مقررات عمومی حفاظت از داده اتحادیه اروپا GDPR) (EU) 2016/679) مقرراتی است که در مورد حفاظت از داده و محرمانگی همه اشخاص و خروج داده در اتحادیه اروپا و منطقه اقتصادی اروپا وضع شده‌است. هدف این مقررات اساساً، برای اعطای کنترل دادها به شهروندان و ساکنان این منطقه و ساده‌سازی محیط مقررات گذاری برای کسب و کارهای بین‌المللی از طریق یکسان‌سازی مقررات است.

این مقررات جایگزین قانون حفاظت از داده اتحادیه اروپا (95/46/EC) شده‌است و شامل احکام و الزاماتی مرتبط با پردازش اطلاعات شخصی قابل تشخیص در اتحادیه اروپا می‌شود و در خصوص همه کسب و کارهایی که با این منطقه اقتصادی مراوده کاری دارند، صرفنظر از مکان استقرارشان، می‌شود. بدین ترتیب، فرایندهای کسب و کار که اطلاعات شخصی را اداره می‌کنند، باید مبتنی بر «حفاظت اطلاعات از طریق طراحی و به‌طور پیش فرض» باشند؛ یعنی اطلاعات شخصی باید با استفاده از مستعارسازی یا بی‌نام سازی ذخیره شود و و حداکثر محرمانگی به‌طور پیش فرض در نظر گرفته شود، به گونه ای که داده‌ها بدون رضایت صریح به‌طور عمومی در دسترس نباشد و بدون اطلاعات اضافی جداگانه برای تعیین هویت اشخاص قابل استفاده نباشد. هیچ اطلاعات شخصی نمی‌تواند پردازش شود، مگر آنکه تحت مبنای قانونی که به وسیله مقررا مشخص شده، انجام شود یا آنکه کنترل‌کننده یا پردازنده داده‌ها اجازه صریح مختارانه صاحب داده‌ها را دریافت کرده باشد. صاحب داده‌ها می‌تواند در هر زمانی این اجازه را لغو کند.

این قانون در ۱۴ آوریل ۲۰۱۶ وضع شد. و بعد از سپری شدن دو سال به عنوان دوره گذار، از ۲۵ مه ۲۰۱۸ به اجرا درآمد. اعمال این قانون نیازمند تصویب قانون جداگانه در کشورهای عضو اتحادیه نمی‌باشد و به‌طور خودکار در همه آن‌ها لازم‌الاجراست.