Nerespectarea regulamentului privind protecţia datelor se poate sancţiona cu amenzi de până la 20 de milioane de euro sau până la 4% din cifra de afaceri.

România este pe locul 3, după Spania şi Germania, la numărul de amenzi. În total, de la introducerea GDPR în România au fost aplicate 26 de sancţiuni. Cea mai mare amendă, în valoare de 150 de mii de euro  fost aplicată unei bănci.

Persoanele care consideră că le-au fost violate drepturile privind protecţia datelor pot solicita despăgubiri în instanţă. 

Datele persoanle se referă la nume, adresă, numărul cărţii de identitate/paşaportului, venit, profil cultural, adresa IP (Internet Protocol), datele deţinute de medici sau spitale (care identifică o persoană în scopuri medicale). De asemenea, nu se pot procesa date cu privire la originea rasială sau etnică, orientarea sexuală, opiniile politice, convingerile religioase sau filosofice, apartenenţa sindicală, datele genetice, biometrice sau medicale, cu excepţia unor cazuri specifice (de exemplu, când persoana şi-a dat consimţământul explicit sau când procesarea este necesară din motive care ţin de un interes public major, definit de legislaţia europeană sau naţională), infracţiuni sau condamnări penale, cu excepţia cazului în care acest lucru este autorizat de legislaţia naţională sau europeană.

Regulamentul GDPR nu se aplică în cazul persoaneor decedate sau sau al persoanelor juridice.