RODO daje organom ochrony danych (OOD) prawo do nałożenia grzywny administracyjnej w wysokości do 4% rocznego obrotu firmy lub 20 milionów euro w przypadku naruszenia RODO, w zależności od tego, która kwota jest wyższa.
Celem tych grzywien jest zniechęcenie do podobnych naruszeń w przyszłości. Chociaż badanie Noyb wykazało, że są one jednymi z najskuteczniejszych narzędzi egzekwowania prawa dostępnych dla władz, znaczące grzywny za naruszenia RODO są niezwykle rzadkie. Grzywny trafiają do kraju, w którym toczy się postępowanie, czyli prawie zawsze do kraju, w którym ukarana firma ma swoją siedzibę.
Od 2018 r. na podstawie skarg noyb nałożono następujące grzywny:
grzywna w wysokości 1,2 mld euro dla firmy Meta za przekazywanie danych między UE a USA
Pod koniec 2023 r. Meta została ukarana grzywną w wysokości 1,2 mld euro i nakazano jej zaprzestanie przekazywania danych osobowych Europejczyków do Stanów Zjednoczonych. Firma podlega amerykańskim przepisom dotyczącym nadzoru, takim jak FISA 702, które umożliwiają rządowi USA szpiegowanie obywateli spoza USA bez uzasadnionego powodu lub zgody sądu.
Jest to sprzeczne z prawem UE, które wymaga "zasadniczo równoważnej" ochrony danych przekazywanych poza Unię Europejską. Amerykańskie firmy, takie jak Meta, nie są w stanie spełnić tego wymogu. Zostało to również potwierdzone decyzją Europejskiego Trybunału Sprawiedliwości o unieważnieniu zarówno umów "Safe Harbor", jak i "Privacy Shield" w orzeczeniach Schrems I i Schrems II odpowiednio w 2015 i 2020 roku.
Meta ignorowała te wyroki przez ostatnie lata, co skutkowało grzywną w wysokości 1,2 miliarda euro i nakazem zwrotu wszystkich danych osobowych do swoich centrów danych w UE.
Meta ukarana grzywną w wysokości 395 mln euro i zakazem wykorzystywania danych osobowych do reklam
W następstwie wiążącej decyzji Europejskiej Rady Ochrony Danych, irlandzki organ ochrony danych (DPC) ukarał Metę grzywną w łącznej wysokości 395 mln euro za naruszenia na Facebooku, Instagramie i WhatsApp w styczniu 2023 roku. Ponadto gigantowi mediów społecznościowych zakazano wykorzystywania danych osobowych do celów reklamowych bez pytania użytkowników o zgodę.
Decyzja ta jest następstwem dwóch skarg złożonych przez noyb w imieniu jednego austriackiego i jednego belgijskiego użytkownika w dniu 25 maja 2018 r., co oznacza, że podjęcie decyzji przez właściwy organ (DPC) zajęło cztery i pół roku po tym, jak EROD uchyliła swój pierwszy projekt decyzji w grudniu 2022 r.
Google ukarany grzywną w wysokości 50 milionów euro za wymuszoną zgodę
Kiedy RODO weszło w życie 25 lipca 2018 r., Noyb złożył skargi przeciwko Google, Instagramowi, WhatsApp i Facebookowi za zmuszanie użytkowników do akceptowania zaktualizowanych polityk prywatności, które pozwoliły im obejść nowe prawo dotyczące prywatności.
Podczas gdy trzy z tych skarg rozpoczęły roczną podróż pełną niezgodności, sprawa przeciwko Google została rozstrzygnięta w czerwcu 2019 r.: francuski organ ochrony danych (CNIL) ukarał firmę technologiczną grzywną w wysokości 50 mln euro, co w tamtym czasie było najwyższą grzywną w historii za naruszenie prywatności.
Firma reklamowa CRITEO ukarana grzywną w wysokości 40 milionów euro
Pod koniec czerwca 2023 r. francuski organ ochrony danych (CNIL) ukarał CRITEO, wiodącą europejską firmę zajmującą się reklamą internetową i śledzeniem, grzywną w wysokości 40 mln euro za naruszenie praw osób, których dane dotyczą, i brak udowodnienia, że uzyskała ważną zgodę.
Decyzja ta została podjęta w następstwie skargi złożonej przez noyb i Privacy International w grudniu 2018 r., która dotyczyła braku odpowiedniej opcji wycofania zgody. Skarga wywołała szeroko zakrojone dochodzenie CNIL, które rozszerzyło zakres na inne obszary i stwierdziło dodatkowe naruszenia GDPR, w tym brak przejrzystości i nieprzestrzeganie prawa do usunięcia danych i prawa dostępu.
Aplikacja randkowa Grindr ukarana grzywną w wysokości 5,8 mln euro
W 2020 r. noyb połączył siły z Norweską Radą Konsumentów (NCC), aby złożyć skargę przeciwko aplikacji randkowej LGBTQ+ Grindr za nielegalne udostępnianie danych osobowych użytkowników setkom potencjalnych partnerów reklamowych. Użytkownicy nie zostali odpowiednio poinformowani, a zgoda nie była wystarczająco szczegółowa: Użytkownicy musieli wyrazić zgodę na całą politykę prywatności, a nie na konkretną operację przetwarzania, taką jak udostępnianie danych innym firmom. Organ ochrony danych podkreślił również, że użytkownicy muszą mieć możliwość odmowy wyrażenia zgody bez negatywnych konsekwencji.
Decyzja norweskiego organu pierwotnie nałożyła na Grindr grzywnę w wysokości prawie 10 milionów euro. W wyniku odwołania grzywna została obniżona do ostatecznej kwoty 5,8 mln euro we wrześniu 2023 r.
Spotify ukarany grzywną w wysokości 5 mln euro
W następstwie skargi Noyb i sporu sądowego dotyczącego bezczynności, szwedzki organ ochrony danych (IMY) ukarał Spotify grzywną w wysokości 58 milionów koron szwedzkich (około 5 milionów euro) w czerwcu 2023 roku. Usługa strumieniowego przesyłania muzyki nie była w pełni zgodna z obowiązkiem RODO dotyczącym zapewnienia użytkownikom dostępu do wszystkich ich danych, a także informacji o tym, w jaki sposób są one wykorzystywane. Skarga została złożona już w 2019 r. i nie została rozstrzygnięta przez ponad cztery lata.
Pierwsza duża grzywna za korzystanie z Google Analytics
W następstwie 101 skarg Noyb na niezgodne z prawem przekazywanie danych między UE a USA od 2020 r., szwedzki organ ochrony danych (IMY) nałożył w lipcu 2023 r. pierwszą poważną grzywnę za korzystanie z Google Analytics. Chociaż wiele innych europejskich organów (np. Austria, Francja i Włochy) uznało już, że korzystanie z Google Analytics narusza RODO, jest to pierwsza grzywna nałożona na firmy za korzystanie z Google Analytics, pomimo orzeczeń TSUE w sprawie przekazywania danych między UE a USA.
Dostawca usług telekomunikacyjnych Tele2 został zobowiązany do zapłaty równowartości 1 miliona euro (12 milionów koron szwedzkich), podczas gdy internetowy sprzedawca detaliczny CDON musiał zapłacić 300 000 koron szwedzkich.
Maltańska firma IT ukarana grzywną w wysokości 65 000 euro za wyciek danych
Po masowym wycieku danych maltańskich wyborców w 2020 r., noyb współpracował z Fundacją Daphne i Repubbliką w celu złożenia skarg przeciwko brokerowi danych C-Planet. Wyciekłe dane osobowe obejmowały numery telefonów, daty urodzenia, zamiary głosowania i poglądy polityczne ponad 330 000 osób.
W 2022 r. komisarz ds. informacji i ochrony danych (IDPC) stwierdził, że C-Planet nie wdrożył środków technicznych i organizacyjnych odpowiednich do ryzyka i ukarał firmę informatyczną grzywną w wysokości 65 000 euro. Decyzja potwierdziła również, że C-Planet nie powiadomił IDPC o naruszeniu ochrony danych i nie poinformował w odpowiednim czasie osób, których to dotyczyło.