Zgodnie z art. 4, pkt 1 rozporządzenia:
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”
Innymi słowy, jeśli jesteś w posiadaniu jednej lub kilku informacji o osobie fizycznej takich jak, imię nazwisko, adres e-mail, adres zamieszkania, wizerunek, numer NIP, numer telefonu, numer PESEL, wykształcenie, miejsce pracy, numer IP, identyfikatory plików cookie, lokalizacja itd, które można przypisać do konkretnej osoby fizycznej, nie generując przy tym wielkich trudności dla osoby przeprowadzającej identyfikację, to takie dane stanowią dane osobowe.
Przykładowo, warto zwrócić uwagę, że często sam adres e-mail, może być traktowany jako dane osobowe – gdy jest w postaci imię.nazwisko@xyz.pl, wystarczy na ogół kilka chwil w google, żeby ustalić do kogo należy.