Hình phạt áp dụng cho các công ty công nghệ theo GDPR kể từ năm 2018 đến nay:
1. Meta (Facebook): Bị Ủy ban Bảo vệ Dữ liệu Ireland (DPC) phạt 1,2 tỷ euro (~1,31 tỷ USD) vào tháng 5/2023 vì vi phạm các quy định về việc chuyển dữ liệu cá nhân của người dùng Facebook ra khỏi Liên minh Châu Âu.
2. Amazon: Bị Ủy ban Bảo vệ Dữ liệu Quốc gia Luxembourg (CNPD) phạt 746 triệu euro (~815 triệu USD) vào tháng 7/2021 sau khi có khiếu nại rằng việc công ty này sử dụng dữ liệu cá nhân để nhắm mục tiêu quảng cáo là không có sự đồng ý.
3. Meta (Instagram): Bị DPC của Ireland phạt 405 triệu euro (~443 triệu USD) vào tháng 9/2021 vì không xử lý được dữ liệu của trẻ vị thành niên.
4. Meta (Instagram và Facebook): Bị DPC của Ireland phạt tổng cộng 390 triệu euro (~426 triệu USD) vào tháng 1/2023 vì không có cơ sở pháp lý hợp lệ để xử lý dữ liệu người dùng cho mục đích nhắm mục tiêu quảng cáo.
5. ByteDance (TikTok): Bị DPC của Ireland phạt 345 triệu euro (~377 triệu USD) vào tháng 9/2023 vì không xử lý được dữ liệu của trẻ vị thành niên.
6. Meta (Facebook và Instagram): Bị DPC của Ireland phạt 265 triệu euro (~290 triệu USD) vào tháng 11/2022 vì vi phạm bảo vệ dữ liệu theo mặc định và thiết kế sau khi một số tính năng của nền tảng, bao gồm công cụ nhập danh bạ và tìm kiếm, khiến dữ liệu cá nhân của hàng trăm triệu người dùng có thể bị tất cả người dùng khác phát hiện.
7. Meta (WhatsApp): Bị DPC của Ireland phạt 225 triệu euro (~246 triệu USD) vào tháng 9/2021 vì vi phạm nghĩa vụ minh bạch của GDPR và không làm rõ với người dùng về cách công ty này xử lý dữ liệu của họ.
8. Alphabet/Google (Android): Bị Ủy ban Quốc gia về Tin học và Tự do của Pháp (CNIL) phạt 50 triệu euro (~55 triệu USD) vào tháng 1/2019 vì thiếu minh bạch và không xin phép liên quan đến nền tảng di động Android.
9. Meta (Facebook): Bị DPC Ireland phạt 17 triệu euro (~18,5 triệu USD) vào tháng 3/2022 vì một loạt vi phạm bảo mật được cho là đã ảnh hưởng đến 30 triệu người dùng.
10. ByteDance (TikTok): Bị Văn phòng Ủy viên Thông tin (ICO) của Vương quốc Anh phạt khoảng 14,8 triệu euro theo tỷ giá hối đoái hiện tại (~16 triệu USD) vào tháng 4/2023 trong một vụ án khác liên quan đến bảo vệ trẻ vị thành niên. (Lưu ý: Mặc dù Vương quốc Anh không còn là thành viên EU, nhưng các quy tắc bảo vệ dữ liệu của nước này vẫn dựa trên GDPR.)
Bên cạnh các Big Tech, nhiều công ty khác cũng bị ảnh hưởng bởi các quy định về bảo mật dữ liệu chung. Có thể kể đến vụ việc của gã khổng lồ công nghệ quảng cáo Criteo đã bị CNIL của Pháp phạt sơ bộ 60 triệu euro (~65 triệu USD) vào tháng 8/2022 vì một loạt vi phạm GDPR. Nhưng vào tháng 6/2023, mức phạt đã giảm xuống còn 40 triệu euro (~44 triệu USD) sau khi gã khổng lồ công nghệ quảng cáo này đưa ra các tuyên bố. Việc thực thi sau khi có khiếu nại rằng Criteo không có sự đồng ý của người dùng để theo dõi và lập hồ sơ cho mục đích nhắm mục tiêu quảng cáo.
Một ví dụ nữa là công ty khởi nghiệp AI có trụ sở tại Hoa Kỳ Clearview AI đã bị phạt tối đa (20 triệu euro hoặc khoảng 22 triệu USD dựa trên doanh thu) ba lần vào năm 2022 bởi các cơ quan bảo vệ dữ liệu ở Ý, Hy Lạp và Pháp. Các lệnh trừng phạt là vì xử lý dữ liệu bất hợp pháp do chiến thuật thu thập ảnh “tự sướng” khỏi internet để đào tạo công cụ AI khớp ID nhận dạng khuôn mặt. Cùng năm đó, ICO của Vương quốc Anh cũng áp dụng lệnh trừng phạt nhẹ hơn đối với các vi phạm GDPR, vì vậy các hoạt động của công ty khởi nghiệp gây tranh cãi này đã thu hút rất nhiều tranh cãi.