GDPR ger dataskyddsmyndigheterna befogenhet att ålägga administrativa böter på upp till 4% av ett företags årsomsättning eller 20 miljoner euro om de bryter mot GDPR, beroende på vilket belopp som är högst.
Syftet med dessa böter är att avskräcka från liknande överträdelser i framtiden. Även om en noyb-studie visade att de är bland de mest effektiva verkställighetsverktyg som finns tillgängliga för myndigheter, är betydande böter för GDPR-överträdelser extremt sällsynta. Böterna går till det land där förfarandet äger rum, vilket nästan alltid är det land där det bötfällda företaget har sitt huvudkontor.
Sedan 2018 har följande böter utdömts på grundval av noyb-klagomål:
böter på 1,2 miljarder euro till Meta för dataöverföring mellan EU och USA
I slutet av 2023 dömdes Meta till böter på 1,2 miljarder euro och ålades att sluta överföra européers personuppgifter till USA. Företaget omfattas av amerikanska övervakningslagar som FISA 702, som gör det möjligt för den amerikanska regeringen att spionera på icke-amerikanska medborgare utan sannolika skäl eller rättsligt godkännande.
Detta strider mot EU-lagstiftningen, som kräver "väsentligen likvärdigt" skydd för uppgifter som överförs utanför EU. Amerikanska företag som Meta kan inte uppfylla detta krav. Detta bekräftades också av EU-domstolens beslut att ogiltigförklara både "Safe Harbor" och "Privacy Shield" -avtalen i sina Schrems I- och Schrems II-domar 2015 respektive 2020.
Meta har ignorerat dessa domar under de senaste åren, vilket resulterade i böter på 1,2 miljarder euro och en order att återlämna alla personuppgifter till sina datacenter i EU.
Meta bötfälls med 395 miljoner euro och förbjuds att använda personuppgifter för annonser
Efter ett bindande beslut av Europeiska dataskyddsstyrelsen dömde den irländska dataskyddsmyndigheten (DPC) Meta till böter på totalt 395 miljoner euro för överträdelser på Facebook, Instagram och WhatsApp i januari 2023. Dessutom förbjöds den sociala mediejätten att använda personuppgifter för reklam utan att be sina användare om samtycke.
Beslutet följer på två klagomål som noyb lämnade in för en österrikisk och en belgisk användares räkning den 25 maj 2018, vilket innebär att det tog den behöriga myndigheten (DPC) fyra och ett halvt år att nå ett beslut efter att EDPB hade upphävt sitt första utkast till beslut i december 2022.
Google bötfälls med 50 miljoner euro för påtvingat samtycke
När GDPR trädde i kraft den 25 juli 2018 lämnade noyb in klagomål mot Google, Instagram, WhatsApp och Facebook för att ha tvingat sina användare att acceptera uppdaterade integritetspolicyer som gjorde det möjligt för dem att kringgå den nya integritetslagen.
Medan tre av dessa klagomål påbörjade en årslång resa full av bristande efterlevnad, löstes fallet mot Google i juni 2019: den franska dataskyddsmyndigheten (CNIL) bötfällde teknikföretaget med 50 miljoner euro, vilket vid den tidpunkten var det högsta bötesbeloppet någonsin för en integritetsöverträdelse.
Reklamföretaget CRITEO bötfälls med 40 miljoner euro
I slutet av juni 2023 bötfällde den franska dataskyddsmyndigheten (CNIL) CRITEO, ett ledande europeiskt företag inom onlineannonsering och spårning, med 40 miljoner euro för att ha kränkt den registrerades rättigheter och inte kunnat bevisa att man hade erhållit giltigt samtycke.
Beslutet följde på ett klagomål som lämnades in av noyb och Privacy International i december 2018 och som gällde avsaknaden av ett lämpligt alternativ för att återkalla samtycke. Klagomålet utlöste en omfattande utredning av CNIL, som utvidgade omfattningen till andra områden och fann ytterligare GDPR-överträdelser, inklusive bristande transparens och underlåtenhet att följa rätten till radering och rätten till tillgång.
Dejtingappen Grindr bötfälls med 5,8 miljoner euro
År 2020 lämnade noyb tillsammans med norska konsumentrådet (NCC) in ett klagomål mot HBTQ+-dejtingappen Grindr för att olagligt ha delat personliga användardata med hundratals potentiella reklampartners. Användarna informerades inte på rätt sätt och samtycket var inte tillräckligt specifikt: Användarna var tvungna att samtycka till hela integritetspolicyn och inte till en specifik behandling, t.ex. att dela uppgifter med andra företag. Datainspektionen betonade också att användarna måste kunna vägra samtycke utan negativa konsekvenser.
Den norska myndighetens beslut innebar ursprungligen att Grindr ålades böter på nästan 10 miljoner euro. Efter ett överklagande sänktes böterna till ett slutligt belopp på 5,8 miljoner euro i september 2023.
Spotify bötfälls med 5 miljoner euro
Efter ett klagomål från Noyb och en rättstvist om passivitet har Datainspektionen (IMY) bötfällt Spotify med 58 miljoner svenska kronor (ca 5 miljoner euro) i juni 2023. Musikstreamingtjänsten uppfyllde inte fullt ut GDPR:s krav på att ge användarna tillgång till alla sina uppgifter, samt information om hur deras uppgifter används. Klagomålet lämnades in redan 2019 och avgjordes inte förrän efter mer än fyra år.
Första stora böterna för användning av Google Analytics
Efter noybs 101 klagomål om olagliga dataöverföringar mellan EU och USA från 2020 utfärdade den svenska dataskyddsmyndigheten (IMY) det första stora bötesbeloppet för användning av Google Analytics i juli 2023. Även om många andra europeiska myndigheter (t.ex. Österrike, Frankrike och Italien) redan har funnit att användningen av Google Analytics strider mot GDPR, är detta det första bötesbeloppet som åläggs företag för användning av Google Analytics, trots EU-domstolens domar om dataöverföringar mellan EU och USA.
Teleoperatören Tele2 dömdes att betala motsvarande 1 miljon euro (12 miljoner kronor), medan e-handlaren CDON fick betala 300.000 kronor.
Maltesiskt IT-företag bötfälls med 65.000 euro för dataläcka
Efter en massiv dataläcka av maltesiska väljares uppgifter 2020 samarbetade noyb med Daphne Foundation och Repubblika för att lämna in klagomål mot datamäklaren C-Planet. De läckta personuppgifterna omfattade telefonnummer, födelsedatum, röstningsintentioner och politiska sympatier för mer än 330 000 personer.
Under 2022 drog Information & Data Protection Commissioner (IDPC) slutsatsen att C-Planet hade underlåtit att genomföra tekniska och organisatoriska åtgärder som var lämpliga med hänsyn till risken och bötfällde IT-företaget med 65 000 euro. Beslutet bekräftade också att C-Planet inte hade underrättat IDPC om dataintrånget och inte heller informerat de berörda personerna i tid.
Netflix bötfälls med 4,75 miljoner euro
I december 2024 dömde den nederländska dataskyddsmyndigheten Netflix till böter på 4,75 miljoner euro för att inte ha svarat på användarnas begäran om tillgång till uppgifter. Beslutet belyser ett antal viktiga problem med Netflix hantering av åtkomstförfrågningar: Framför allt gav Netflix inte tillräcklig information om varför man samlar in uppgifter och vad man gör med dem.
Tyvärr tog myndigheten inte upp en annan viktig fråga som nämndes i vårt klagomål: företaget tillhandahöll inte ens en fullständig kopia av den klagandes uppgifter.
Beslutet grundar sig på ett noyb-ärende som inleddes i januari 2019. Vid den tidpunkten lämnade vi in åtta klagomål mot streamingleverantörer som Amazon, Apple Music, Spotify, YouTube - och naturligtvis Netflix.