ОРЗД дава на органите за защита на данните (ОЗД) правомощието да налагат административна глоба в размер до 4% от годишния оборот на дружеството или 20 млн. евро, ако то наруши ОРЗД, в зависимост от това коя сума е по-висока.
Целта на тези глоби е да се предотвратят подобни нарушения в бъдеще. Въпреки че според проучване на noyb те са сред най-ефективните инструменти за правоприлагане, с които разполагат органите, значителните глоби за нарушения на GDPR се налагат изключително рядко. Глобите отиват в държавата, в която се провежда производството, която почти винаги е държавата, в която е седалището на глобеното дружество.
От 2018 г. насам са наложени следните глоби въз основа на жалби по noyb:
глоба от 1,2 милиарда евро за Meta за прехвърляне на данни между ЕС и САЩ
В края на 2023 г. Meta беше глобена с 1,2 млрд. евро и ѝ беше наредено да спре да прехвърля лични данни на европейци към САЩ. Компанията е обект на американските закони за наблюдение, като FISA 702, който позволява на правителството на САЩ да шпионира граждани на държави извън САЩ без вероятна причина или съдебно одобрение.
Това противоречи на законодателството на ЕС, което изисква "по същество равностойна" защита на данните, предавани извън Европейския съюз. Американски компании като Meta не могат да изпълнят това изискване. Това беше потвърдено и от решението на Съда на Европейския съюз да анулира споразуменията "Safe Harbor" и "Privacy Shield" в решенията си Schrems I и Schrems II съответно през 2015 г. и 2020 г.
През последните години Meta пренебрегваше тези решения, което доведе до глобата от 1,2 млрд. евро и нареждането да върне всички лични данни в своите центрове за данни в ЕС.
Meta е глобена с 395 млн. евро и й е забранено да използва лични данни за реклами
Вследствие на обвързващо решение на Европейския комитет по защита на данните ирландският орган за защита на данните (ОЗД) глоби Meta с общо 395 млн. евро за нарушения във Facebook, Instagram и WhatsApp през януари 2023 г. Освен това на гиганта в областта на социалните медии беше забранено да използва лични данни за реклами, без да иска съгласието на своите потребители.
Решението е взето след две жалби, подадени от noyb от името на един австрийски и един белгийски потребител на 25 май 2018 г. Това означава, че на компетентния орган (DPC) са били необходими четири години и половина, за да стигне до решение, след като през декември 2022 г. EDPB е отменил първото си проекторешение.
На Google е наложена глоба в размер на 50 млн. евро заради принудително съгласие
Когато ОРЗД влезе в сила на 25 юли 2018 г., noyb подаде жалби срещу Google, Instagram, WhatsApp и Facebook за това, че са принуждавали своите потребители да приемат актуализирани политики за поверителност, които са им позволявали да заобикалят новия закон за защита на личните данни.
Въпреки че три от тези жалби започнаха едногодишно пътуване, изпълнено с неспазване на изискванията, случаят срещу Google беше разрешен през юни 2019 г.: френският орган за защита на данните (CNIL) наложи на технологичната компания глоба в размер на 50 млн. евро, което по това време беше най-високата глоба, налагана някога за нарушение на защитата на личните данни.
Рекламната компания CRITEO е глобена с 40 млн. евро
В края на юни 2023 г. френският орган за защита на данните (CNIL) наложи глоба от 40 млн. евро на CRITEO, водеща европейска компания за онлайн реклама и проследяване, за нарушаване на правата на субектите на данни и за това, че не е доказала, че е получила валидно съгласие.
Решението последва жалба, подадена от noyb и Privacy International през декември 2018 г., която беше насочена към липсата на адекватна възможност за оттегляне на съгласието. Жалбата предизвика широкообхватно разследване от страна на CNIL, който разшири обхвата и включи други области и установи допълнителни нарушения на GDPR, включително липса на прозрачност и неспазване на правото на изтриване и правото на достъп.
Приложението за запознанства Grindr е глобено с 5,8 млн. евро
През 2020 г. noyb се обедини с Норвежкия съвет за защита на потребителите (NCC), за да подаде жалба срещу приложението за запознанства LGBTQ+ Grindr за незаконно споделяне на лични потребителски данни със стотици потенциални рекламни партньори. Потребителите не са били надлежно информирани, а съгласието не е било достатъчно конкретно: Потребителите е трябвало да се съгласят с цялата политика за поверителност, а не с конкретна операция по обработка, като например споделяне на данни с други компании. ДЗД също така подчерта, че потребителите трябва да могат да отказват съгласие без негативни последици.
Първоначално с решението на норвежкия орган на Grindr беше наложена глоба в размер на почти 10 млн. евро. След обжалване глобата беше намалена до окончателния размер от 5,8 млн. евро през септември 2023 г.
Spotify е глобен с 5 млн. евро
След жалба от noyb и съдебен спор за бездействие шведският орган за защита на данните (IMY) наложи на Spotify глоба в размер на 58 млн. шведски крони (около 5 млн. евро ) през юни 2023 г. Услугата за стрийминг на музика не е изпълнила изцяло задължението по GDPR да предостави на потребителите достъп до всички техни данни, както и информация за това как се използват данните им. Жалбата е подадена още през 2019 г. и по нея не е взето решение в продължение на повече от четири години.
Първа голяма глоба за използване на Google Analytics
След 101 жалби на noyb относно незаконно предаване на данни между ЕС и САЩ от 2020 г., шведският орган за защита на данните (IMY) издаде първата голяма глоба за използване на Google Analytics през юли 2023 г. Въпреки че много други европейски органи (като. Австрия, Франция и Италия) вече са установили, че използването на Google Analytics нарушава ОРЗД, това е първата глоба, наложена на дружества за използване на Google Analytics, въпреки решенията на Съда на ЕС относно предаването на данни между ЕС и САЩ.
На доставчика на телекомуникационни услуги Tele2 беше наредено да плати равностойността на 1 млн. евро (12 млн. шведски крони), а онлайн търговецът на дребно CDON трябваше да плати 300 000 шведски крони.
Малтийска ИТ компания е глобена с 65 000 евро заради изтичане на данни
След масирано изтичане на данни за малтийските избиратели през 2020 г. noyb си сътрудничи с фондация Daphne и Repubblika, за да подаде жалби срещу брокера на данни C-Planet. Изтеклата лична информация включваше телефонни номера, дати на раждане, намерения за гласуване и политически пристрастия на повече от 330 000 лица.
През 2022 г. комисарят по защита на информацията и данните (IDPC) заключи, че C-Planet не е приложила технически и организационни мерки, съответстващи на риска, и наложи глоба на ИТ компанията в размер на 65 000 евро. Решението също така потвърждава, че C-Planet не е уведомила IDPC за нарушението на сигурността на данните и не е информирала своевременно засегнатите лица.