GDPR dává úřadům pro ochranu osobních údajů (DPA) pravomoc uložit správní pokutu až do výše 4 % ročního obratu společnosti nebo 20 milionů eur, pokud poruší GDPR, podle toho, která částka je vyšší.
Účelem těchto pokut je odradit od podobných porušení v budoucnu. Přestože podle studie noyb patří k nejúčinnějším nástrojům vymáhání práva, které mají orgány k dispozici, jsou významné pokuty za porušení GDPR velmi vzácné. Pokuty jdou do země, kde řízení probíhá, což je téměř vždy země, kde má pokutovaná společnost sídlo.
Od roku 2018 byly na základě stížností noyb uloženy následující pokuty:
pokuta 1,2 miliardy eur pro společnost Meta za předávání dat mezi EU a USA
Koncem roku 2023 byla společnosti Meta uložena pokuta ve výši 1,2 miliardy eur a bylo jí nařízeno, aby přestala předávat osobní údaje Evropanů do Spojených států. Společnost podléhá americkým zákonům o sledování, jako je FISA 702, který umožňuje vládě USA špehovat neamerické občany bez pravděpodobného důvodu nebo soudního schválení.
To je v rozporu s právem EU, které vyžaduje "v zásadě rovnocennou" ochranu údajů předávaných mimo Evropskou unii. Americké společnosti jako Meta tento požadavek nemohou splnit. To potvrdilo i rozhodnutí Evropského soudního dvora, který v rozsudcích Schrems I a Schrems II v roce 2015 zrušil dohody "Safe Harbor" i "Privacy Shield".
Společnost Meta tyto rozsudky v posledních letech ignorovala, což vyústilo v pokutu ve výši 1,2 miliardy eur a příkaz vrátit všechny osobní údaje do svých datových center v EU.
Společnosti Meta byla uložena pokuta ve výši 395 milionů EUR a zákaz používání osobních údajů pro reklamu
Na základě závazného rozhodnutí Evropského sboru pro ochranu osobních údajů uložil irský Úřad pro ochranu osobních údajů (DPC) společnosti Meta v lednu 2023 pokutu v celkové výši 395 milionů eur za porušení předpisů na Facebooku, Instagramu a WhatsAppu. Kromě toho bylo gigantu v oblasti sociálních médií zakázáno používat osobní údaje pro reklamu, aniž by požádal své uživatele o souhlas.
Rozhodnutí následovalo po dvou stížnostech podaných společností noyb jménem jednoho rakouského a jednoho belgického uživatele dne 25. května 2018, což znamená, že příslušnému orgánu (DPC) trvalo čtyři a půl roku, než dospěl k rozhodnutí poté, co EDPB v prosinci 2022 zrušil svůj první návrh rozhodnutí.
Společnost Google dostala pokutu 50 milionů eur kvůli nucenému souhlasu
Když 25. července 2018 vstoupilo v platnost nařízení GDPR, podala společnost noyb stížnosti na společnosti Google, Instagram, WhatsApp a Facebook za to, že nutily své uživatele k přijetí aktualizovaných zásad ochrany osobních údajů, které jim umožňovaly obcházet nový zákon o ochraně osobních údajů.
Zatímco tři z těchto stížností se vydaly na roční cestu plnou nedodržování předpisů, případ proti společnosti Google byl vyřešen v červnu 2019: francouzský úřad pro ochranu osobních údajů (CNIL) udělil této technologické společnosti pokutu ve výši 50 milionů eur, což byla v té době nejvyšší pokuta za porušení ochrany osobních údajů v historii.
Reklamní společnost CRITEO dostala pokutu ve výši 40 milionů eur
Na konci června 2023 francouzský úřad pro ochranu osobních údajů (CNIL) uložil společnosti CRITEO, přední evropské společnosti zabývající se online reklamou a sledováním, pokutu ve výši 40 milionů eur za porušení práv subjektů údajů a neprokázání získání platného souhlasu.
Rozhodnutí následovalo po stížnosti, kterou v prosinci 2018 podaly organizace noyb a Privacy International a která byla zaměřena na nedostatečnou možnost odvolání souhlasu. Stížnost vyvolala rozsáhlé šetření CNIL, které rozšířilo oblast působnosti na další oblasti a zjistilo další porušení GDPR, včetně nedostatečné transparentnosti a nedodržení práva na výmaz a práva na přístup.
Seznamovací aplikace Grindr dostala pokutu 5,8 milionu eur
V roce 2020 se společnost noyb spojila s Norskou radou spotřebitelů (NCC) a podala stížnost na seznamovací aplikaci Grindr pro LGBTQ+ za nezákonné sdílení osobních údajů uživatelů se stovkami potenciálních reklamních partnerů. Uživatelé nebyli řádně informováni a souhlas nebyl dostatečně konkrétní: Uživatelé museli souhlasit s celými zásadami ochrany osobních údajů, a nikoliv s konkrétní operací zpracování, jako je sdílení údajů s jinými společnostmi. Úřad pro ochranu údajů rovněž zdůraznil, že uživatelé musí mít možnost souhlas odmítnout bez negativních důsledků.
Rozhodnutím norského úřadu byla společnosti Grindr původně uložena pokuta ve výši téměř 10 milionů eur. Po odvolání byla pokuta v září 2023 snížena na konečnou částku 5,8 milionu eur.
Společnosti Spotify byla uložena pokuta ve výši 5 milionů eur
Na základě stížnosti noyb a soudního sporu kvůli nečinnosti uložil švédský úřad pro ochranu osobních údajů (IMY) společnosti Spotify v červnu 2023 pokutu ve výši 58 milionů švédských korun (přibližně 5 milionů €). Hudební streamovací služba nesplnila v plném rozsahu povinnost vyplývající z GDPR poskytnout uživatelům přístup ke všem jejich údajům a také informace o tom, jak jsou jejich údaje využívány. Stížnost byla podána již v roce 2019, přičemž o ní bylo rozhodnuto až po více než čtyřech letech.
První velká pokuta za používání služby Google Analytics
V návaznosti na 101 stížnost noyb na nezákonné předávání údajů mezi EU a USA z roku 2020 udělil švédský úřad pro ochranu osobních údajů (IMY) v červenci 2023 první velkou pokutu za používání služby Google Analytics. Ačkoli mnoho dalších evropských úřadů (např. Rakousko, Francie a Itálie) již zjistilo, že používání nástroje Google Analytics porušuje GDPR, jedná se o první pokutu uloženou společnostem za používání nástroje Google Analytics, a to navzdory rozsudkům Soudního dvora EU o předávání údajů mezi EU a USA.
Telekomunikačnímu operátorovi Tele2 bylo nařízeno zaplatit ekvivalent 1 milionu eur (12 milionů SEK), zatímco internetový prodejce CDON musel zaplatit 300 000 SEK.
Maltská IT společnost dostala pokutu ve výši 65 000 eur kvůli úniku dat
V návaznosti na masivní únik dat maltských voličů v roce 2020 spolupracovala společnost noyb s nadací Daphne a organizací Repubblika na podání stížnosti proti zprostředkovateli dat C-Planet. Uniklé osobní údaje zahrnovaly telefonní čísla, data narození, volební úmysly a politické preference více než 330 000 osob.
V roce 2022 dospěl komisař pro ochranu informací a údajů (IDPC) k závěru, že společnost C-Planet nezavedla technická a organizační opatření odpovídající riziku, a udělil IT společnosti pokutu ve výši 65 000 eur. Rozhodnutí rovněž potvrdilo, že společnost C-Planet neoznámila IDPC narušení bezpečnosti údajů a včas neinformovala dotčené osoby.
Společnosti Netflix byla uložena pokuta ve výši 4,75 milionu eur
V prosinci 2024 uložil nizozemský úřad pro ochranu osobních údajů společnosti Netflix pokutu ve výši 4,75 milionu eur za to, že dostatečně nereagovala na žádosti uživatelů o přístup k údajům. Rozhodnutí poukazuje na řadu důležitých problémů při vyřizování žádostí o přístup společností Netflix: Netflix zejména neposkytl dostatečné informace o tom, proč údaje shromažďuje a co s nimi dělá.
Úřad se bohužel nezabýval dalším důležitým problémem uvedeným v naší stížnosti: společnost neposkytla ani úplnou kopii údajů stěžovatele.
Rozhodnutí vychází z případu noyb, který byl zahájen v lednu 2019. Tehdy jsme podali osm stížností na poskytovatele streamovacích služeb, jako jsou Amazon, Apple Music, Spotify, YouTube - a samozřejmě Netflix.