Tietosuoja-asetus antaa tietosuojaviranomaisille valtuudet määrätä tietosuoja-asetuksen rikkomisesta hallinnollinen sakko, joka voi olla enintään 4 prosenttia yrityksen vuotuisesta liikevaihdosta tai 20 miljoonaa euroa, riippuen siitä, kumpi summa on suurempi.
Näiden sakkojen tarkoituksena on estää vastaavat rikkomukset tulevaisuudessa. Vaikka noybin tutkimuksessa todettiin, että ne ovat yksi tehokkaimmista viranomaisten käytettävissä olevista täytäntöönpanovälineistä, tietosuoja-asetuksen rikkomisesta määrättävät merkittävät sakot ovat erittäin harvinaisia. Sakot menevät siihen maahan, jossa menettely tapahtuu, eli lähes aina siihen maahan, jossa sakotetun yrityksen pääkonttori sijaitsee.
Vuodesta 2018 lähtien seuraavat sakot on määrätty noyb-ilmoitusten perusteella:
1,2 miljardin euron sakko Metalle EU:n ja Yhdysvaltojen välisistä tiedonsiirroista
Meta sai 1,2 miljardin euron sakon ja määräyksen lopettaa eurooppalaisten henkilötietojen siirtäminen Yhdysvaltoihin vuoden 2023 loppuun mennessä. Yhtiöön sovelletaan Yhdysvaltain valvontalakia, kuten FISA 702 -lakia, jonka nojalla Yhdysvaltain hallitus voi vakoilla muita kuin Yhdysvaltain kansalaisia ilman todennäköistä syytä tai tuomioistuimen hyväksyntää.
Tämä on ristiriidassa EU:n lainsäädännön kanssa, joka edellyttää "olennaisesti vastaavaa" suojaa Euroopan unionin ulkopuolelle siirrettäville tiedoille. Metan kaltaiset yhdysvaltalaiset yritykset eivät pysty täyttämään tätä vaatimusta. Tämän vahvisti myös Euroopan yhteisöjen tuomioistuimen päätös kumota sekä Safe Harbor- että Privacy Shield -sopimukset Schrems I- ja Schrems II -päätöksissä vuonna 2015 ja 2020.
Meta on jättänyt nämä tuomiot huomiotta viime vuosina, minkä seurauksena se on saanut 1,2 miljardin euron sakon ja määräyksen palauttaa kaikki henkilötiedot EU:n tietokeskuksiinsa.
Meta 395 miljoonan euron sakko ja kielto käyttää henkilötietoja mainoksissa
Euroopan tietosuojaneuvoston sitovan päätöksen jälkeen Irlannin tietosuojaviranomainen (DPC) määräsi Metalle yhteensä 395 miljoonan euron sakot Facebookissa, Instagramissa ja WhatsAppissa tammikuussa 2023 tapahtuneista rikkomuksista. Lisäksi sosiaalisen median jättiläistä kiellettiin käyttämästä henkilötietoja mainontaan kysymättä käyttäjiltä suostumusta.
Päätös on seurausta kahdesta valituksesta, jotka noyb teki yhden itävaltalaisen ja yhden belgialaisen käyttäjän puolesta 25. toukokuuta 2018, eli toimivaltaiselta viranomaiselta (DPC) kesti neljä ja puoli vuotta päästä päätökseen sen jälkeen, kun EDPB oli kumonnut ensimmäisen päätösluonnoksensa joulukuussa 2022.
Googlelle 50 miljoonan euron sakko pakotetusta suostumuksesta
Kun yleinen tietosuoja-asetus tuli voimaan 25. heinäkuuta 2018, noyb teki valituksia Googlea, Instagramia, WhatsAppia ja Facebookia vastaan, koska ne olivat pakottaneet käyttäjiään hyväksymään päivitetyt tietosuojakäytännöt, joiden avulla ne pystyivät kiertämään uutta tietosuojalakia.
Vaikka kolme näistä kanteluista lähti vuoden mittaiselle matkalle, joka oli täynnä säännösten noudattamatta jättämistä, Googlen tapaus ratkaistiin kesäkuussa 2019: Ranskan tietosuojaviranomainen (CNIL) langetti teknologiayritykselle 50 miljoonan euron sakon, joka oli tuolloin korkein koskaan yksityisyydensuojan rikkomisesta langetettu sakko.
Mainostoimisto CRITEO:lle 40 miljoonan euron sakko
Kesäkuun 2023 lopussa Ranskan tietosuojaviranomainen (CNIL) määräsi CRITEOlle, johtavalle eurooppalaiselle verkkomainonta- ja seurantayritykselle, 40 miljoonan euron sakon, koska se oli rikkonut rekisteröityjen oikeuksia ja jättänyt osoittamatta, että se oli saanut pätevän suostumuksen.
Päätös seurasi noybin ja Privacy Internationalin joulukuussa 2018 tekemää kantelua, joka kohdistui siihen, ettei yrityksellä ollut riittävää mahdollisuutta peruuttaa suostumus. Kantelu käynnisti CNIL:n laajan tutkimuksen, joka laajensi tutkimuksen soveltamisalaa muille aloille ja havaitsi lisää GDPR:n rikkomuksia, kuten avoimuuden puutteen sekä poisto- ja tiedonsaantioikeuden noudattamatta jättämisen.
Treffisovellus Grindrille 5,8 miljoonan euron sakko
Vuonna 2020 noyb teki yhdessä Norjan kuluttajaneuvoston (NCC) kanssa kantelun LGBTQ+-deittisovellus Grindristä, joka oli jakanut laittomasti käyttäjien henkilötietoja sadoille mahdollisille mainoskumppaneille. Käyttäjille ei tiedotettu asiasta asianmukaisesti, eikä suostumus ollut riittävän täsmällinen: Käyttäjien oli hyväksyttävä koko tietosuojakäytäntö eikä tiettyä käsittelyä, kuten tietojen jakamista muiden yritysten kanssa. Tietosuojavaltuutettu korosti myös, että käyttäjien on voitava kieltäytyä suostumuksesta ilman kielteisiä seurauksia.
Norjan viranomaisen päätöksessä määrättiin Grindrille alun perin lähes 10 miljoonan euron sakko. Valituksen jälkeen sakko alennettiin lopulliseen 5,8 miljoonan euron määrään syyskuussa 2023.
Spotifylle 5 miljoonan euron sakko
Ruotsin tietosuojaviranomainen (IMY) määräsi Spotifylle 58 miljoonan Ruotsin kruunun (noin 5 miljoonan euron) sakon kesäkuussa 2023 sen jälkeen, kun se oli tehnyt valituksen noybista ja käynyt oikeudenkäyntiä toimimattomuudesta. Musiikin suoratoistopalvelu ei noudattanut täysin GDPR:n velvoitetta antaa käyttäjille pääsy kaikkiin tietoihinsa sekä tietoa siitä, miten heidän tietojaan käytetään. Valitus jätettiin jo vuonna 2019, eikä sitä ratkaistu yli neljään vuoteen.
Ensimmäinen merkittävä sakko Google Analyticsin käytöstä
Sen jälkeen, kun noyb oli tehnyt 101 kantelua EU:n ja Yhdysvaltojen välisistä laittomista tiedonsiirroista vuodesta 2020 alkaen, Ruotsin tietosuojaviranomainen (IMY) antoi ensimmäisen suuren sakon Google Analyticsin käytöstä heinäkuussa 2023. Vaikka monet muut eurooppalaiset viranomaiset (esim. Itävalta, Ranska ja Italia) ovat jo todenneet Google Analyticsin käytön rikkovan tietosuoja-asetusta, tämä on ensimmäinen yrityksille Google Analyticsin käytöstä määrätty sakko EU:n tuomioistuimen EU:n ja Yhdysvaltojen välisiä tiedonsiirtoja koskevista tuomioista huolimatta.
Teleoperaattori Tele2 määrättiin maksamaan miljoona euroa (12 miljoonaa Ruotsin kruunua) ja verkkokauppayhtiö CDON 300 000 kruunua.
Maltalainen tietotekniikkayritys tuomittiin 65 000 euron sakkoihin tietovuodon vuoksi
Vuonna 2020 tapahtuneen maltalaisten äänestäjien tietoja koskeneen massiivisen tietovuodon jälkeen noyb teki yhteistyötä Daphne-säätiön ja Repubblika-järjestön kanssa valitusten tekemiseksi C-Planet-tiedonvälittäjää vastaan. Vuodetut henkilötiedot sisälsivät yli 330 000 henkilön puhelinnumerot, syntymäajat, äänestysaikeet ja poliittiset suuntaukset.
Vuonna 2022 tieto- ja tietosuojavaltuutettu totesi, että C-Planet ei ollut toteuttanut riskiin nähden asianmukaisia teknisiä ja organisatorisia toimenpiteitä, ja määräsi tietotekniikkayhtiölle 65 000 euron sakon. Päätöksessä vahvistettiin myös, että C-Planet ei ollut ilmoittanut IDPC:lle tietomurrosta eikä tiedottanut ajoissa henkilöille, joita asia koski.