Andmekaitse üldmäärus ehk (GDPR) kehtib kõikidele organisatsioonidele, kes töötlevad isikuandmeid Eesti territooriumil, olenemata nende suurusest või tegevusvaldkonnast. See tähendab, et ka väikese MTÜ või mõnekümne kliendiga ettevõtte kliendiregister peab vastama GDPR-i nõuetele, kui see sisaldab isikut identifitseerivat infot. Isikuandmetena käsitletakse laia valikut andmeid alustades tavapärasest nimest ja e-posti aadressist, lõpetades biomeetriliste andmete ja internetikasutuse jälgimisega.

Üks olulisimaid GDPR-i nõudeid on isikuandmete töötlemise läbipaistvus. Ettevõtted peavad suutma selgelt dokumenteerida, milliseid andmeid kogutakse, milleks neid kasutatakse, kes neile ligi pääsevad ja kuidas tagatakse nende turvalisus. Lisaks peavad tarbijad andma selge ja teadliku nõusoleku oma andmete töötlemiseks. Erilise tähelepanu all on laste isikuandmed, mille töötlemiseks on seaduses ette nähtud rangemad reeglid.

Ettevõtete, kes ei täida nõudeid, peab arvestama vähemalt järgmiste tagajärgedega:

1. Bürokraatlik tagajärg tähendab trahve.
2. Kohtulik, kui kannatanud kohtu kaudu hüvitist nõuavad.
3. Majanduslik, kui ettevõtte kliendid massiliselt lahkuvad.
4. Lisaks võivad mittevastavused põhjustada mainekahju.

Kui töötlete EL-i elanike isikuandmeid, st pakute kaupu või teenuseid, kehtivad teie ettevõttele GDPR nõuded. Pole tähtis, kas isik elab väljaspool EL-i . GDPR on loodud selleks, et kaitsta kõigi ELi kodanike isikuandmeid.