Những vụ kiện này yêu cầu phạt Facebook 3,9 tỷ euro và Google 3,7 tỷ euro (tổng cộng khoảng 8,8 tỷ USD). Các đơn kiện được nộp bởi nhà hoạt động bảo mật người Áo, anh Max Schrems. Anh là một người đã dành ra nhiều năm để chỉ trích hành vi thu thập dữ liệu của những công ty này.
GDPR yêu cầu phải có sự cho phép và phải có lí do rõ ràng cho các hành vi thu thập dữ liệu cá nhân từ phía người dùng, và những nguyên tắc này đã khiến hàng loạt các công ty trên mạng internet phải sửa đổi lại chính sách bảo mật và các biện pháp thu thập thông tin của mình.
Cả Google và Facebook đều đã tung ra các chính sách và các sản phẩm mới để tuân thủ theo GDPR, tuy nhiên các khiếu nại của Schrem lập luận rằng các chính sách đó đã không đi đủ xa. Đặc biệt là, đơn khiếu nại đã chỉ ra rằng các công ty này đã thu nhận được sự cho phép của người dùng bằng cách yêu cầu người dùng đánh dấu vào một cái ô vuông để có thể truy cập được vào các dịch vụ của công ty. Mặc dù đây là một hình thức phổ biến trên internet, những đơn khiếu nại lập luận rằng các công ty như Facebook và Google ép buộc người dùng phải đưa ra lựa chọn: hoặc là đồng ý hết tẩ cả các điều khoản, hoặc là không có được cái gì cả. Điều này vi phạm các điều khoản của GDPR, cho phép người dùng dịch vụ có thể đồng ý hay không đồng ý từng điều khoản cụ thể. Shrems nói với Financial Times rằng các hệ thống xin sự chấp thuận của người dùng hiện tại rõ ràng là đang không tuân thur theo GDPR. Anh nhận xét rằng; “Họ biết chắc là sẽ có những vì phạm. Họ còn không cố che giấu điều đó.”
Các đơn kiện sẽ được chia ra cho các sản phẩm cụ thể: một đơn kiện Facebook và 2 đơn kiện khác dành cho Instagram và WhatsApp. Đơn kiện thứ tư kiện hệ điều hành Android của Google. Cả hai công ty đều phủ nhận những cáo buộc này, lập luận rằng những biện pháp hiện tại đã đủ đáp ứng những yêu cầu của GDPR. Google còn thông báo: “Chúng tôi xây dựng quyền riêng tư và bảo mật cho các sản phẩm của chúng tôi từ những giai đoạn đầu tiên, và chúng tôi hoàn toàn cam kết tuân thủ GDPR của EU.” Facebook cũng đưa ra lí lẽ tương tự, nói rằng: “Chúng tôi đã chuẩn bị trong 18 tháng qua để đảm bảo rằng chúng tôi đáp ứng đủ các yêu cầu của GDPR.” Tham khảo The Verge
