Il GDPR definisce «archivio» qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.
Il GDPR stabilisce riguardo agli archivi un principio fondamentale, e cioè che la protezione dei dati personali delle persone fisiche deve applicarsi sia al trattamento interamente o parzialmente automatizzato, che al trattamento manuale dei dati.
Pertanto, anche i dati personali non organizzati in un archivio e non inseriti in banche dati sono soggetti alle norme sulla privacy (come ad es. un semplice elenco cartaceo di nomi e recapiti).