25. mail 2018 hakkas kehtima Euroopa Parlamendi isikuandmete kaitse üldmäärus ehk GDPR (General Data Protection Regulation). GDPR on õigusaktina kehtiv ja vahetult kohaldatav Euroopa Liidu riikides, sealhulgas ka Eestis.
Uus regulatsioon kohaldub ettevõtetele, kes töötlevad andmeid füüsiliste isikute kohta ja selle eesmärk on kaitsta Euroopa Liidu põhiõiguste hartas nimetatud igaühe õigust oma isikuandmete kaitsele.
Kuna üldmäärus on kohaldatav kõikides Euroopa Liidu liikmesriikides, on vajalik arvestada ka kohalike eripäradega, mistõttu on liikmesriikidele pandud kohustus täpsustada määruse nõudeid ja samuti kehtestada kohalduvad karistusnormid. Juba 27. aprillil 2016. aastal vastu võetud määruses nähti selleks otstarbeks ette enam, kui kahe aastane ooteperiood.
Eestis aga kehtib jätkuvalt 2016. aastal vastu võetud isikuandmete kaitse seadus, mis ei põhine GDPR-i regulatsioonil ja selle korrektsel rakendamisel. Uus isikuandmete kaitse seaduse eelnõu on hetkel küll riigikogu menetluses teisel lugemisel, kuid selle vastuvõtmise ja jõustumise aeg ei ole selged.
Seega ei ole selge, kuidas GDPR Eestis kohaldub. GDPR küll kehtib, kuid selle alusel trahve määrata ei saa, sest kehtiva regulatsiooni alusel järelevalveasutusel (Andmekaitse Inspektsioon) selline pädevus puudub.