Den generelle databeskyttelsesforordning er en forordning i EU-ret om databeskyttelse og privatlivets fred i EU og Det Europæiske Økonomiske Samarbejdsområde (EØS). GDPR er en vigtig komponent i EU’s privatlivslovgivning og menneskerettighedslovgivning, især Artikel 8(1) i Charteret om Grundlæggende Rettigheder i Den Europæiske Union. Den omhandler også overførsel af persondata uden for EU- og EØS-områderne. GDPRs primære mål er at styrke enkeltpersoners kontrol og rettigheder over deres personlige data og at forenkle det regulatoriske miljø for international virksomhed. Forordningen erstatter databeskyttelsesdirektivet 95/46/EF, og indeholder bestemmelser og krav vedrørende behandling af personoplysninger om enkeltpersoner, formelt kaldet “datasubjekter”, som befinder sig i EØS, og gælder for enhver virksomhed – uanset dens placering og de registreredes statsborgerskab eller bopæl – det vil sige behandling af personoplysninger om enkeltpersoner inden for EØS.
GDPR blev vedtaget den 14. april 2016 og trådte i kraft den 25. maj 2018. Da GDPR er en forordning, ikke et direktiv, er den direkte bindende og gældende, og giver fleksibilitet for visse aspekter af forordningen, som kan tilpasses af de enkelte medlemslande.
Forordningen blev en model for mange andre love over hele verden, inklusive i Tyrkiet, Mauritius, Chile, Japan, Brasilien, Sydkorea, Sydafrika, Argentina og Kenya. Fra den 6. oktober 2022 bevarer Storbritannien loven i identisk form, på trods af at de ikke længere er et EU-medlemsland. California Consumer Privacy Act (CCPA), vedtaget den 28. juni 2018, har mange lighedspunkter med GDPR.
