Obecné nařízení o ochraně osobních údajů, označované jako GDPR (General Data Protection Regulation), představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie. Obecné nařízení o ochraně osobních údajů je přímo použitelné. Platí tedy na území členských států Evropské unie, včetně České republiky bezprostředně. K jeho použitelnosti není potřeba, aby byl obsah nařízení převeden do zákona. Je pouze potřeba provést některé změny v právním řádu, aby byl jako celek s nařízením slučitelný.
Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.
Osobním údajem je jakýkoli údaj o osobě, kterou může správce nebo kdokoli jiný přímo nebo nepřímo ztotožnit. Tedy osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Zpracováním je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Nařízení se vztahuje na zpracování osobních údajů prováděné alespoň částečně automatizovaně (např. uložení na CD nebo na cloud) nebo na neautomatizované zpracování osobních údajů, které jsou nebo mají být součástí kartotéky či evidence (např. papírová zdravotní karta v kartotéce lékaře a její součásti, nebo úřední spis a jeho části, ale nikoli např. lístek s telefonním číslem a jménem svědka nehody nebo s SPZ vozidla, který nebude zařazen do žádné evidence).
Pravidla ochrany osobních údajů se dotýkají kteréhokoli subjektu, který zpracovává osobní údaje způsoby, na něž se vztahuje obecné nařízení o ochraně osobních údajů. Nařízení tyto subjekty rozděluje na správce osobních údajů a zpracovatele. Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (jeho činnost je tedy odvozená od smlouvy s konkrétním správcem).