Eftersom företag, myndigheter och föreningar måste följa GDPR, kan de även straffas om de inte uppfyller kraven.
Hur stora böterna blir beror på hur stor kränkningen av GDPR är. Maxstraffet företag kan drabbas av är antingen 20 miljoner euro i böter, eller böter motsvarande 4% av den årliga globala omsättningen. Vilket av dessa som är maxstraff bestäms därför av hur stor den årliga globala omsättningen är.