Ο GDPR δίνει στις αρχές προστασίας δεδομένων (DPA) την εξουσία να επιβάλλουν διοικητικό πρόστιμο έως και 4% του ετήσιου κύκλου εργασιών μιας εταιρείας ή 20 εκατ. ευρώ εάν παραβιάζουν τον GDPR, ανάλογα με το ποσό που είναι υψηλότερο.
Σκοπός αυτών των προστίμων είναι να αποτραπούν παρόμοιες παραβάσεις στο μέλλον. Αν καιμια μελέτη noyb διαπίστωσε ότι είναι από τα πιο αποτελεσματικά εργαλεία επιβολής που διαθέτουν οι αρχές, τα σημαντικά πρόστιμα για παραβιάσεις του GDPR είναι εξαιρετικά σπάνια. Τα πρόστιμα πηγαίνουν στη χώρα όπου διεξάγεται η διαδικασία, η οποία σχεδόν πάντα είναι η χώρα όπου έχει την έδρα της η εταιρεία που της επιβλήθηκε πρόστιμο.
Από το 2018, έχουν επιβληθεί τα ακόλουθα πρόστιμα βάσει καταγγελιών noyb:
Πρόστιμο 1,2 δισεκατομμυρίων ευρώ για τη Meta για μεταφορές δεδομένων ΕΕ-ΗΠΑ
Στα τέλη του 2023, η Meta επιβλήθηκε πρόστιμο 1,2 δισεκατομμυρίων ευρώ και διατάχθηκε να σταματήσει τη μεταφορά προσωπικών δεδομένων Ευρωπαίων στις Ηνωμένες Πολιτείες. Η εταιρεία υπόκειται στους νόμους περί επιτήρησης των ΗΠΑ, όπως ο FISA 702, ο οποίος επιτρέπει στην κυβέρνηση των ΗΠΑ να κατασκοπεύει πολίτες εκτός ΗΠΑ χωρίς πιθανή αιτία ή δικαστική έγκριση.
Αυτό έρχεται σε αντίθεση με τη νομοθεσία της ΕΕ, η οποία απαιτεί «ουσιαστικά ισοδύναμη» προστασία για δεδομένα που διαβιβάζονται εκτός της Ευρωπαϊκής Ένωσης. Οι αμερικανικές εταιρείες όπως η Meta δεν μπορούν να ικανοποιήσουν αυτήν την απαίτηση. Αυτό επιβεβαιώθηκε επίσης από την απόφαση του Ευρωπαϊκού Δικαστηρίου να ακυρώσει τις συμφωνίες «Safe Harbor» και «Privacy Shield» στις αποφάσεις Schrems I και Schrems II το 2015 και το 2020 αντίστοιχα.
Η Meta αγνόησε αυτές τις κρίσεις τα τελευταία χρόνια, με αποτέλεσμα το πρόστιμο 1,2 δισεκατομμυρίων ευρώ και την εντολή επιστροφής όλων των προσωπικών δεδομένων στα κέντρα δεδομένων της ΕΕ.
Η Meta επέβαλε πρόστιμο 395 εκατομμυρίων ευρώ και απαγόρευση χρήσης προσωπικών δεδομένων για διαφημίσεις
Μετά από μια δεσμευτική απόφαση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, η Ιρλανδική Αρχή Προστασίας Δεδομένων (DPC) επέβαλε στη Meta πρόστιμο συνολικού ύψους 395 εκατομμυρίων ευρώ για παραβάσεις στο Facebook, το Instagram και το WhatsApp τον Ιανουάριο του 2023. Επιπλέον, ο κολοσσός των μέσων κοινωνικής δικτύωσης απαγορεύτηκε να χρησιμοποιεί προσωπικά δεδομένα για διαφήμιση χωρίς να ζητά τη συγκατάθεση των χρηστών του.
Η απόφαση ακολουθεί δύο καταγγελίες που υποβλήθηκαν από το noyb για λογαριασμό ενός Αυστριακού και ενός Βέλγου χρήστη στις 25 Μαΐου 2018, πράγμα που σημαίνει ότι χρειάστηκε η αρμόδια αρχή (το DPC) τεσσεράμισι χρόνια για να καταλήξει σε απόφαση αφού το EDPB ανέτρεψε το πρώτο του σχέδιο απόφαση τον Δεκέμβριο του 2022.
Η Google επέβαλε πρόστιμο 50 εκατομμυρίων ευρώ λόγω αναγκαστικής συναίνεσης
Όταν τέθηκε σε ισχύ ο GDPR στις 25 Ιουλίου 2018, η noyb υπέβαλε καταγγελίες κατά της Google, του Instagram, της WhatsApp και του Facebook επειδή ανάγκασε τους χρήστες της να αποδεχτούν τις ενημερωμένες πολιτικές απορρήτου που τους επέτρεπαν να παρακάμψουν τη νέα νομοθεσία περί απορρήτου.
Ενώ τρεις από αυτές τις καταγγελίες ξεκίνησαν ένα ταξίδι διάρκειας ενός έτους γεμάτο μη συμμόρφωση, η υπόθεση κατά της Google επιλύθηκε τον Ιούνιο του 2019: η γαλλική αρχή προστασίας δεδομένων (CNIL) επέβαλε πρόστιμο 50 εκατομμυρίων ευρώ στην εταιρεία τεχνολογίας , το οποίο τότε ήταν υψηλότερο πρόστιμο ποτέ για παραβίαση απορρήτου.
Πρόστιμο 40 εκατ. ευρώ επιβλήθηκε στη διαφημιστική εταιρεία CRITEO
Στα τέλη Ιουνίου 2023, η γαλλική αρχή προστασίας δεδομένων (CNIL) επέβαλε πρόστιμο 40 εκατομμυρίων ευρώ στην CRITEO , μια κορυφαία ευρωπαϊκή εταιρεία διαδικτυακής διαφήμισης και παρακολούθησης, για παραβίαση των δικαιωμάτων του υποκειμένου των δεδομένων και παράλειψη απόδειξης ότι είχε λάβει έγκυρη συγκατάθεση.
Η απόφαση ακολούθησε μια καταγγελία που υποβλήθηκε από τη noyb και την Privacy International τον Δεκέμβριο του 2018, η οποία στόχευε στην έλλειψη κατάλληλης επιλογής για ανάκληση της συγκατάθεσης. Η καταγγελία πυροδότησε μια εκτεταμένη έρευνα από το CNIL, η οποία διεύρυνε το πεδίο εφαρμογής σε άλλους τομείς και διαπίστωσε πρόσθετες παραβιάσεις του GDPR, συμπεριλαμβανομένης της έλλειψης διαφάνειας και της μη συμμόρφωσης με το δικαίωμα διαγραφής και το δικαίωμα πρόσβασης.
Η εφαρμογή γνωριμιών Grindr επιβλήθηκε πρόστιμο 5,8 εκατομμυρίων ευρώ
Το 2020, η noyb συνεργάστηκε με το Νορβηγικό Συμβούλιο Καταναλωτών (NCC) για να υποβάλει καταγγελία κατά της εφαρμογής γνωριμιών LGBTQ+ Grindr για παράνομη κοινή χρήση προσωπικών δεδομένων χρήστη με εκατοντάδες πιθανούς διαφημιστικούς συνεργάτες. Οι χρήστες δεν ενημερώθηκαν σωστά και η συγκατάθεση δεν ήταν αρκετά συγκεκριμένη: Οι χρήστες έπρεπε να συμφωνήσουν με ολόκληρη την πολιτική απορρήτου και όχι σε μια συγκεκριμένη λειτουργία επεξεργασίας, όπως η κοινή χρήση δεδομένων με άλλες εταιρείες. Η DPA τόνισε επίσης ότι οι χρήστες πρέπει να μπορούν να αρνούνται τη συναίνεση χωρίς αρνητικές συνέπειες.
Η απόφαση της νορβηγικής αρχής επέβαλε αρχικά πρόστιμο σχεδόν 10 εκατομμυρίων ευρώ στην Grindr. Μετά από έφεση, το πρόστιμο μειώθηκε σε τελικό ποσό 5,8 εκατομμυρίων ευρώ τον Σεπτέμβριο του 2023.
Πρόστιμο 5 εκατομμυρίων ευρώ στο Spotify
Μετά από μια καταγγελία και αγωγή για αδράνεια, η Σουηδική Αρχή Προστασίας Δεδομένων (IMY) επέβαλε πρόστιμο στο Spotify 58 εκατομμύρια Swedish Crown (περίπου 5 εκατομμύρια ευρώ) τον Ιούνιο του 2023. Η υπηρεσία ροής μουσικής δεν συμμορφώθηκε πλήρως με την υποχρέωση του GDPR να παρέχει στους χρήστες πρόσβαση σε όλα τα δεδομένα τους, καθώς και πληροφορίες σχετικά με τον τρόπο χρήσης των δεδομένων τους. Η καταγγελία είχε ήδη κατατεθεί το 2019 και δεν είχε αποφασιστεί για περισσότερα από τέσσερα χρόνια.
Πρώτο σημαντικό πρόστιμο για τη χρήση του Google Analytics
Μετά τις 101 καταγγελίες της noyb για παράνομες μεταφορές δεδομένων ΕΕ-ΗΠΑ από το 2020, η σουηδική αρχή προστασίας δεδομένων (IMY) εξέδωσε το πρώτο σημαντικό πρόστιμο για τη χρήση του Google Analytics τον Ιούλιο του 2023. Αν και πολλές άλλες ευρωπαϊκές αρχές (όπως η Αυστρία, η Γαλλία και η Ιταλία) έχουν ήδη διαπιστώσει τη χρήση του Google Analytics για παραβίαση του GDPR, αυτό είναι το πρώτο πρόστιμο που επιβάλλεται σε εταιρείες για χρήση του Google Analytics, παρά τις αποφάσεις του ΔΕΕ για τις μεταφορές δεδομένων ΕΕ-ΗΠΑ.
Ο πάροχος τηλεπικοινωνιών Tele2 διατάχθηκε να πληρώσει το ισοδύναμο του 1 εκατομμυρίου ευρώ (12 εκατ. SEK), ενώ ο διαδικτυακός λιανοπωλητής CDON έπρεπε να πληρώσει 300.000 SEK.
Η μαλτέζικη εταιρεία πληροφορικής επέβαλε πρόστιμο 65.000 ευρώ για διαρροή δεδομένων
Μετά από μια τεράστια διαρροή δεδομένων των δεδομένων των Μαλτέζων ψηφοφόρων το 2020, η noyb συνεργάστηκε με το Daphne Foundation και τη Repubblika για να υποβάλει καταγγελίες κατά του μεσίτη δεδομένων C-Planet. Οι προσωπικές πληροφορίες που διέρρευσαν περιελάμβαναν αριθμούς τηλεφώνου, ημερομηνίες γέννησης, προθέσεις ψήφου και πολιτικές τάσεις περισσότερων από 330.000 ατόμων.
Το 2022, ο Επίτροπος Πληροφοριών και Προστασίας Δεδομένων (IDPC) κατέληξε στο συμπέρασμα ότι η C-Planet δεν είχε εφαρμόσει τεχνικά και οργανωτικά μέτρα κατάλληλα για τον κίνδυνο και επέβαλε πρόστιμο 65.000 € στην εταιρεία πληροφορικής . Η απόφαση επιβεβαίωσε επίσης ότι η C-Planet παρέλειψε να ειδοποιήσει την IDPC για την παραβίαση δεδομένων και να ενημερώσει εγκαίρως τα άτομα που επηρεάστηκαν.