يعرف أيضاً باسم النظام الأوروبي العام لحماية البيانات، وهو عبارة عن إطار عمل قانوني يحدد معايير وقواعد جمع ومعالجة بيانات الأشخاص الذي يعيشون في منطقة الاتحاد الأوروبي، ويعد واحد من أقوى قوانين حماية الخصوصية والأمن في العالم.
صادق البرلمان الأوروبي على القانون العام لحماية البيانات يوم 14 أبريل من عام 2016، ودخل حيز التنفيذ يوم 25 مايو من عام 2018. وقد تم تطويره لتحديث وتوحيد قوانين خصوصية البيانات عبر كافة دول الاتحاد الأوروبي، واستبدال توجيه حماية البيانات الذي يعود تاريخه إلى عام 1995.
يهدف القانون العام لحماية البيانات إلى حماية الأفراد والبيانات التي تصفهم وضمان أن الشركات والمنظمات التي تجمع تلك البيانات تفعل ذلك بطريقة مسؤولة. كما يفرض هذا القانون الحفاظ على البيانات الشخصية بشكل آمن؛ حيث تنص أحد لوائحه على وجوب حماية تلك البيانات من "المعالجة غير المصرح بها أو غير القانونية، والضياع غير المقصود والتدمير والتلف". ويعرض الشركات التي تتعرض لاختراق بيانات إلى غرامات وإجراءات إنفاذ في حال عدم الكشف عن الاختراق للجهات التنظيمية المعنية في غضون 72 ساعة.
يحدد القانون الجديد أيضاً الأسباب التي تسمح بجمع البيانات الشخصية، فالبيانات التي يتم جمعها يجب أن تكون لغرض محدد وشرعي ولا يجوز استخدامها بأي طريقة تخالف ذلك الغرض. كما يقترح وضع قيود على كمية تلك البيانات وزمن الاحتفاظ بها؛ إذ يجب أن تكون عملية جمع البيانات مقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم معالجة البيانات من أجلها، وللمدة الضرورية لتلك الأغراض فقط.
يشير بحث جديد إلى أن المواقع الإلكترونية تجني مقداراً أقل من الأموال بسبب القانون العام لحماية البيانات، وذلك نظراً لكون هذا القانون يزيد من صعوبة جمع بيانات المستهلكين بالنسبة للشركات. فقد أصبح من غير الممكن تتبع المستهلكين من دون إذن منهم. كما يشير بحث آخر إلى أن هذا القانون أدى إلى تقليل استثمار رؤوس الأموال في شركات التكنولوجيا.
