Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΕΕ) 2016/679 ( ΓΚΠΔ ) (αγγλικά:General Data Protection Regulation, GDPR) είναι ένας κανονισμός στην νομοθεσία της ΕΕ για την προστασία των δεδομένων και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση (ΕΕ) και στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Αναφέρεται επίσης στη μεταφορά προσωπικών δεδομένων εκτός των χωρών της ΕΕ και του ΕΟΧ. Ο πρωταρχικός στόχος του GDPR είναι να δώσει στα άτομα τον έλεγχο των προσωπικών τους δεδομένων και να απλοποιήσει το ρυθμιστικό περιβάλλον για τις διεθνείς επιχειρήσεις ενοποιώντας τον κανονισμό εντός της Ευρωπαϊκής Ένωσης. [1] Συμπληρώνοντας την Οδηγία Προστασίας Δεδομένων 95/46 / ΕΚ, ο εν λόγω κανονισμός περιέχει διατάξεις και απαιτήσεις που σχετίζονται με την επεξεργασία προσωπικών δεδομένων ατόμων (που ονομάζονται επίσημα υποκείμενα δεδομένων στον ΓΚΠΔ) που βρίσκονται στον ΕΟΧ και ισχύει για οποιαδήποτε επιχείρηση - ανεξάρτητα από την τοποθεσία, την υπηκοότητα ή την κατοικία των υποκειμένων των δεδομένων - που επεξεργάζεται τις προσωπικές πληροφορίες των ατόμων εντός του ΕΟΧ.
Ο ΓΚΠΔ ορίζει έξι "αρχές" σχετικά με τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.[2][3] Η πρώτη από αυτές ορίζει ότι η επεξεργασία των δεδομένων πρέπει να γίνεται με νόμιμο, δίκαιο και διαφανή τρόπο. Ο ΓΚΠΔ προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για "συγκεκριμένους, σαφείς και νόμιμους σκοπούς".[4][5][6] Το άρθρο 6 αναπτύσσει αυτή την αρχή διευκρινίζοντας ότι τα δεδομένα προσωπικού χαρακτήρα δεν επιτρέπεται να υποβάλλονται σε επεξεργασία, εκτός εάν υπάρχει τουλάχιστον μία νομική βάση για την επεξεργασία αυτή.[7][8][9][10] Άλλες αρχές αφορούν τον "περιορισμό του σκοπού", την "ελαχιστοποίηση των δεδομένων", την "ακρίβεια", τον "περιορισμό της αποθήκευσης" και την "ακεραιότητα και εμπιστευτικότητα".[11]
Το άρθρο 6 αναφέρει ότι νόμιμοι σκοποί είναι:
«Διασυνοριακή επεξεργασία» αποτελεί: α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή β) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη. (Άρθρο 4 περ. 23 ΓΚΠΔ)
Oι διασυνοριακές ροές των δεδομένων καθορίζονται στα άρθρα 44-49 του ΓΚΠΔ. Οι διασυνοριακές ροές δεδομένων δύνανται να πραγματοποιούνται όταν υφίστανται: απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής, όσον αφορά την ισχύουσα νομοθεσία περί προστασίας των δεδομένων στην τρίτη χώρα (άρθρο 45)· κατάλληλες εγγυήσεις, όπως τυποποιημένες συμβατικές ρήτρες (standard data protection clauses, SCCs) και δεσμευτικοί εταιρικοί κανόνες (binding corporate rules, BCRs) που παρέχονται από τον υπεύθυνο επεξεργασίας δεδομένων (άρθρο 46)· παρεκκλίσεις (άρθρο 49), όπως η ρητή συγκατάθεση[13][14].