Den allmänna dataskyddsförordningen är en förordning i EU-rätten om dataskydd och personuppgiftsskydd inom EU och Europeiska ekonomiska samarbetsområdet (EES). GDPR är en viktig del av EU:s integritetslagstiftning och av människorättslagstiftningen, i synnerhet artikel 8(1) i stadgan om de grundläggande rättigheterna inom Europeiska unionen. Den behandlar också överföring av personuppgifter utanför EU- och EES-områdena. GDPR:s primära mål är att förbättra individers kontroll och rättigheter över deras personliga data och att förenkla den regulatoriska miljön för internationell verksamhet. Förordningen ersätter dataskyddsdirektivet 95/46/EG, och innehåller bestämmelser och krav relaterade till behandling av personuppgifter om individer, formellt kallade ”datasubjekt”, som befinner sig i EES, och gäller för varje företag – oberoende av dess plats och de registrerades medborgarskap eller hemvist – det vill säga behandling av personuppgifter till individer inom EES.
GDPR antogs den 14 april 2016 och började gälla från den 25 maj 2018. Eftersom GDPR är en förordning, inte ett direktiv, är den direkt bindande och gällande, och ger flexibilitet för vissa aspekter av förordningen som kan justeras av de enskilda medlemsländerna.
Förordningen blev en modell för många andra lagar runt om i världen, inklusive i Turkiet, Mauritius, Chile, Japan, Brasilien, Sydkorea, Sydafrika, Argentina och Kenya. Från och med den 6 oktober 2022 behåller Storbritannien lagen i identisk form trots att de inte längre är en medlemsstat i EU. California Consumer Privacy Act (CCPA), som antogs den 28 juni 2018, har många likheter med GDPR.