W praktyce bowiem przypadki wszczęcia postępowania karnego wobec osób naruszających przepisy o ochronie danych osobowych były stosunkowo rzadkie. GIODO otrzymał uprawnienie do nakładania grzywien za niewykonanie decyzji wydanych na podstawie przepisów ustawy o ochronie danych osobowych (w trybie przepisów o egzekucji w administracji). Niezastosowanie się do decyzji nakazującej przywrócenie stanu zgodnego z prawem, przykładowo nakazującej usunięcie danych przetwarzanych niezgodnie z prawem lub zabezpieczenie danych przed nieuprawnionym dostępem osób trzecich, może się wiązać z grzywną w wysokości do 10 tys. zł w przypadku osoby fizycznej oraz do 50 tys. zł w przypadku osoby prawnej. Wielokrotne niezastosowanie się do tej samej decyzji może narazić osobę fizyczną na grzywnę w wysokości do 50 tys. zł, a osobę prawną do 200 tys. zł. Powyższe rozwiązania mają umożliwić GIODO skuteczną egzekucję przepisów o ochronie danych osobowych.

Wprowadzono także nową kategorią czynów, które będą stanowiły przestępstwo – chodzi tu o udaremnianie lub utrudnianie inspektorowi GIODO czynności kontrolnych. Za takie działanie będzie groziła kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2.

Wpisano również do ustawy możliwości odwołania (cofnięcia) zgody – co do tej pory było dyskusyjne.