ระเบียบการคุ้มครองข้อมูลทั่วไป (อังกฤษ: General Data Protection Regulation, ย่อ GDPR) (EU) 2016/679 เป็นระเบียบในกฎหมายสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลและภาวะเฉพาะส่วนตัวแก่ปัจเจกบุคคลทุกคนในสหภาพยุโรป (EU) และเขตเศรษฐกิจยุโรป (EEA) นอกจากนี้ ยังครอบคลุมการส่งออกซึ่งข้อมูลส่วนบุคคลนอก EU และ EEA; GDPR มุ่งให้การควบคุมข้อมูลส่วนบุคคลของตนแก่พลเมืองและผู้อยู่อาศัยเป็นหลัก และเพื่อทำให้สิ่งแวดล้อมการวางระเบียบง่ายขึ้นสำหรับธุรกิจข้ามชาติโดยการสร้างเอกภาพแก่ระเบียบภายใน EU[1]ระเบียบดังกล่าวใช้แทนคำสั่งคุ้มครองข้อมูล (Data Protection Directive) 95/46/EC มีบทบัญญัติและข้อบังคับเกี่ยวกับการประมวลผลสารสนเทศที่สามารถระบุรูปพรรณบุคคลได้ซึ่งข้อมูลที่อยู่ในบังคับในสหภาพยุโรป และมีผลใช้บังคับต่อวิสาหกิจทั้งปวงซึ่งกำลังประกอบธุรกิจในเขตเศรษฐกิจยุโรปไม่ว่าที่ใด กระบวนการธุรกิจซึ่งจัดการกับข้อมูลส่วนบุคคลจะต้องสร้างขึ้นโดยเจตนาและโดยปริยายคุ้มครองข้อมูล หมายความว่า ต้องจัดเก็บข้อมูลส่วนบุคคลโดยใช้นามแฝงหรือนิรนามโดยสิ้นเชิง และใช้การตั้งค่าภาวะเฉพาะส่วนตัวสูงสุดเท่าที่เป็นไปได้โดยปริยาย เพื่อให้ข้อมูลไม่มีการเปิดเผยต่อสาธารณะหากปราศจากความยินยอมอย่างชัดแจ้ง และไม่สามารถใช้เพื่อระบุบุคคลได้โดยปราศจากสารสนเทศเพิ่มเติมที่เก็บแยกกัน ห้ามประมวลผลข้อมูลส่วนบุคคลยกเว้นกระทำภายใต้กฎหมายที่ระบุตามระเบียบฯ นี้ หรือหากผู้ควบคุมหรือผู้ประมวลผลข้อมูลได้รับความยินยอมแบบเลือกภายหลังอย่างชัดแจ้งจากเจ้าของข้อมูล เจ้าของข้อมูลมีสิทธิเพิกถอนการอนุญาตนี้เมื่อใดก็ได้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องเปิดเผยการเก็บข้อมูลใด ๆ อย่างชัดเจน ประกาศเหตุผลและความมุ่งหมายอันชอบด้วยกฎหมายสำหรับการประมวลผลข้อมูล ว่าจะเก็บข้อมูลนานเท่าใด และมีการแบ่งข้อมูลนั้นกับบุคคลภายนอกหรือนอก EU หรือไม่ ผู้ใช้มีสิทธิขอสำเนาพกพาได้ของข้อมูลที่ผู้ประมวลผลข้อมูลเก็บรวบรวมในรูปแบบร่วม และมีสิทธิลบข้อมูลของตนภายใต้พฤติการณ์บางอย่าง กำหนดให้ทางการสาธารณะและธุรกิจซึ่งมีกิจกรรมกับการประมวลผลข้อมูลส่วนบุคคลเป็นประจำหรือเป็นระบบเป็นหลักว่าจ้างเจ้าพนักงานคุ้มครองข้อมูลซึ่งรับผิดชอบต่อการจัดการให้เป็นไปตาม GDPR ธุรกิจต้องรายงานการละเมิดข้อมูลใด ๆ ภายใน 72 ชั่วโมงหากมีผลเสียต่อภาวะเฉพาะบุคคลของผู้ใช้มีการลงมติรับระเบียบฯ ในวันที่ 14 เมษายน 2559[2] และหลังระยะเปลี่ยนผ่านสองปี จะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561[3] เนื่องจาก GDPR เป็นระเบียบ มิใช่คำสั่ง จึงไม่จำเป็นต้องกำหนดให้รัฐบาลของประเทศต่าง ๆ ผ่านกฎหมายให้อำนาจและมีผลผูกมัดและใช้ได้โดยตรง[4]