Med ikrafttrædelsen af Databeskyttelsesforordningen blev der indført et nye bødeniveau, der er langt højere end det, vi tidligere har kendt i Danmark. Hvor den største bøde, der er blevet givet på baggrund af den gamle persondatalov, var kr. 25.000,00, introducerede databeskyttelsesforordningen muligheden for bøder på op til kr. 150 mio. Justitsministeriets betænkning om databeskyttelsesforordningen pointerer da også, at vi godt kan vinke de tidligere kendte bødeniveauer farvel. Vi afventer imidlertid stadig et peg i retning af, hvor meget det kommer til at koste at bryde loven.
Tilbageholdenheden med at uddele bøder, som vi har set indtil nu, kan bero på mange ting, men et af monumenterne kan være, at bødeniveauerne ønskes harmoniseret i EU. Hver enkelt krænkelse skal vurderes selvstændigt, men der er et EU-retligt ønske om, at sanktionerne skal harmoniseres og se ens ud i alle lande. Så to identiske forseelser i to forskellige lande skal mødes med bøder af samme størrelse. Praksis fra andre EU lande kan hermed få betydning for sanktionernes størrelse. Spørgsmålet er hvem, der vil være frontløber, og give et bud på hvad en bestemt krænkelse skal koste. Et andet moment, der må have betydning, er de nationale tilsynsmyndigheders forståelse for, at databeskyttelsesforordningen betyder, at mange virksomheder skal ændre deres praksis for at omgå persondata, og at dette ikke er en let opgave.
Giovanni Buttarelli, europas data protection supervisor, har dog fornyeligt udtalt, at han forventer at se de første bøder inden udgangen af dette år. Disse bøder vil give os et peg i retning af, hvor dyrt det bliver for virksomheder og myndigheder at tilsidesætte reglerne.