ett straffrättsligt förfarande innebär att denna domstol alltid måste iaktta tillämpliga straffrättsliga bestämmelser, särskilt den tilltalades processuella rättigheter och principen om att straffet ska vara proportionellt i enlighet med vad som föreskrivs i Europeiska unionens stadga om de grundläggande rättigheterna.

35

Såsom generaladvokaten har angett i punkt 74 i sitt förslag till avgörande krävs det i detta hänseende enligt artikel 83 i dataskyddsförordningen att de behöriga tillsynsmyndigheterna, utan undantag, ska säkerställa att proportionalitetsprincipen iakttas när den faktiska sanktionsavgiften fastställs, vilket innebär att det ska göras en rimlig avvägning mellan de krav som följer av det allmänna samhällsintresset i fråga om skydd av personuppgifter och kraven på skydd för de rättigheter som tillkommer den personuppgiftsansvarige, personuppgiftsbiträdet eller det företag som de ingår i. Av detta följer att en tillämpning av begreppet företag, i den mening som avses i artiklarna 101 och 102 FEUF, i samband med genomförandet av artikel 83.4–83.6 i dataskyddsförordningen inte förefaller stöta på principiella hinder när påföljden för överträdelser av dataskyddsförordningen inte är administrativa sanktionsavgifter utan sanktionsavgifter som utdöms av brottmålsdomstolar.

36

Mot denna bakgrund ska de frågor som ställts besvaras enligt följande. Artikel 83.4–83.6 i dataskyddsförordningen, jämförd med skäl 150 i samma förordning, ska tolkas så, att begreppet företag i dessa bestämmelser motsvarar begreppet företag i den mening som avses i artiklarna 101 och 102 FEUF, vilket innebär att beräkningen av det högsta beloppet för den sanktionsavgift som åläggs en personuppgiftsansvarig – som är ett företag eller ingår i ett företag – för överträdelse av dataskyddsförordningen, ska ske på grundval av en procentandel av den totala globala årsomsättningen under föregående räkenskapsår för företaget. Begreppet företag ska även beaktas för att bedöma den faktiska eller materiella ekonomiska kapaciteten hos den person som påförs sanktionsavgiften och därigenom kontrollera om sanktionsavgiften är effektiv, proportionell och avskräckande.

37

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (femte avdelningen) följande:

Artikel 83.4–83.6 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), jämförd med skäl 150 i samma förordning,

ska tolkas så,

att begreppet företag i dessa bestämmelser motsvarar begreppet företag i den mening som avses i artiklarna 101 och 102 FEUF, vilket innebär att beräkningen av det högsta beloppet för den sanktionsavgift som åläggs en personuppgiftsansvarig – som är ett företag eller ingår i ett företag – för överträdelse av dataskyddsförordningen, ska ske på grundval av en procentandel av den totala globala årsomsättningen under föregående räkenskapsår för företaget. Begreppet företag ska även beaktas för att bedöma den faktiska eller materiella ekonomiska kapaciteten hos den person som påförs sanktionsavgiften och därigenom kontrollera om sanktionsavgiften är effektiv, proportionell och avskräckande.