Kara ta dotyczy między innymi: złamania przez ADO podstawowych zasad przetwarzania danych osobowych, w tym niedopilnowanie warunków pozyskania zgody, łamania praw osób, których dane dotyczą, nieprawidłowego przekazywania danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych itp..
Kara do 10 mln euro (lub do 2% całkowitego rocznego światowego obrotu) dotyczy naruszeń związanych między innymi z niewywiązaniem się przez ADO ze swoich obowiązków takich jak: obowiązek informacyjny, brak uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, błędnie prowadzony rejestr czynności przetwarzania lub jego brak, nieprawidłowe zabezpieczenie systemów informatycznych, nieprzeprowadzenie oceny skutków dla ochrony danych, brak powołania Inspektora Ochrony Danych jeśli istniał taki obowiązek.