กฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) เป็นกฎหมายความเป็นส่วนตัวของข้อมูลที่ครอบคลุม ซึ่งประกาศใช้โดยสหภาพยุโรป (EU)
ในเดือนพฤษภาคม 2018 โดยมีเป้าหมายเพื่อให้บุคคลมีอำนาจควบคุมข้อมูลส่วนบุคคลของตนมากขึ้น และสร้างความเป็นเอกภาพของกฎระเบียบการคุ้มครองข้อมูลในประเทศสมาชิก EU ทั้งหมด
ข้อสำคัญของ GDPR ประกอบด้วย

1. สิทธิในข้อมูลส่วนบุคคล: บุคคลมีสิทธิในการเข้าถึง แก้ไข ลบ และโอนย้ายข้อมูลส่วนบุคคล รวมถึงสิทธิในการคัดค้านหรือจำกัดการประมวลผลข้อมูลของตน
2. การให้ความยินยอม: องค์กรต้องได้รับความยินยอมที่ชัดเจนและยืนยันได้ก่อนการเก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคล โดยต้องทำให้การถอนความยินยอมเป็นไปได้ง่าย
3. การแจ้งเตือนกรณีละเมิดข้อมูล: บริษัทต้องแจ้งหน่วยงานที่เกี่ยวข้องและบุคคลที่ได้รับผลกระทบจากกรณีละเมิดข้อมูลบางประเภทภายใน 72 ชั่วโมง
4. บทลงโทษ: การไม่ปฏิบัติตามอาจนำไปสู่ค่าปรับสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้รวมประจำปีของบริษัททั่วโลก แล้วแต่จำนวนใดจะสูงกว่า
5. การเก็บรวบรวมข้อมูลให้น้อยที่สุด: ควรเก็บรวบรวมและประมวลผลเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์เฉพาะเท่านั้น
6. ความรับผิดชอบ: องค์กรต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบ เก็บบันทึกกิจกรรมการประมวลผลข้อมูล และอาจต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

GDPR ไม่ได้มีผลบังคับใช้เฉพาะกับบริษัทใน EU เท่านั้น แต่ยังรวมถึงองค์กรใด ๆ ที่อยู่นอก EU
ที่ประมวลผลข้อมูลของพลเมือง EU ด้วยเช่นกัน .