Een van de belangrijkste verstrengingen van de GDPR ten opzichte van de Privacywet, is de regeling met betrekking tot de aansprakelijkheid van de verwerkingsverantwoordelijke en de verwerker. Daar waar onder de Privacywet een partij haar aansprakelijkheid contractueel kon afschuiven onder bepaalde voorwaarden, is dit niet meer mogelijk onder de GDPR. De GDPR is van dwingend recht dus de partijen die persoonsgegevens verwerken kunnen onderling slechts aanvullende afspraken maken die niet in strijd zijn met de GDPR.
Artikel 82, 1 GDPR bepaalt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.