Pokiaľ niektorý zo zákazníkov či iných fyzických osôb toto právo využije, spracovatelia budú musieť všetky osobné údaje dotyčnej osoby zlikvidovať. Uchovávať osobné údaje nemožno dlhšie, než je to nevyhnutné. Každý e-shop by preto mal stanoviť lehoty, po uplynutí ktorých sa uchované údaje vymažú. Musí tiež zabezpečiť možnosť preskúmania ich správnosti a opravy nesprávnych údajov. Nariadenie prinieslo tiež zásadu minimalizácie osobných údajov. Spracúvať ich bude možné len v nevyhnutnom rozsahu a na určitý účel. Nariadenie GDPR sa pritom netýka len spracovateľov, ktorí osobné údaje spracúvajú plne automatizovanými prostriedkami (napr. počítačovým programom), ale aj tých, ktorí ich spracúvajú neautomatizovane (napr. písomne do záznamovej knihy) či čiastočne automatizovanými prostriedkami spracúvania (napr. časť údajov sa spracúva na počítači a časť písomne).
Každý e-shop musí zabezpečiť ochranu osobných údajov, ktoré spracúva nielen v súlade s nariadením GDPR ale aj novoprijatým zákonom o ochrane osobných údajov. Musí zabezpečiť dôvernosť osobných údajov, a tiež prijať opatrenia na zamedzenie neoprávnenému prístupu k nim a k zariadeniu, ktoré sa na spracúvanie používa. Osobné údaje by mali byť zoskupené do určitých skupín, resp. databáz, a to podľa účelu, na ktorý sa spracúvajú. Tieto skupiny, databázy či zoznamy sa označujú ako informačné systémy. E-shop môže mať informačný systém zhromažďujúci údaje o zákazníkoch, personálny a mzdový informačný systém zhromažďujúci informácie o zamestnancoch a pod. Každý spracúvateľ, e-shop, musí o jednotlivých informačných systémoch viesť evidenciu. Registrácia týchto informačných systémov sa síce po novom nevyžaduje, ale určité povinnosti si prevádzkovateľ voči Úradu na ochranu osobných údajov musí splniť.
