Datatilsynet kan ilegge store gebyrer ved overtredelse av GDPR, samtidig som den som personopplysningene angår kan få rett til erstatning for økonomisk tap og tort/svie fra partene i et avtaleforhold hvor behandling av personopplysninger inngår. Statens standard avtaler har stort sett løst dette ved at gebyrene blir liggende hos den parten som blir ilagt gebyret, mens avtalene har etablert et ubegrenset ansvar for regresskrav hvor en rettighetshaver har holdt en part solidarisk ansvarlig for den andres brudd. Er dette ubegrensete ansvaret rimelig i alle situasjoner?
Hva som er rimelig er jo høyst subjektivt. Ofte vil ansvarsbestemmelser i en avtale i realiteten være fastsatt ut fra styrkeforholdet mellom kunde og leverandør. Dette vil være avgjørende uansett hvor urimelig eller rimelig en part mener bestemmelsene er.