GDPR dáva orgánom na ochranu údajov (DPA) právomoc uložiť správnu pokutu až do výšky 4 % ročného obratu spoločnosti alebo 20 miliónov EUR, ak poruší GDPR, v závislosti od toho, ktorá suma je vyššia.
Účelom týchto pokút je odradiť od podobných porušení v budúcnosti. Hoci sa v štúdii noyb zistilo, že patria medzi najúčinnejšie nástroje presadzovania práva, ktoré majú orgány k dispozícii, významné pokuty za porušenie nariadenia GDPR sú mimoriadne zriedkavé. Pokuty idú do krajiny, v ktorej sa konanie uskutočňuje, čo je takmer vždy krajina, v ktorej má pokutovaná spoločnosť sídlo.
Od roku 2018 boli na základe sťažností noyb uložené tieto pokuty:
pokuta 1,2 miliardy eur pre spoločnosť Meta za prenos údajov medzi EÚ a USA
Koncom roka 2023 bola spoločnosti Meta uložená pokuta vo výške 1,2 miliardy eur a bolo jej nariadené zastaviť prenos osobných údajov Európanov do Spojených štátov. Spoločnosť podlieha americkým zákonom o sledovaní, ako je FISA 702, ktorý umožňuje vláde USA špehovať neamerických občanov bez pravdepodobného dôvodu alebo súdneho súhlasu.
To je v rozpore s právom EÚ, ktoré vyžaduje "v podstate rovnocennú" ochranu údajov prenášaných mimo Európskej únie. Americké spoločnosti ako Meta túto požiadavku nemôžu splniť. Potvrdilo to aj rozhodnutie Európskeho súdneho dvora zrušiť dohody "Safe Harbor" aj "Privacy Shield" v rozsudkoch Schrems I a Schrems II v roku 2015, resp. 2020.
Spoločnosť Meta tieto rozsudky v posledných rokoch ignorovala, čo viedlo k pokute vo výške 1,2 miliardy EUR a príkazu vrátiť všetky osobné údaje do svojich dátových centier v EÚ.
Meta dostala pokutu 395 miliónov EUR a zákaz používať osobné údaje na reklamy
Na základe záväzného rozhodnutia Európskeho výboru pre ochranu údajov udelil írsky úrad pre ochranu údajov (DPC) v januári 2023 spoločnosti Meta pokutu v celkovej výške 395 miliónov EUR za porušenia na sociálnych sieťach Facebook, Instagram a WhatsApp. Okrem toho bolo gigantovi v oblasti sociálnych médií zakázané používať osobné údaje na reklamu bez toho, aby požiadal svojich používateľov o súhlas.
Rozhodnutie nasledovalo po dvoch sťažnostiach, ktoré podal noyb v mene jedného rakúskeho a jedného belgického používateľa 25. mája 2018, čo znamená, že príslušnému orgánu (DPC) trvalo štyri a pol roka, kým dospel k rozhodnutiu po tom, ako EDPB zrušil svoj prvý návrh rozhodnutia v decembri 2022.
Spoločnosť Google dostala pokutu vo výške 50 miliónov eur za vynútený súhlas
Keď 25. júla 2018 nadobudlo účinnosť nariadenie GDPR, spoločnosť noyb podala sťažnosti na spoločnosti Google, Instagram, WhatsApp a Facebook za to, že nútili svojich používateľov akceptovať aktualizované zásady ochrany osobných údajov, ktoré im umožňovali obchádzať nový zákon o ochrane osobných údajov.
Zatiaľ čo tri z týchto sťažností sa vydali na ročnú cestu plnú nedodržiavania predpisov, prípad proti spoločnosti Google bol vyriešený v júni 2019: francúzsky úrad na ochranu údajov (CNIL) udelil technologickej spoločnosti pokutu vo výške 50 miliónov EUR, čo bola v tom čase najvyššia pokuta za porušenie ochrany osobných údajov v histórii.
Reklamná spoločnosť CRITEO dostala pokutu 40 mil
Koncom júna 2023 francúzsky úrad na ochranu osobných údajov (CNIL) uložil spoločnosti CRITEO, poprednej európskej spoločnosti v oblasti online reklamy a sledovania, pokutu vo výške 40 miliónov eur za porušenie práv dotknutých osôb a za nepreukázanie získania platného súhlasu.
Rozhodnutie nasledovalo po sťažnosti, ktorú v decembri 2018 podali organizácie noyb a Privacy International a ktorá bola zameraná na nedostatočnú možnosť odvolania súhlasu. Sťažnosť vyvolala rozsiahle vyšetrovanie CNIL, ktoré rozšírilo rozsah pôsobnosti na ďalšie oblasti a zistilo ďalšie porušenia GDPR vrátane nedostatočnej transparentnosti a nedodržania práva na vymazanie a práva na prístup.
Zoznamovacia aplikácia Grindr dostala pokutu 5,8 milióna eur
V roku 2020 sa spoločnosť noyb spojila s Nórskou radou spotrebiteľov (NCC), aby podala sťažnosť na LGBTQ+ zoznamovaciu aplikáciu Grindr za nezákonné zdieľanie osobných údajov používateľov so stovkami potenciálnych reklamných partnerov. Používatelia neboli riadne informovaní a súhlas nebol dostatočne konkrétny: Používatelia museli súhlasiť s celými zásadami ochrany osobných údajov a nie s konkrétnou operáciou spracovania, ako je napríklad zdieľanie údajov s inými spoločnosťami. Orgán DPA tiež zdôraznil, že používatelia musia mať možnosť odmietnuť súhlas bez negatívnych dôsledkov.
Rozhodnutím nórskeho orgánu bola spoločnosti Grindr pôvodne uložená pokuta vo výške takmer 10 miliónov eur. Po odvolaní bola pokuta v septembri 2023 znížená na konečnú sumu 5,8 milióna EUR.
Spoločnosť Spotify dostala pokutu vo výške 5 mil
Na základe noybovej sťažnosti a súdneho sporu v súvislosti s nečinnosťou švédsky úrad na ochranu údajov (IMY) uložil spoločnosti Spotify v júni 2023 pokutu vo výške 58 miliónov švédskych korún (približne 5 miliónov €). Hudobná streamovacia služba nedodržala v plnej miere povinnosť vyplývajúcu z nariadenia GDPR poskytnúť používateľom prístup ku všetkým ich údajom, ako aj informácie o tom, ako sa ich údaje používajú. Sťažnosť bola podaná už v roku 2019, pričom o nej nebolo rozhodnuté viac ako štyri roky.
Prvá veľká pokuta za používanie služby Google Analytics
V nadväznosti na 101 sťažností noyb týkajúcich sa nezákonného prenosu údajov medzi EÚ a USA z roku 2020 udelil švédsky orgán na ochranu údajov (IMY) v júli 2023 prvú veľkú pokutu za používanie služby Google Analytics. Hoci mnohé iné európske orgány (ako napr. Rakúsko, Francúzsko a Taliansko) už zistili, že používanie služby Google Analytics je v rozpore s GDPR, toto je prvá pokuta uložená spoločnostiam za používanie služby Google Analytics, a to napriek rozhodnutiam SDEÚ o prenosoch údajov medzi EÚ a USA.
Telekomunikačnému operátorovi Tele2 bolo nariadené zaplatiť ekvivalent 1 milióna EUR (12 mil. SEK), zatiaľ čo internetový predajca CDON musel zaplatiť 300 000 SEK.
Maltská IT spoločnosť dostala pokutu 65 000 EUR za únik údajov
Po masívnom úniku údajov maltských voličov v roku 2020 spolupracovala spoločnosť noyb s nadáciou Daphne Foundation a organizáciou Repubblika na podaní sťažností proti sprostredkovateľovi údajov C-Planet. Uniknuté osobné údaje obsahovali telefónne čísla, dátumy narodenia, volebné úmysly a politické preferencie viac ako 330 000 osôb.
V roku 2022 komisár pre ochranu informácií a údajov (IDPC) dospel k záveru, že spoločnosť C-Planet nezaviedla technické a organizačné opatrenia primerané riziku, a uložil IT spoločnosti pokutu 65 000 EUR. V rozhodnutí sa tiež potvrdilo, že spoločnosť C-Planet neoznámila IDPC porušenie ochrany údajov a včas neinformovala dotknuté osoby.
Netflix dostal pokutu 4,75 milióna eur
V decembri 2024 holandský úrad na ochranu údajov uložil spoločnosti Netflix pokutu vo výške 4,75 milióna EUR za to, že primerane nereagovala na žiadosti používateľov o prístup. Rozhodnutie poukazuje na niekoľko dôležitých problémov súvisiacich s vybavovaním žiadostí o prístup spoločnosťou Netflix: Netflix najmä neposkytol dostatočné informácie o tom, prečo údaje zhromažďuje a čo s nimi robí.
Úrad sa, žiaľ, nezaoberal ďalším dôležitým problémom uvedeným v našej sťažnosti: spoločnosť neposkytla ani úplnú kópiu údajov sťažovateľa.
Rozhodnutie vychádza z prípadu noyb, ktorý sa začal v januári 2019. Vtedy sme podali osem sťažností proti poskytovateľom streamovania, ako sú Amazon, Apple Music, Spotify, YouTube - a samozrejme Netflix.