De General Data Protection Regulation (GDPR) is een privacywet die van toepassing is op het verzamelen, gebruiken en verwerken van persoonsgegevens in de Europese Unie (EU). Toestemming is een van de verschillende rechtsgronden voor de verwerking van persoonsgegevens onder de GDPR, maar niet de enige: persoonsgegevens kunnen ook worden verwerkt op basis van verschillende rechtsgronden, zoals gerechtvaardigd belang, contract of wettelijke verplichting.
GDPR-toestemming moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn. Om geldige toestemming te verkrijgen, moeten organisaties personen duidelijke en beknopte informatie verstrekken over de doeleinden waarvoor hun persoonsgegevens zullen worden gebruikt, en moeten zij een duidelijke en bevestigende indicatie krijgen van de toestemming van de betrokkene voor de verwerking van zijn gegevens. Dit kan gebeuren via een toestemmingsformulier of een soortgelijk mechanisme, zoals een aankruisvakje of een knop, maar niet via opt-outmechanismen. In tegenstelling tot andere privacywetgeving beschouwt de GDPR impliciete toestemming niet als geldig.