הפרת ה-GDPR כשלעצמה לא מזכה את נושא המידע הנפגע בפיצויים, אלא אם הוכיח שנגרם לו נזק (ממוני או בלתי-ממוני) ושהנזק נגרם כתוצאה מההפרה. כך פסק בית המשפט הגבוה באירופה (Court of Justice of the European Union - CJEU). פסק הדין ניתן בעניין תביעה שהגיש אזרח אוסטריה שתבע את חברת הדואר באוסטריה על הפרת ה-GDPR בכך שאספה מידע המעיד על דעותיהם הפוליטיות של לקוחות הדואר בלא שצייתה להוראות ה-GDPR העוסקות בעיבוד מידע רגיש כזה. בית המשפט באוסטריה שדן בתביעה ביקש שבית המשפט הגבוה באירופה יכריע בשאלות על אודות התנאים הנדרשים כדי לזכות נושא מידע בפיצויים על הפרת ה-GDPR.

בית המשפט האירופי קבע עוד כי אין צורך להוכיח רף מסוים של נזק כדי לזכות בפיצויים: גם אם הוכח נזק מינימלי כתוצאה מההפרה, נושא המידע זכאי לפיצויים על ההפרה, בהתאם לגובה המינימלי של הנזק. בית המשפט האירופי גם פסק כי ה-GDPR לא מתווה את הכללים להוכחת גובה הנזק ואומדן שלו, ועל כן בנושאים אלה יחול הדין המדינתי הרלוונטי. מקור: הודעה לעיתונות של בית המשפט האירופי.