EU:n yleinen tietosuoja-asetus, 2016/679 (engl. General Data Protection Regulation, GDPR) on Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission yhteinen pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien Euroopan unionin jäsenmaiden kesken. EU:n sisäisen säätelyn lisäksi se koskee myös tahoja, jotka tallentavat EU:ssa asuvien henkilöiden henkilötietoja Euroopan unionin ulkopuolelle. Yleisen tietosuoja-asetuksen tarkoituksena on ensisijaisesti vahvistaa EU:ssa asuvien henkilöiden oikeuksia omiin henkilötietoihinsa sekä yksinkertaistaa sääntely-ympäristöä niin, että sekä EU:n sisäinen että kansainvälinen liiketoiminta helpottuu.
EU:n yleinen tietosuoja-asetus on annettu 27. huhtikuuta 2016 ja sitä alettiin soveltaa kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018. Toisin kuin direktiivi, se ei edellytä kansallisilta hallituksilta uutta lainsäädäntöä, ja on siten suoraan velvoittava ja sovellettavissa. Yleisellä tietosuoja-asetuksella kumottiin tietosuojadirektiivi (95/46/EY), joka annettiin vuonna 1995.
Tietosuoja-asetuksessa määritellään rekisteröidyn eli luonnollisen henkilön, jota henkilötieto koskee, oikeudet liittyen henkilötietojen käsittelyyn. Asetuksen myötä rekisteröidyllä on oikeus tarkistaa hänestä tallennetut tiedot, saada tieto siitä, miten henkilötiedot on kerätty sekä miten niitä käsitellään ja kenelle niitä annetaan. Lisäksi rekisteröidyllä on oikeus oikaista mahdolliset väärät tiedot sekä poistaa tietonsa rekisteristä. Rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä sekä pyytää henkilötietojen käsittelyn rajoittamista. Rekisteröidyllä on myös mahdollisuus siirtää tiedot toiselle organisaatiolle, lisäksi rekisteröidyllä on oikeus olla joutumatta perusteetta automaattisen päätöksenteon kohteeksi.
Vastaavasti asetuksessa säädetään rekisterinpitäjille velvollisuus toimia siten, että edellä esitetyt oikeudet toteutuvat.
Organisaatio saa käsitellä henkilötietoja, jos käsittelylle on laissa määritelty peruste.
Organisaatiolla on velvollisuus poistaa rekisteröidyn tiedot, mikäli organisaatiolla ei ole laillisia perusteita käsitellä niitä. Laillinen peruste voi olla esimerkiksi rekisteröidyn suostumus, sopimus, lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleinen etu ja julkinen valta tai rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.
Organisaation on nimitettävä tietosuojavastaava, jos organisaation toimintaan liittyy arkaluonteisten tietojen laajamittaista käsittelyä, ihmisten laajamittaista, säännöllistä tai järjestelmällistä seurantaa tai organisaatio on julkishallinnon toimija.
Rekisterinpitäjällä on velvollisuus ilmoittaa mahdollisista tietoturvaloukkauksista 72 tunnin kuluessa valvontaviranomaiselle.
Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.
Euroopan unionin valvontaviranomaisena toimii Euroopan tietosuojavaltuutettu. Euroopan tietosuojavaltuutettu valvoo, että EU:n hallinto käsittelee henkilötietoja sääntöjen mukaisesti. Euroopan tietosuojavaltuutettu käsittelee myös valituksia ja suorittaa tutkimuksia.
Ehkä selvemmin käyttäjälle näkyvä asetuksen vaikutus on, että käyttäjältä on pyydettävä aktiivinen suostumus evästeisiin. Aiemmin evästeet hyväksyttiin selaimen asetusten perusteella. Suomessa Traficom on julkaissut parikymmensivuisen ohjeistuksen evästeiden käsittelystä.
GDPR johti siihen että jotkut ulkomaiset sivustot eivät enää hyväksyneet liikennettä EU:n alueelta. Esimerkiksi New York Daily News, Chicago Tribune, LA Times, Orlando Sentinel ja Baltimore Sun, Yahoo! Japan kielsivät verkkosivujensa käytön eurooppalaisilta. Osa sivustoista palasi myöhemmin käytettäväksi.
Asetuksen seurauksena suljettiin jotain pienempiä verkkopalveluja, esimerkiksi keskustelupalstoja, joiden ohjelmistoon ei ollut tarvittavia päivityksiä, kuten legendaarinen JonneWeb.
Joulukuussa 2021 Itävallassa tuomittiin Google Analytics -ohjelmiston käyttö verkkosivuilla laittomaksi (q.w.). Huhtikuussa 2022 Italia kielsi OpenAI:n ChatGPT:n käytön. Google ei ole lainkaan julkaissut omaa Bard-tekoälyohjelmistoaan Euroopassa, vaikka se on saatavissa 180 maassa, minkä arvellaan johtuvan GDPR:sta ja uudesta EU:n valmistelevasta tekoälyä rajoittavasta sääntelystä.
Turun yliopiston valtio-opin professori Matti Wiberg toteaa 2019 julkaistussa tutkimuksessaan, että liian usein luvan kysyminen henkilötietojen tallentamiseen on rituaali, jossa kumpikaan osapuoli ei tiedä, mistä on kysymys. Näin ollen asetuksen vaatimukset eivät täyty.