Vészesen közeleg az Egységes Adatvédelmi Rendelet (GDPR) alkalmazásának kezdő időpontja, amely nem minden ok nélkül tartja izgalomban a cégeket, hiszen alapvető változásokat hoz az adatvédelemmel kapcsolatos kötelezettségek terén. A GDPR által érintett cégek egy szélesebb csoportját alkotják a webáruházakat üzemeltetők, hiszen nagy számban kezelnek vásárlói adatokat.
A legtöbb webshop esetében bevett gyakorlat, hogy a vásárlóktól a személyes adatok marketing célú kezelésére engedélyt kér a vásárlóktól. Amellett, hogy az adatkezelés a hatályos szabályok alapján is csupán megfelelő jogalap mellett történhet, a GDPR annyiban árnyalja a helyzetet, hogy előírja webshopok számára, hogy biztosítson lehetőséget a látogatóknak arra, hogy szabadon eldönthessék, mely adatkezeléshez járulnak hozzá, és melyhez nem. A gyakorlatban ez tehát azt jelenti, hogy a marketing célú adatkezeléshez való hozzájáruláshoz mindenképpen külön dokumentumot kell elfogadtatni a vásárlóval, mint azt, amelyikben a vásárlónak a vásárlás teljesítéséhez kapcsolódó adatainak a kezeléséhez járul hozzá.
Ez utóbbi helyet foglalhat a vásárlásra vonatkozó általános szerződési feltételekben, de a marketing hozzájárulás nem. Jogellenes ugyanis az a gyakorlat, amely a vásárlás lehetőségét valamely, a vásárláshoz közvetlenül nem szükséges adatkezeléshez való hozzájárulás (így például a marketing célú adatkezelés engedélyezése) megadásához köti, hiszen éppen az önkéntesség követelményének megsértését eredményezi a webáruház részéről.
A webes kereskedelemhez kapcsolódó adatkezelési és adatfeldolgozási módszerekhez szorosan kapcsolódik a profilalkotó algoritmusok alkalmazása. A GDPR e körben fokozott tájékoztatási kötelezettséget követel meg, mely alapján az érintetteket nem csupán a profilalkotásról, hanem annak módszeréről is tájékoztatni kell.