Регламентът беше приет през април 2016 г., но се прилага от 25 май 2018 г. Регламентът представлява промяна в защитата на личните данни, с цел опазване в максимална степен на дигиталните права на гражданите на ЕС срещу нерегламентирано използване на техните лични данни. Регламентът се отнася до всички търговски дружества, държавни и общински институции, но и до отделни лица, обработващи лични данни. В обхвата му попадат и онлайн услуги, при които се обработват лични данни на потребители – физически лица.

Общият регламент относно защитата на личните данни или ОРЗД (GDPR - General Data Protection Regulation) до този момент е най-пълният сбор от правила за защита на данните по света. Той е приложим за всеки, който събира или обработва личните данни на европейски граждани, включително дружества и институции извън ЕС, които развиват своята дейност на европейския пазар. Регламентът е насочен към дружества, институции и лица, които работят с лични данни и се отнася за техни служители, клиенти или доставчици, от различни сегменти и отрасли. Ще засегне и онези, които следят или анализират поведението на уеб потребителите при използването на приложения или „умни“ технологии. Независимо дали става въпрос за банкови или здравни учреждения, за държавна администрация или електронни магазини, обработването на личните данни трябва да е в съответствие с Регламент

Съгласието за обработване на лични данни съгласно Регламента означава, че ако обработването е извършено въз основа на съгласие, администраторът трябва да може да докаже, че физическото лице е дало съгласието си за обработване на данните, в израз на свободна воля и че съгласието е било конкретно за посочения повод, информирано, еднозначно и дадено без условие. Става дума за активно и доброволно волеизявление на субекта на данните, което не е дадено насила. Трябва да се има предвид, че субектът на данните има право по всяко време да оттегли своето съгласие, без да посочва причина за това, а от своя страна администраторът е длъжен да прекрати обработването на личните му данни за посочената цел.

Съгласието е само едно от правните основания, въз основа на които администраторът има право да обработва личните данни, като от гледна точка на практическата приложимост, според Регламента е всъщност на последно място. Съгласието винаги се предоставя за конкретната цел на обработване на данните, която трябва да е предварително известна на субекта на данните. Трябва да се има предвид, че оттеглянето на съгласие не означава, че администраторът на личните данни е длъжен да унищожи личните данни, тъй като оттеглянето на съгласие се извършва с оглед на конкретната цел, заради която са били обработвани данните. Въпреки това администраторът може да обработва личните данни и за други цели, но тогава трябва да използва друго правно основание за обработване на данните, като например законово задължение, договор или свой законен интерес.

• право на достъп до лични данни
• право на корекция
• право на заличаване ("правото да бъдеш забравен")
• право на ограничаване обработването на личните данни
• право на уведомяване за извършени корекции или изтриване на лични данни или ограничаване обработването на личните данни
• право на пренос на личните данни
• право на възражение
• право на отказ от автоматизирано обработване на данните, включително профилиране
• право на уведомяване, в случай на нарушения, свързани със сигурността на личните данни
• право на оттегляне на съгласие за обработване на личните данни