規則は「一般データ保護規則」（GDPR）と呼ばれ、EUの指令に従い加盟国が個別に定めていた関連法をEUで統一し、厳格化した。域外企業も域内拠点の有無に関係なく、商品やサービスをEU内に提供していれば対象となる。規則は経済のデジタル化が進む中、市民が主体的に個人情報を管理できるようにする事を目指す。個人情報を扱う企業はその内容や利用目的などをわかりやすく説明し、本人の明確な同意を得る必要があり、市民は情報の消去や他の企業への移転も要求できる。情報の域外移転は原則禁止で．情報管理が「適切な水準」にあるとEUが認定した国・地域やその他の基準を満たした場合に限定。日本はまだ認定されていないが、夏までには柔軟な対応が実現できるようEUと協議中とされている。情報流出などが起きた場合、企業は72時間以内に監督当局に報告しなければならない。違反すれば最大で企業の世界全体の売上高の4％か、2千万ユーロ（約26億円）の罰金が科される。