Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustí. Pokutu lze udělit buď do výše  10 000 000 eur (nebo až do 2 % celkového ročního celosvětového obratu, jde-li o podnik)  nebo do výše  20 000 000 eur (nebo až do 4 % celkového ročního celosvětového obratu, jde-li o podnik) 

Výše pokut je stanovená podle důležitosti porušených povinností. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou zahrnuta například porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů. 

V letech 2018 až 2020 uložil Úřad pro ochranu osobních údajů (ÚOOÚ) za porušení GDPR pokuty ve výši skoro 2,9 milionu korun, i s letoškem je to celkem 6,370 milionu korun. Nejvyšší pokuta za porušení nařízení činila 666 000 korun.