De GDPR geeft gegevensbeschermingsautoriteiten (DPA's) de bevoegdheid om een administratieve boete op te leggen van maximaal 4% van de jaaromzet van een bedrijf of € 20 miljoen als ze de GDPR schenden, afhankelijk van welk bedrag hoger is.
Het doel van deze boetes is om soortgelijke overtredingen in de toekomst af te schrikken. Hoewel een noyb-onderzoek heeft uitgewezen dat deze boetes tot de meest effectieve handhavingsinstrumenten behoren die de autoriteiten tot hun beschikking hebben, zijn significante boetes voor GDPR-overtredingen uiterst zeldzaam. De boetes gaan naar het land waar de procedure plaatsvindt, wat bijna altijd het land is waar het beboete bedrijf zijn hoofdkantoor heeft.
Sinds 2018 zijn de volgende boetes opgelegd op basis van noyb-klachten:
1,2 miljard euro boete voor Meta over doorgifte gegevens EU-VS
Eind 2023 kreeg Meta een boete van € 1,2 miljard en de opdracht om te stoppen met het doorgeven van persoonlijke gegevens van Europeanen aan de Verenigde Staten. Het bedrijf is onderworpen aan Amerikaanse surveillancewetten zoals FISA 702, die de Amerikaanse overheid toestaat niet-Amerikaanse burgers te bespioneren zonder waarschijnlijke oorzaak of gerechtelijke toestemming.
Dit is in strijd met de EU-wetgeving, die een "in wezen gelijkwaardige" bescherming vereist voor gegevens die buiten de Europese Unie worden overgedragen. Amerikaanse bedrijven zoals Meta kunnen niet aan deze eis voldoen. Dit werd ook bevestigd door de beslissing van het Europese Hof van Justitie om zowel de "Safe Harbor" als de "Privacy Shield" overeenkomsten nietig te verklaren in zijn Schrems I en Schrems II uitspraken in respectievelijk 2015 en 2020.
Meta heeft deze uitspraken de afgelopen jaren genegeerd, wat resulteerde in een boete van € 1,2 miljard en een bevel om alle persoonlijke gegevens terug te geven aan zijn datacenters in de EU.
Meta krijgt boete van € 395 miljoen en mag geen persoonlijke gegevens meer gebruiken voor advertenties
Na een bindend besluit van het Europees Comité voor gegevensbescherming heeft de Ierse autoriteit voor gegevensbescherming (DPC) Meta in januari 2023 een boete opgelegd van in totaal € 395 miljoen voor overtredingen op Facebook, Instagram en WhatsApp. Daarnaast kreeg de sociale mediagigant een verbod opgelegd om persoonlijke gegevens te gebruiken voor advertenties zonder zijn gebruikers om toestemming te vragen.
De beslissing volgt op twee klachten die noyb op 25 mei 2018 indiende namens een Oostenrijkse en een Belgische gebruiker, wat betekent dat het de bevoegde autoriteit (de DPC) vier en een half jaar kostte om tot een beslissing te komen nadat de EDPB zijn eerste ontwerpbeslissing in december 2022 had vernietigd.
Google beboet met € 50 miljoen wegens gedwongen toestemming
Toen de GDPR op 25 juli 2018 van kracht werd, diende noyb klachten in tegen Google, Instagram, WhatsApp en Facebook omdat ze hun gebruikers dwongen akkoord te gaan met een aangepast privacybeleid waarmee ze de nieuwe privacywet konden omzeilen.
Terwijl drie van deze klachten begonnen aan een jarenlange reis vol niet-naleving, werd de zaak tegen Google in juni 2019 opgelost: de Franse gegevensbeschermingsautoriteit (CNIL) legde het techbedrijf een boete op van € 50 miljoen, wat op dat moment de hoogste boete ooit was voor een privacyschending.
Reclamebedrijf CRITEO beboet met € 40 miljoen
Eind juni 2023 legde de Franse gegevensbeschermingsautoriteit (CNIL) CRITEO, een toonaangevend Europees bedrijf op het gebied van online reclame en tracking, een boete op van € 40 miljoen voor het schenden van de rechten van betrokkenen en het niet kunnen aantonen dat het geldige toestemming had verkregen.
Het besluit volgde op een klacht die in december 2018 was ingediend door noyb en Privacy International en die gericht was op het ontbreken van een adequate optie om toestemming in te trekken. De klacht leidde tot een uitgebreid onderzoek door de CNIL, die de reikwijdte uitbreidde naar andere gebieden en aanvullende GDPR-schendingen vond, waaronder een gebrek aan transparantie en een niet-naleving van het recht op wissen en het recht op toegang.
Dating app Grindr beboet met € 5,8 miljoen
In 2020 diende noyb samen met de Noorse Consumentenraad (NCC) een klacht in tegen de LGBTQ+ dating app Grindr voor het illegaal delen van persoonlijke gebruikersgegevens met honderden potentiële reclamepartners. Gebruikers werden niet goed geïnformeerd en de toestemming was niet specifiek genoeg: Gebruikers moesten instemmen met het hele privacybeleid en niet met een specifieke verwerking, zoals het delen van gegevens met andere bedrijven. De DPA benadrukte ook dat gebruikers toestemming moeten kunnen weigeren zonder negatieve gevolgen.
Het besluit van de Noorse autoriteit legde Grindr oorspronkelijk een boete op van bijna € 10 miljoen. Na een beroep werd de boete verlaagd tot een definitief bedrag van € 5,8 miljoen in september 2023.
Spotify beboet met € 5 miljoen
Na een noyb-klacht en een rechtszaak over het niet nemen van maatregelen heeft de Zweedse autoriteit voor gegevensbescherming (IMY) Spotify in juni 2023 een boete opgelegd van 58 miljoen Zweedse kronen (ongeveer € 5 miljoen). De muziekstreamingdienst voldeed niet volledig aan de GDPR-verplichting om gebruikers toegang te geven tot al hun gegevens, evenals informatie over hoe hun gegevens worden gebruikt. De klacht werd al in 2019 ingediend en er werd pas na meer dan vier jaar uitspraak over gedaan.
Eerste grote boete voor het gebruik van Google Analytics
Na de 101 klachten van noyb over onrechtmatige gegevensoverdrachten tussen de EU en de VS vanaf 2020, legde de Zweedse gegevensbeschermingsautoriteit (IMY) in juli 2023 de eerste grote boete op voor het gebruik van Google Analytics. Hoewel veel andere Europese autoriteiten (zoals Oostenrijk, Frankrijk en Italië) al hebben vastgesteld dat het gebruik van Google Analytics in strijd is met de GDPR, is dit de eerste boete die wordt opgelegd aan bedrijven voor het gebruik van Google Analytics, ondanks de uitspraken van het HvJEU over de doorgifte van gegevens tussen de EU en de VS.
Telecomaanbieder Tele2 werd veroordeeld tot het betalen van het equivalent van € 1 miljoen (12 miljoen SEK), terwijl de online retailer CDON SEK 300.000 moest betalen.
Maltees IT-bedrijf beboet met 65.000 euro wegens gegevenslek
Na een massaal datalek van Maltese kiezersgegevens in 2020 heeft noyb in samenwerking met de Daphne Foundation en Repubblika een klacht ingediend tegen de gegevensmakelaar C-Planet. De gelekte persoonlijke gegevens omvatten telefoonnummers, geboortedata, stemintenties en politieke voorkeur van meer dan 330.000 personen.
In 2022 concludeerde de Information & Data Protection Commissioner (IDPC) dat C-Planet had verzuimd om technische en organisatorische maatregelen te nemen die waren afgestemd op het risico en legde het IT-bedrijf een boete van € 65.000 op. Het besluit bevestigde ook dat C-Planet had nagelaten het IDPC op de hoogte te stellen van het datalek en de getroffen personen tijdig te informeren.