Hovedregelen om erstatning i første ledd innebærer at for å unngå erstatningsansvar må den behandlingsansvarlige bevise at han ikke har vært uaktsom ("culpa-ansvar med omvendt bevisbyrde"). Det vil i praksis være vanskelig for behandlingsansvarlig å vise dette dersom dokumentasjon i samsvar med § 13 om informasjonssikkerhet og § 14 om internkontroll mangler. Manglende dokumentasjon etter § 13 er i seg selv et brudd på loven som kan medføre straff, jf § 48 bokstav e.
- For behandlingsansvarlige som formidler kredittopplysninger inntrer erstatningsansvar selv om den behandlingsansvarlige ikke har gjort feil ("objektivt ansvar").
- Erstatningen kan både dekke det økonomiske tapet og oppreisning for ikke-økonomisk skade, dvs for den belastning og ubehag mv som den skadelidte er påført på grunn av lovbruddet/feilen.
- Det er ikke bare registrerte personer som kan få erstatning. Også personer eller virksomheter som for eksempel mottar uriktige personopplysninger og som lider tap på grunn av dette, kan kreve erstatning fra behandlingsansvarlige.
- Det er domstolene (ikke Datatilsynet og Personvernnemnda) som kan fastsette erstatning i samsvar med § 49.
