Ο ΓΚΠΔ παρέχει στις αρχές προστασίας δεδομένων (ΑΠΔ) την εξουσία να επιβάλλουν διοικητικό πρόστιμο έως και 4% του ετήσιου κύκλου εργασιών μιας εταιρείας ή 20 εκατομμύρια ευρώ σε περίπτωση παραβίασης του ΓΚΠΔ, ανάλογα με το ποιο ποσό είναι υψηλότερο.
Σκοπός αυτών των προστίμων είναι η αποτροπή παρόμοιων παραβάσεων στο μέλλον. Παρόλο πουμια μελέτη της noyb διαπίστωσε ότι είναι από τα πιο αποτελεσματικά εργαλεία επιβολής που έχουν στη διάθεσή τους οι αρχές, τα σημαντικά πρόστιμα για παραβιάσεις του GDPR είναι εξαιρετικά σπάνια. Τα πρόστιμα επιβάλλονται στη χώρα όπου διεξάγονται οι διαδικασίες, η οποία σχεδόν πάντα είναι η χώρα όπου έχει την έδρα της η εταιρεία που τιμωρείται.
Από το 2018, έχουν επιβληθεί τα ακόλουθα πρόστιμα βάσει καταγγελιών κατά της noyb:
Πρόστιμο 1,2 δισεκατομμυρίων ευρώ στην Meta για τις μεταφορές δεδομένων ΕΕ-ΗΠΑ
Στα τέλη του 2023, η Meta τιμωρήθηκε με πρόστιμο 1,2 δισεκατομμυρίου ευρώ και διατάχθηκε να σταματήσει τη μεταφορά προσωπικών δεδομένων Ευρωπαίων στις Ηνωμένες Πολιτείες. Η εταιρεία υπόκειται στους νόμους επιτήρησης των ΗΠΑ, όπως ο FISA 702, ο οποίος επιτρέπει στην κυβέρνηση των ΗΠΑ να κατασκοπεύει μη Αμερικανούς πολίτες χωρίς βάσιμη αιτία ή δικαστική έγκριση.
Αυτό έρχεται σε αντίθεση με τη νομοθεσία της ΕΕ, η οποία απαιτεί «ουσιαστικά ισοδύναμη» προστασία για δεδομένα που μεταφέρονται εκτός της Ευρωπαϊκής Ένωσης. Αμερικανικές εταιρείες όπως η Meta δεν μπορούν να πληρούν αυτήν την απαίτηση. Αυτό επιβεβαιώθηκε επίσης από την απόφαση του Ευρωπαϊκού Δικαστηρίου να ακυρώσει τόσο τις συμφωνίες «Ασφαλές Λιμάνι» όσο και τις συμφωνίες «Ασπίδα Προστασίας Προσωπικών Δεδομένων» στις αποφάσεις του Schrems I και Schrems II το 2015 και το 2020 αντίστοιχα.
Η Meta αγνοεί αυτές τις αποφάσεις τα τελευταία χρόνια, με αποτέλεσμα το πρόστιμο ύψους 1,2 δισεκατομμυρίων ευρώ και την εντολή επιστροφής όλων των προσωπικών δεδομένων στα κέντρα δεδομένων της στην ΕΕ.
Στον Μέτα επιβλήθηκε πρόστιμο 395 εκατομμυρίων ευρώ και απαγορεύτηκε η χρήση προσωπικών δεδομένων για διαφημίσεις
Μετά από δεσμευτική απόφαση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, η Ιρλανδική Αρχή Προστασίας Δεδομένων (DPC) επέβαλε πρόστιμο συνολικού ύψους 395 εκατομμυρίων ευρώ στη Meta για παραβιάσεις στο Facebook, το Instagram και το WhatsApp τον Ιανουάριο του 2023. Επιπλέον, απαγορεύτηκε στον γίγαντα των μέσων κοινωνικής δικτύωσης να χρησιμοποιεί προσωπικά δεδομένα για διαφημίσεις χωρίς να ζητήσει τη συγκατάθεση των χρηστών του.
Η απόφαση έρχεται μετά από δύο καταγγελίες που υπέβαλε η noyb εκ μέρους ενός Αυστριακού και ενός Βέλγου χρήστη στις 25 Μαΐου 2018, πράγμα που σημαίνει ότι χρειάστηκαν στην αρμόδια αρχή (την DPC) τεσσεράμισι χρόνια για να καταλήξει σε απόφαση, αφότου η EDPB ανέτρεψε το πρώτο σχέδιο απόφασής της τον Δεκέμβριο του 2022.
Πρόστιμο 50 εκατομμυρίων ευρώ στην Google για αναγκαστική συναίνεση
Όταν ο ΓΚΠΔ τέθηκε σε ισχύ στις 25 Ιουλίου 2018, η noyb υπέβαλε καταγγελίες κατά της Google, του Instagram, του WhatsApp και του Facebook επειδή ανάγκασαν τους χρήστες της να αποδεχτούν ενημερωμένες πολιτικές απορρήτου που τους επέτρεπαν να παρακάμψουν τον νέο νόμο περί απορρήτου.
Ενώ τρεις από αυτές τις καταγγελίες ξεκίνησαν ένα ταξίδι ενός έτους γεμάτο μη συμμόρφωση, η υπόθεση κατά της Google επιλύθηκε τον Ιούνιο του 2019: η γαλλική αρχή προστασίας δεδομένων (CNIL) επέβαλε πρόστιμο 50 εκατομμυρίων ευρώ στην τεχνολογική εταιρεία , το οποίο εκείνη την εποχή ήταν το υψηλότερο πρόστιμο που είχε επιβληθεί ποτέ για παραβίαση απορρήτου.
Πρόστιμο 40 εκατομμυρίων ευρώ στην διαφημιστική εταιρεία CRITEO
Στα τέλη Ιουνίου 2023, η γαλλική αρχή προστασίας δεδομένων (CNIL) επέβαλε πρόστιμο 40 εκατομμυρίων ευρώ στην CRITEO , μια κορυφαία ευρωπαϊκή εταιρεία διαδικτυακής διαφήμισης και παρακολούθησης, για παραβίαση των δικαιωμάτων των υποκειμένων των δεδομένων και για μη απόδειξη ότι είχε λάβει έγκυρη συγκατάθεση.
Η απόφαση αυτή έλαβε χώρα μετά από καταγγελία που υπέβαλαν η noyb και η Privacy International τον Δεκέμβριο του 2018, η οποία στόχευε στην έλλειψη επαρκούς επιλογής ανάκλησης της συγκατάθεσης. Η καταγγελία πυροδότησε εκτεταμένη έρευνα από την CNIL, η οποία διεύρυνε το πεδίο εφαρμογής σε άλλους τομείς και διαπίστωσε πρόσθετες παραβιάσεις του GDPR, συμπεριλαμβανομένης της έλλειψης διαφάνειας και της μη συμμόρφωσης με το δικαίωμα διαγραφής και το δικαίωμα πρόσβασης.
Η εφαρμογή γνωριμιών Grindr τιμωρήθηκε με πρόστιμο 5,8 εκατομμυρίων ευρώ
Το 2020, η noyb συνεργάστηκε με το Νορβηγικό Συμβούλιο Καταναλωτών (NCC) για να υποβάλει καταγγελία κατά της εφαρμογής γνωριμιών LGBTQ+ Grindr για παράνομη κοινοποίηση προσωπικών δεδομένων χρηστών με εκατοντάδες πιθανούς διαφημιστικούς συνεργάτες. Οι χρήστες δεν είχαν ενημερωθεί σωστά και η συγκατάθεση δεν ήταν αρκετά συγκεκριμένη: Οι χρήστες έπρεπε να συμφωνήσουν με ολόκληρη την πολιτική απορρήτου και όχι με μια συγκεκριμένη λειτουργία επεξεργασίας, όπως η κοινοποίηση δεδομένων με άλλες εταιρείες. Η DPA τόνισε επίσης ότι οι χρήστες πρέπει να μπορούν να αρνηθούν τη συγκατάθεσή τους χωρίς αρνητικές συνέπειες.
Η απόφαση της νορβηγικής αρχής επέβαλε αρχικά πρόστιμο σχεδόν 10 εκατομμυρίων ευρώ στην Grindr. Μετά από έφεση, το πρόστιμο μειώθηκε στο τελικό ποσό των 5,8 εκατομμυρίων ευρώ τον Σεπτέμβριο του 2023.
Πρόστιμο 5 εκατομμυρίων ευρώ στο Spotify
Μετά από καταγγελία κατά της noyb και δικαστική διαμάχη για αδράνεια, η Σουηδική Αρχή Προστασίας Δεδομένων (IMY) επέβαλε πρόστιμο 58 εκατομμυρίων σουηδικών κορωνών (περίπου 5 εκατομμύρια ευρώ) στο Spotify τον Ιούνιο του 2023. Η υπηρεσία streaming μουσικής δεν συμμορφώθηκε πλήρως με την υποχρέωση του GDPR να παρέχει στους χρήστες πρόσβαση σε όλα τα δεδομένα τους, καθώς και σε πληροφορίες σχετικά με τον τρόπο χρήσης των δεδομένων τους. Η καταγγελία είχε ήδη κατατεθεί το 2019 και δεν είχε ληφθεί απόφαση για περισσότερα από τέσσερα χρόνια.
Πρώτο μεγάλο πρόστιμο για χρήση Google Analytics
Μετά τις 101 καταγγελίες της noyb για παράνομες μεταφορές δεδομένων μεταξύ ΕΕ και ΗΠΑ από το 2020, η σουηδική αρχή προστασίας δεδομένων (IMY) επέβαλε το πρώτο μεγάλο πρόστιμο για τη χρήση του Google Analytics τον Ιούλιο του 2023. Παρόλο που πολλές άλλες ευρωπαϊκές αρχές (όπως η Αυστρία, η Γαλλία και η Ιταλία) έχουν ήδη διαπιστώσει ότι η χρήση του Google Analytics παραβιάζει τον ΓΚΠΔ, αυτό είναι το πρώτο πρόστιμο που επιβάλλεται σε εταιρείες για τη χρήση του Google Analytics, παρά τις αποφάσεις του ΔΕΕ σχετικά με τις μεταφορές δεδομένων μεταξύ ΕΕ και ΗΠΑ.
Ο πάροχος τηλεπικοινωνιών Tele2 διατάχθηκε να καταβάλει το ισοδύναμο του 1 εκατομμυρίου ευρώ (12 εκατομμύρια σουηδικές κορώνες), ενώ ο διαδικτυακός λιανοπωλητής CDON έπρεπε να καταβάλει 300.000 σουηδικές κορώνες.
Πρόστιμο 65.000 ευρώ σε εταιρεία πληροφορικής της Μάλτας για διαρροή δεδομένων
Μετά από μια μαζική διαρροή δεδομένων ψηφοφόρων της Μάλτας το 2020, το noyb συνεργάστηκε με το Ίδρυμα Daphne και την Repubblika για να υποβάλει καταγγελίες κατά του μεσίτη δεδομένων C-Planet. Τα διαρρεύσαντα προσωπικά στοιχεία περιελάμβαναν αριθμούς τηλεφώνου, ημερομηνίες γέννησης, προθέσεις ψήφου και πολιτικές πεποιθήσεις περισσότερων από 330.000 ατόμων.
Το 2022, ο Επίτροπος Πληροφοριών και Προστασίας Δεδομένων (IDPC) κατέληξε στο συμπέρασμα ότι η C-Planet δεν είχε εφαρμόσει τεχνικά και οργανωτικά μέτρα κατάλληλα για τον κίνδυνο και επέβαλε πρόστιμο 65.000 ευρώ στην εταιρεία πληροφορικής . Η απόφαση επιβεβαίωσε επίσης ότι η C-Planet δεν ειδοποίησε την IDPC για την παραβίαση δεδομένων και δεν ενημέρωσε εγκαίρως τα εμπλεκόμενα άτομα.
Πρόστιμο 4,75 εκατομμυρίων ευρώ στο Netflix
Τον Δεκέμβριο του 2024, η ολλανδική αρχή προστασίας δεδομένων επέβαλε πρόστιμο 4,75 εκατομμυρίων ευρώ στο Netflix επειδή δεν ανταποκρίθηκε επαρκώς στα αιτήματα πρόσβασης των χρηστών. Η απόφαση υπογραμμίζει μια σειρά από σημαντικά ζητήματα σχετικά με τον τρόπο χειρισμού των αιτημάτων πρόσβασης από το Netflix: Συγκεκριμένα, το Netflix δεν παρείχε επαρκείς πληροφορίες σχετικά με το γιατί συλλέγει δεδομένα και τι κάνει με αυτά.
Δυστυχώς, η αρχή δεν ασχολήθηκε με ένα άλλο σημαντικό ζήτημα που αναφέρθηκε στην καταγγελία μας: η εταιρεία δεν παρείχε καν πλήρες αντίγραφο των δεδομένων του καταγγέλλοντος.
Η απόφαση βασίζεται σε μια υπόθεση noyb, η οποία ξεκίνησε τον Ιανουάριο του 2019. Εκείνη την εποχή, υποβάλαμε οκτώ καταγγελίες εναντίον παρόχων streaming όπως το Amazon, το Apple Music, το Spotify, το YouTube – και φυσικά το Netflix.
Πρόστιμο 325 εκατομμυρίων ευρώ στην Google για «ανεπιθύμητα email» στο Gmail
Την 1η Σεπτεμβρίου 2025, η γαλλική αρχή προστασίας δεδομένων CNIL επέβαλε πρόστιμο 325 εκατομμυρίων ευρώ στην Google για την αποστολή ανεπιθύμητων διαφημίσεων στους χρήστες του Gmail απευθείας στα εισερχόμενά τους μέσω email.
Με την πρώτη ματιά, αυτά τα μηνύματα μοιάζουν με κανονικά email, αλλά στην πραγματικότητα είναι διαφημίσεις στις οποίες οι χρήστες δεν έχουν δώσει ποτέ τη συγκατάθεσή τους. Τα εμπορικά email που αποστέλλονται απευθείας στους χρήστες συνιστούν άμεσο μάρκετινγκ και ρυθμίζονται από την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Αυτό σημαίνει ότι οι εταιρείες υποχρεούνται να λάβουν συγκατάθεση. Αυτό έχει επίσης επιβεβαιωθεί από το Δικαστήριο , το οποίο δήλωσε ότι οποιαδήποτε διαφήμιση στα εισερχόμενα ενός χρήστη υπόκειται στον κανόνα της συγκατάθεσης.
Εκτός από το πρόστιμο των 325 εκατομμυρίων ευρώ, η CNIL διέταξε την Google να εφαρμόσει «μέτρα για να σταματήσει η προβολή διαφημίσεων μεταξύ των email στα γραμματοκιβώτια των χρηστών της υπηρεσίας Gmail χωρίς προηγούμενη συγκατάθεση και να διασφαλίσει την έγκυρη συγκατάθεση των χρηστών για την τοποθέτηση διαφημιστικών cookies κατά τη δημιουργία λογαριασμού Google» εντός έξι μηνών. Εάν η εταιρεία δεν συμμορφωθεί, θα πρέπει να καταβάλει πρόστιμο 100.000 ευρώ ανά ημέρα καθυστέρησης.