V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.
GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.
Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR.
Osobní údaje jsou jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa a fotografický záznam. U podnikající fyzické osoby tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.
Zvláštní kategorie jsou např.: údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.
Citlivé údaje jsou podle nařízení genetické, biometrické údaje a osobní údaje dětí. Ty podléhají mnohem přísnějším pravidlům.
Povinnost správců a zpracovatelů údajů (bez ohledu na jejich velikost nebo počet zaměstnanců) zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.