GDPR забезпечує чітке розмежування видів покарань та штрафних санкцій за порушення встановлених правил обробки та зберігання персональних даних. Величина штрафу залежить від нанесених збитків та величини штрафних санкцій, ступеню вини компанії.
Існує ряд випадків в яких величина штрафу може становити до 2% річного обігу (до 10 мільйонів євро), серед яких:
- Обробка даних дитини, яка не досягнула 16 років. Обробка дозволяється лише в тому випадку, коли батьки дали згоду.
- Обробка та зберігання даних, які не потребуються для ідентифікації користувача.
- Порушення технічного шифрування інформації.
- Відсутність угоди між контролерами персональних даних.
- Відсутність представника DPO в ЄС для компаній, які займаються регулярною обробкою Big Data жителів країн ЄС.
- При порушенні процедури обробки даних компанії отримувача конфіденційної інформації.
- Відсутність політики обробки, яка містить контактну інформацію ресурсу, опис категорії персональних даних, ціль обробки, відомості про можливу передачу інформації третім лицям, дату видалення, відомості про організаційні та технічні заходи безпеки.
- Відмова контролера, процесора або представника від співробітництва з наглядовим органом.
- Порушення організаційних заходів безпеки по обробці та збору інформації.
- Неповідомлення наглядового огляду про порушення безпеки персональних даних.
- Неповідомлення користувачів про порушення правил безпеки конфіденційності інформації.
- Відсутність оцінки ризику втрати даних.
- Контролер повинен повідомити, якщо обробка даних може стати причиною виникнення ризику для порушення прав фізичних осіб.
- Контролер та процесор повинні призначити інспектора, який буде відповідальним за захист конфіденційної інформації та надати йому підтримку.
- Відсутність механізмів сертифікації захисту відомостей при обробці, а також печатки та маркувальних знаків.