Một trong những yếu tố lớn nhất và được nhắc đến nhiều nhất của GDPR là khả năng các cơ quan quản lý nhằm vào các doanh nghiệp không tuân thủ các khoản tiền phạt khổng lồ: nếu một tổ chức không xử lý dữ liệu của một cá nhân theo đúng cách, tổ chức đó có thể bị phạt; không có nhân viên bảo vệ dữ liệu - có thể bị phạt; vi phạm an toàn thông tin - đều có thể bị phạt.
Theo quy định của mỗi nước, các hình phạt tiền tệ này do cơ quan quản lý dữ liệu quyết định và các khoản tiền phạt sẽ được chuyển vào kho bạc. GDPR quy định các hành vi phạm tội nhỏ hơn có thể dẫn đến khoản tiền phạt lên tới 10 triệu euro hoặc 2% doanh thu toàn cầu của một công ty (tùy theo mức nào lớn hơn). Các vi phạm GDPR lớn nhất có thể phải đối mặt với những hậu quả nghiêm trọng hơn: tiền phạt lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu của một công ty (tùy theo mức nào lớn hơn). Đây là những quy định rất khắt khe so với những quy định trước đó của các nước. Chẳng hạn, theo chế độ bảo vệ dữ liệu trước đây của Anh, nước này chỉ có thể đưa ra mức phạt lên tới 500.000 bảng Anh.
Trước khi GDPR được triển khai, đã có nhiều lo ngại từ phía các doanh nghiệp rằng các cơ quan quản lý bảo vệ dữ liệu sẽ phạt các công ty vi phạm luật với số tiền phạt khổng lồ. Điều này đã không xảy ra. Các cuộc điều tra bảo vệ dữ liệu có thể kéo dài và phức tạp - nếu sai, họ có thể bị kiện thông qua tòa án.
Một trong những khoản tiền phạt lớn nhất theo GDPR cho đến nay nhằm vào Google: cơ quan quản lý bảo vệ dữ liệu của Pháp, Ủy ban Bảo vệ Dữ liệu Quốc gia (CNIL), đã phạt công ty 50 triệu euro. Tuy nhiên, con số này thấp hơn nhiều so với mức phạt tối đa theo GDPR là 4% doanh thu toàn cầu của Google (con số này sẽ là 3,7 tỷ euro). CNIL cho biết khoản tiền phạt được ban hành vì hai lý do chính: Google không cung cấp đủ thông tin cho người dùng về cách họ sử dụng dữ liệu mà họ nhận được từ 20 dịch vụ khác nhau và cũng không nhận được sự đồng ý thích hợp để xử lý dữ liệu người dùng.
Ứng dụng của La Liga theo dõi những người đã tải xuống ứng dụng này cũng bị phạt, Ngân hàng DSK của Bulgaria cũng từng bị phạt vì vô tình tiết lộ thông tin chi tiết về khách hàng; một số trường học đã theo dõi học sinh cũng bị nhận án phạt.
Vào năm 2018, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) đã thông báo mức phạt lên tới 99,2 triệu bảng Anh (khoảng 129 triệu USD) đối với khách sạn Marriott, xấp xỉ 3% doanh thu toàn cầu của Marriott vào năm 2018 sau sự cố khách sạn này làm rò rỉ thông tin của 399 khách hàng. Cũng cùng năm 2018, ICO định phạt British Airways với mức kỷ lục là 183,4 triệu bảng vì để lộ thông tin bao gồm số thẻ tín dụng của 380.000 khách hàng. Tuy nhiên, khi thực thi quyết định vào năm 2020 kết quả là British Airways chỉ bị phạt 20 triệu bảng và Mariott chỉ bị phạt 18,4 triệu bảng, một phần nguyên nhân là vì cuộc khủng hoảng mà ngành hàng không và khách sạn phải đối mặt do đại dịch Covid-19.
Cơ quan chủ quản: Văn phòng Quốc hội
