Den generelle databeskyttelsesforordningen er en forordning i EU-retten om databeskyttelse og personvern i EU og Det europeiske økonomiske samarbeidsområdet (EØS). The GDPR is an important component of EU privacy law and of human rights law, in particular Article 8(1) of the Charter of Fundamental Rights of the European Union. Den tar også for seg overføring av personopplysninger utenfor EU- og EØS-områdene. GDPRs primære mål er å forbedre enkeltpersoners kontroll og rettigheter over deres personlige data og å forenkle det regulatoriske miljøet for internasjonal virksomhet. Forordningen erstatter databeskyttelsesdirektivet 95/46/EC, og inneholder bestemmelser og krav knyttet til behandling av personopplysninger om enkeltpersoner, formelt kalt «datasubjekter», som befinner seg i EØS, og gjelder for enhver virksomhet – uavhengig av dens plassering og de registrertes statsborgerskap eller bosted – det vil si behandling av personopplysninger til enkeltpersoner innenfor EØS.
GDPR ble vedtatt 14. april 2016 og ble håndhevet fra 25. mai 2018. Ettersom GDPR er en forordning, ikke et direktiv, er den direkte bindende og gjeldende, og gir fleksibilitet for enkelte aspekter av forordningen som kan justeres av de enkelte medlemslandene.
Forskriften ble en modell for mange andre lover over hele verden, inkludert i Tyrkia, Mauritius, Chile, Japan, Brasil, Sør-Korea, Sør-Afrika, Argentina og Kenya. Fra 6. oktober 2022 beholder Storbritannia loven i identisk form til tross for at de ikke lenger er et EU-medlemsland. California Consumer Privacy Act (CCPA), vedtatt 28. juni 2018, har mange likhetstrekk med GDPR.
