GDPR veri sorumlusu kuruluşlara ihlal durumlarında çok büyük cezalar verebilmektedir. Bu cezaların miktarları bir önceki mali yılın dünya çapındaki yıllık cirosunun % 4’üne veya 20 milyon Euro’ya kadar çıkmaktadır. Üst sınırlardan hangisi yüksekse o üst sınır uygulanmaktadır.
Kamu kuruluşları ve ana faaliyet alanı yüksek oranda kişisel veri işleme olan şirketler için veri koruma görevlisi (data protection officer) bulundurma zorunluluğu vardır. Ayrıca, veri sızıntısı durumunda, veri sorumlusu, bağlı olduğu yetkili ulusal otoriteye 72 saat içerisinde bilgi aktarmak zorundadır.
