(1)     Úrad môže uložiť pokutu do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia

a)    prevádzkovateľovi, vrátane orgánu verejnej moci a verejnoprávnym inštitúciám, za neplnenie alebo porušenie niektorej z povinností podľa § 15, § 18, § 31 až 35, § 37, § 39 až 45, § 79 a § 109 alebo podľa čl. 8, čl. 11, čl. 25 až 39, čl. 42 a čl. 43 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „nariadenie (EÚ) 2016/679“),

b)   príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností podľa § 67 až 72,

c)    sprostredkovateľovi vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení sprostredkovateľa, za neplnenie alebo porušenie niektorej z povinností podľa § 34 až 37, § 39, §  40 ods. 3, § 44, § 45, § 69 ods. 3, § 71, § 79 a § 109  alebo podľa čl. 27 až 33, čl. 37 až 39, čl. 42 a čl. 43 nariadenia (EÚ) 2016/679,

d)   certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 88 a 89 alebo podľa čl. 42 a 43 nariadenia (EÚ) 2016/679,

e)    monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 87 ods. 5 a 19 alebo podľa čl. 41 ods. 4 nariadenia (EÚ) 2016/679.

(2)     Úrad môže uložiť pokutu do  20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu kto 

a)    nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu podľa § 6 až 14, § 16 a § 52 až 58 alebo podľa čl. 5 až 7 a čl. 9 nariadenia (EÚ) 2016/679,

b)   nesplnil alebo porušil niektoré z práv dotknutej osoby podľa § 19 až 29 a § 59 až 66 alebo podľa čl. 12 až 22 nariadenia (EÚ) 2016/679,

c)    nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa § 49 až 51 a § 73 až 77 alebo podľa čl. 44 až 49 nariadenia (EÚ) 2016/679,

d)   nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov podľa § 78,

e)    nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom podľa § 81 ods. 3 alebo podľa čl. 58 ods. 2 nariadenia (EÚ) 2016/679 alebo v rozpore s čl. 58 ods. 1 nariadenia (EÚ) 2016/679 neposkytol prístup.

(3)     Tomu, kto nesplnil úradom uložené opatrenie podľa § 102 ods. 1 písm. a) alebo čl. 58 ods. 2 nariadenia (EÚ) 2016/679 môže úrad uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.