Dne 13. února 2025 vydal Soudní dvůr Evropské unie významný rozsudek ve věci C-383/23, který se týká výkladu článku 83 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“). Tento rozsudek má zásadní dopad na objasnění způsobu, jakým mohou být pokuty za porušení GDPR ukládány společnostem, které jsou součástí skupiny.

V popisovaném případě se jednalo o společnost ILVA, provozovatele sítě prodejen nábytku, která je součástí skupiny Lars Larsen Group. Zmíněná společnost byla obviněna z porušení GDPR v souvislosti s uchováváním údajů nejméně 350 000 bývalých zákazníků. Na doporučení dánského úřadu pro ochranu osobních údajů státní zastupitelství požadovalo, aby byla společnosti uložena pokuta ve výši 1 500 000 dánských korun (přibližně 201 000 EUR). Výpočet této částky vycházel nejen z obratu samotné společnosti ILVA, ale také z celkového obratu skupiny Lars Larsen Group.

Příslušný okresní soud nicméně dospěl k závěru, že vzhledem k tomu, že obvinění byla vznesena pouze proti společnosti ILVA, není nutné při stanovení výše pokuty zohledňovat obrat celé skupiny. Soud dále uvedl, že společnost ILVA vykonávala nezávislou maloobchodní činnost a nebyla založena mateřskou společností pouze za účelem zpracování údajů skupiny.

Státní zastupitelství podalo odvolání k Vrchnímu soudu západního Dánska, který rozhodl o přerušení řízení a podal k Soudnímu dvoru Evropské unie (dále jen „SDEU“) dvě předběžné otázky. Podstata těchto otázek se týkala toho, zda článek 83 odst. 4 až 6 GDPR – tj. ustanovení týkající se podmínek pro ukládání správních pokut při porušení GDPR – ve spojení s bodem 150 odůvodnění GDPR musí být vykládán v tom smyslu, že pojem „podnik“ v těchto ustanoveních odpovídá pojmu „podnik“ ve smyslu článků 101 a 102 Smlouvy o fungování Evropské unie (dále jen „SFEU“), a zda se má při ukládání pokuty správci osobních údajů, který je podnikem nebo součástí podniku, vycházet z celkového celosvětového ročního obratu tohoto podniku.

SDEU v daném případě rozhodl, že pokuta za porušení GDPR dceřinou společností by měla být založena na celkovém obratu celé skupiny. Soud konkrétně objasnil, že pro účely ukládání pokut podle GDPR zahrnuje pojem „podnik“ celou hospodářskou jednotku, včetně mateřských i dceřiných společností, podle výkladu článků 101 a 102 SFEU.

Zmíněný soud dále zdůraznil, že podle článku 83 odst. 1 GDPR musí příslušné kontrolní orgány zajistit, aby byly ukládané pokuty za porušení ustanovení GDPR v každém jednotlivém případě účinné, přiměřené a odrazující, přičemž zopakoval že účinná, přiměřená a odrazující je pouze pokuta, která zohledňuje skutečnou nebo podstatnou ekonomickou sílu sankcionované společnosti. V kontextu popisovaného případu to znamená, že při ukládání pokut je nutné zohlednit i to, zda je tato společnost součástí skupiny jakožto podniku.

Ve světle popsaného rozsudku SDEU je tak třeba počítat s tím, že při ukládání pokuty za porušení GDPR by měla být při stanovení její výše zohledněna mj. i skutečnost, zda je sankcionovaná společnost součástí skupiny (podniku). Pokud tomu tak je, měla by výše pokuty vycházet z celkového celosvětového ročního obratu skupiny za předchozí hospodářský rok, nikoliv pouze z obratu samotné společnosti.