A GDPR felhatalmazza az adatvédelmi hatóságokat, hogy a GDPR megsértése esetén a vállalat éves forgalmának 4%-áig vagy 20 millió euróig terjedő közigazgatási bírságot szabjanak ki, attól függően, hogy melyik összeg a magasabb.
E bírságok célja a jövőbeni hasonló jogsértésektől való elrettentés. Bár egy noyb-tanulmány szerint ezek a hatóságok rendelkezésére álló leghatékonyabb végrehajtási eszközök közé tartoznak, a GDPR megsértéséért kiszabott jelentős bírságok rendkívül ritkák. A bírságok az eljárás helye szerinti országba kerülnek, ami szinte mindig az az ország, ahol a megbírságolt vállalat székhelye van.
2018 óta a következő bírságokat szabták ki a noyb panaszai alapján:
1,2 milliárd eurós bírság a Meta számára az EU-USA adattovábbítás miatt
2023 végén 1,2 milliárd eurós bírságot szabtak ki a Metára, és elrendelték, hogy ne továbbítsa tovább az európaiak személyes adatait az Egyesült Államokba. A vállalatra olyan amerikai megfigyelési törvények vonatkoznak, mint a FISA 702, amely lehetővé teszi az amerikai kormány számára, hogy nem amerikai állampolgárok után kémkedjen valószínűsíthető ok vagy bírósági jóváhagyás nélkül.
Ez ellentmond az uniós jognak, amely "lényegében azonos" védelmet ír elő az Európai Unión kívülre továbbított adatok esetében. Az olyan amerikai vállalatok, mint a Meta, nem tudnak megfelelni ennek a követelménynek. Ezt az Európai Bíróság 2015-ben hozott Schrems I. és 2020-ban hozott Schrems II. ítéletében a "biztonságos kikötő" és az "adatvédelmi pajzs" megállapodások megsemmisítéséről szóló határozat is megerősítette.
A Meta az elmúlt években figyelmen kívül hagyta ezeket az ítéleteket, aminek eredményeképpen 1,2 milliárd eurós bírságot kapott, és felszólították, hogy minden személyes adatot küldjön vissza uniós adatközpontjaiba.
A Meta 395 millió eurós bírságot kapott, és megtiltotta a személyes adatok hirdetésekhez való felhasználását
Az Európai Adatvédelmi Testület kötelező érvényű döntése nyomán az ír adatvédelmi hatóság (DPC) 2023 januárjában összesen 395 millió euróra bírságolta a Metát a Facebookon, az Instagramon és a WhatsAppon elkövetett jogsértésekért. Emellett megtiltották a közösségi médiaóriásnak, hogy személyes adatokat reklámozásra használjon fel anélkül, hogy ehhez a felhasználóitól hozzájárulást kérne.
A döntés a noyb által egy osztrák és egy belga felhasználó nevében 2018. május 25-én benyújtott két panaszt követően született, vagyis az illetékes hatóságnak (a DPC-nek) négy és fél évébe telt, hogy döntést hozzon, miután az EDPB 2022 decemberében hatályon kívül helyezte első határozattervezetét.
A Google-t 50 millió euróra bírságolták a kényszerített hozzájárulás miatt
Amikor a GDPR 2018. július 25-én hatályba lépett, a noyb panaszt nyújtott be a Google, az Instagram, a WhatsApp és a Facebook ellen, mivel azok arra kényszerítették felhasználóikat, hogy fogadják el a frissített adatvédelmi irányelveket, amelyek lehetővé tették számukra az új adatvédelmi törvény megkerülését.
Míg három panaszos egy évig tartó, nem teljesítéssel teli útra indult, a Google elleni ügy 2019 júniusában lezárult: a francia adatvédelmi hatóság (CNIL) 50 millió euróra bírságolta a technológiai vállalatot, ami akkoriban az adatvédelmi szabályok megsértése miatt kiszabott eddigi legmagasabb bírság volt.
A CRITEO reklámcéget 40 millió euróra bírságolták
2023. június végén a francia adatvédelmi hatóság (CNIL) 40 millió euróra bírságolta a CRITEO-t, Európa egyik vezető online hirdetési és nyomkövető cégét, mert megsértette az érintettek jogait, és nem tudta bizonyítani, hogy érvényes hozzájárulást kapott.
A döntés a noyb és a Privacy International 2018 decemberében benyújtott panaszát követte, amely a hozzájárulás visszavonására vonatkozó megfelelő lehetőség hiányára irányult. A panasz hatására a CNIL széles körű vizsgálatot indított, amely a vizsgálatot más területekre is kiterjesztette, és további GDPR-szabálysértéseket állapított meg, többek között az átláthatóság hiányát, valamint a törléshez és a hozzáféréshez való jog megsértését.
A Grindr társkereső alkalmazás 5,8 millió eurós bírságot kapott
2020-ban a noyb a Norvég Fogyasztói Tanáccsal (NCC) összefogva panaszt nyújtott be az LMBTQ+ társkereső alkalmazás, a Grindr ellen, amiért az jogellenesen megosztotta a felhasználók személyes adatait több száz potenciális hirdetési partnerrel. A felhasználókat nem tájékoztatták megfelelően, és a hozzájárulás nem volt elég konkrét: A felhasználóknak a teljes adatvédelmi szabályzathoz kellett hozzájárulniuk, nem pedig egy adott adatkezelési művelethez, például az adatok más vállalatokkal való megosztásához. Az adatvédelmi hatóság azt is hangsúlyozta, hogy a felhasználóknak lehetőséget kell biztosítani arra, hogy negatív következmények nélkül megtagadhassák a hozzájárulást.
A norvég hatóság határozata eredetileg közel 10 millió eurós bírságot szabott ki a Grindr-re. A fellebbezést követően a bírságot 2023 szeptemberében 5,8 millió eurós végleges összegre csökkentették.
A Spotify 5 millió eurós bírságot kapott
A svéd adatvédelmi hatóság (IMY) egy noyb-panaszt és a tétlenség miatti pereskedést követően 2023 júniusában 58 millió svéd korona (kb. 5 millió €) bírságot szabott ki a Spotify-ra. A zenei streaming szolgáltatás nem teljesítette maradéktalanul a GDPR azon kötelezettségét, hogy a felhasználók számára hozzáférést biztosítson az összes adatukhoz, valamint tájékoztatást adjon arról, hogyan használják fel az adataikat. A panaszt már 2019-ben benyújtották, és több mint négy évig nem született döntés.
Az első nagyobb bírság a Google Analytics használata miatt
A noyb 101 panaszát követően a 2020-as jogellenes EU-USA adattovábbítással kapcsolatban a svéd adatvédelmi hatóság (IMY) 2023 júliusában a Google Analytics használatáért az első nagyobb bírságot szabta ki. Bár számos más európai hatóság (pl. Ausztria, Franciaország és Olaszország) már megállapította, hogy a Google Analytics használata sérti a GDPR-t, ez az első bírság, amelyet a Google Analytics használata miatt szabtak ki a vállalatokra, az EUB EU-USA adattovábbításról szóló ítéletei ellenére.
A Tele2 távközlési szolgáltatót 1 millió eurónak (12 millió SEK) megfelelő összeg megfizetésére kötelezték, míg a CDON online kiskereskedőnek 300 000 SEK-ot kellett fizetnie.
Máltai informatikai vállalatot 65 000 euróra bírságoltak adatszivárgás miatt
A máltai választók adatainak 2020-ban történt tömeges kiszivárgását követően a noyb a Daphne Alapítvánnyal és a Repubblikával együttműködve panaszt tett a C-Planet adatközvetítő cég ellen. A kiszivárgott személyes adatok több mint 330 000 személy telefonszámát, születési dátumát, szavazási szándékát és politikai beállítottságát tartalmazták.
2022-ben az információs és adatvédelmi biztos (IDPC) megállapította, hogy a C-Planet nem hajtott végre a kockázatnak megfelelő technikai és szervezési intézkedéseket, és 65 000 eurós bírságot szabott ki az informatikai vállalatra. A határozat azt is megerősítette, hogy a C-Planet elmulasztotta értesíteni az IDPC-t az adatvédelmi incidensről, és nem tájékoztatta időben az érintett személyeket.
A Netflix 4,75 millió eurós bírságot kapott
2024 decemberében a holland adatvédelmi hatóság 4,75 millió eurós bírságot szabott ki a Netflixre, amiért nem válaszolt megfelelően a felhasználók hozzáférési kérelmeire. A határozat számos fontos kérdésre hívja fel a figyelmet a Netflix hozzáférési kérelmek kezelésével kapcsolatban: A Netflix különösen nem nyújtott elegendő tájékoztatást arról, hogy miért gyűjt adatokat, és mit csinál azokkal.
Sajnos a hatóság nem foglalkozott a panaszunkban említett másik fontos kérdéssel sem: a vállalat még a panaszos adatainak teljes másolatát sem adta át.
A döntés alapja egy 2019 januárjában indított noyb-ügy. Akkor nyolc panaszt nyújtottunk be olyan streamingszolgáltatók ellen, mint az Amazon, az Apple Music, a Spotify, a YouTube - és természetesen a Netflix.