หลังจากทำงานและเจรจามาเป็นเวลาสี่ปี กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป (GDPR) ซึ่งแทนที่ข้อกำหนดปี 1995 มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 GDPR ทำให้เกิดการเปลี่ยนแปลงครั้งใหญ่ในสภาพแวดล้อมด้านกฎระเบียบด้านความเป็นส่วนตัวของข้อมูล การเปลี่ยนแปลงครั้งสำคัญที่ประกาศโดย GDPR นั้นอยู่ในขอบเขตอาณาเขตที่ขยายออกไปของแอปพลิเคชัน ตอนนี้ ธุรกิจใดๆ ก็ตาม โดยไม่คำนึงถึงสถานที่ตั้งของนิติบุคคล จะต้องปฏิบัติตาม GDPR หากเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของบุคคลภายในสหภาพยุโรปในทางใด GDPR แยกความแตกต่างระหว่างผู้ควบคุมข้อมูล (ซึ่งกำหนดว่า ‘ทำไม’ และ ‘ข้อมูลส่วนบุคคลควรได้รับการประมวลผลอย่างไร’) และผู้ประมวลผลข้อมูล (ซึ่งมีหน้าที่รับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม) โดยมีภาระหน้าที่ต่างกันในทั้งสองหมวดหมู่ บริษัทต้องกำหนดบทบาทของตนในฐานะผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล เพื่อที่จะเข้าใจภาระผูกพันและข้อกำหนดเฉพาะของ GDPR อย่างครอบคลุม ภายใต้ GDPR ผู้ประมวลผลมีภาระผูกพันทางกฎหมายและความรับผิดทางกฎหมายเฉพาะในส่วนที่เกี่ยวกับการละเมิดข้อมูล ในการประมวลผลข้อมูลส่วนบุคคลตามกฎหมายตามข้อกำหนดของ GDPR การประมวลผลข้อมูลส่วนบุคคลจะได้รับอนุญาตก็ต่อเมื่อถูกกฎหมายและโปร่งใส เพื่อวัตถุประสงค์เฉพาะ จำกัดเฉพาะข้อมูลที่เกี่ยวข้องซึ่งจำเป็นเกี่ยวกับวัตถุประสงค์นี้ และปลอดภัยอย่างเหมาะสม ผู้ควบคุมต้องตรวจสอบให้แน่ใจว่าผู้ประมวลผลข้อมูลเสนอการรับประกันที่เพียงพอเกี่ยวกับข้อกำหนดของ GDPR โดยมีสัญญาเป็นลายลักษณ์อักษรเกี่ยวกับการค้ำประกันเหล่านี้ที่ทำขึ้นระหว่างกัน
