Avrupa Parlamentosu Nisan 2016’da 95/46/EC sayılı Direktif’i geçersiz kılacak olan Tüzük’ü kabul etmiştir. Tüzük, AB ülkelerinde gerçekleşen işlemler sırasında şirketlere AB vatandaşlarının kişisel veri ve gizliliğini korumaları adına bazı yükümlülükler getirmektedir. Tüzük aynı zamanda kişisel verilerin AB’den dışarı aktarılması konusunda da birtakım düzenlemeler içermektedir.
AB vatandaşlarına ilişkin kişisel veri toplayan şirketlerin bu katı kurallara uyum sağlaması gerekmektedir. Tüzük ilgili kişilerin kendi verileri üzerindeki haklarına ilişkin yeni standart belirleyerek veri sorumlularını bunlara uyum yükümlülüğü getirmektedir.
AB ülkelerinde AB vatandaşlarının kişisel verilerini işleyen her şirket, AB’de fiziki varlığı bulunmasa bile GDPR ile uyumlu faaliyet göstermek yükümlülüğü altındadır.