Genel Veri Koruma Yönetmeliği, Avrupa genelindeki AB vatandaşlarının kişisel verilerini korumak için oluşturulan yönetmelik olarak tanımlanır. Kısaca GDPR olarak bilinen bu yönetmelik, Avrupa Birliği dahilindeki tüm vatandaşların bilgilerini saklayan bütün işletmeleri, kurumları ve kuruluşları kapsar. Hatta sınırları Avrupa birliği dışında olan işletmeler dahi, eğer AB vatandaşlarının kişisel bilgilerini kendi sistemine işliyor ya da bünyesinde saklıyorsa GDPR’dan sorumlu tutulacaktır. Buradaki “kişisel veri” ifadesinden kasıt; kişilerin isim, soy isim ve kimlik numarası bilgileri, konum, adres, IP numarası ya da internet verileri, biyometrik bilgileri, ırk ya da köken bilgisi, siyasi görüşü veya tıbbi verileri olarak belirtilebilir. Yönetmeliğe göre hiçbir kişisel bilgi, veri sahibinin açık rızası olmaksızın işlenemez. Yazılı onay alındıktan sonra bile kişisel veri sahibi bu onayı dilediği zaman iptal etme hakkını saklı tutar. Eğer kişisel veri saklayan ve işleyen kurumlar bu kurala uymazsa, yasalar karşısında suçlu sayılır ve ciddi yaptırımlarla karşılaşır.
GDPR, tüm sektörlerin yanı sıra e-ticaret açısından da oldukça büyük önem taşır. Kullanıcı profilleri oluşturan web siteleri veya forumlar, üyelerin ürün/hizmet alışverişi yaptığı sanal mağazalar veya bu siteleri kurmak için faydalanılan wordpress siteleri GDPR kapsamına girer. Yönetmelik, bireylerin verilerini işleyen şirketlerin, kurumların ve kuruluşların nerede bulunduklarının önemli olmadığını açıkça söyler. Dolayısıyla fiziksel olarak herhangi bir yerde bulunmayan internet tabanlı işletmeler de kişisel veri işleyip sakladıkları takdirde bu tüzükten etkilenecektir. Yönetmeliğin kurallarına karşı gelenler için uygulanacak yaptırımlar belli kriterlere göre belirlenir. Örneğin bir işletme GDPR’a ilk defa ve kasıtsız olarak karşı geldiğinde öncelikle yazılı olarak uyarılır. Daha sonra düzenli aralıklara denetimler başlar. Genel Veri Koruma Yönetmeliği’nin 8., 11., 25., 39., 41., 42. ve 43. maddelerinin ihlal edilmesi durumunda, o işletmeye 10 milyon euro’ya veya şirketin yıllık cirosunun %2’sine kadar tutarda maddi yaptırım uygulanır. Ayrıca rıza koşulları dahil verilerin işlenmesindeki temel ilkeler, veri sahiplerinin hakları, üçüncü bir ülkeye veya uluslararası bir başka kuruma verilerin transfer edilmesi ya da denetleme otoritesinin emirleri ile ilgili konularda ihlaller olduğunda ise GDPR’a göre söz konusu şirketin, yıllık cirosunun %4’üne kadar para cezası ödemesi mümkün.