A GDPR jelentős változásokat hozott az adatkezelési szokásokban, előírásokban, melyekhez hozzátartozik a webáruházak adatkezelése is. Amíg korábban sok webshop dokumentum nélkül működött, addig most már a minta adatvédelmi tájékoztató sem elég általában, hanem minden webáruháznak saját, egyéni tájékoztatót kell készítenie, a saját webshopra, cégre jellemző adatkezelési jellemzők alapján.

Korábban csak azok a weboldalak számítottak adatkezelőnek, melyek hírleveleket küldtek, vagy nyereményjátékokat folytattak, a GDPR szerint azonban minden weboldal adatkezelő, amely személyes adatokat tárol. Ez gyakorlatban azt jelenti, hogy az ajánlatkérés, kapcsolatfelvétel is adatkezeléssel járhat, és be kell tartani hozzá az adatvédelmi szabályokat. Megszokott gyakorlat volt, hogy a jelölőnégyzet pe volt pipálva korábban, és figyelmetlenségből is fel lehetett iratkozni, ez azonban a GDPR szerint nem megfelelő, az érintettnek magának kell bepipálni az elfogadást.

Amikor a látogató, felhasználó megad valamilyen adatot egy webshopnál, akkor el kell fogadnia az adatvédelmi tájékoztatóban foglaltakat. Ehhez kapcsolódóan az adatvédelmi tájékoztatónak is tartalmaznia kell minden szükséges információt. Milyen adatokat tárolsz? Mennyi ideig? Miért kellenek ezek az adatok? Mi az adatkezelés jogalapja (pl. hozzájárulás vagy törvényi kötelezettség)? Stb.

A felhasználóknak lehetőséget kell adni arra is, hogy megváltoztassák eredeti döntésüket, és kérvényezhessék adataik törlését. Nem csak töröltetni van joguk azonban az adatokat, hanem számítógép által könnyen értelmezhető formában (pl. táblázatos formában) megkapni őket, és átvinni másik webshophoz, szolgáltatóhoz.