Podle GDPR (Obecného nařízení o ochraně osobních údajů) jsou osobními údaji veškeré informace, které se týkají identifikovaného nebo identifikovatelného fyzického osoby. Identifikovatelná fyzická osoba je osoba, kterou lze přímo nebo nepřímo identifikovat, zejména odkazem na identifikátor jako je jméno, identifikační číslo, online identifikátor nebo jednu nebo více specifických charakteristik fyzické, fyziologické, genetické, mentální, ekonomické, kulturní nebo sociální identity této fyzické osoby.
Pod tuto definici spadají různé druhy informací, včetně, ale neomezeně:
Je důležité si uvědomit, že osobní údaje mohou být jakékoliv informace, které umožňují identifikaci konkrétní osoby, ať už přímo nebo nepřímo. GDPR chrání tyto údaje a ukládá organizacím, které s nimi pracují, povinnosti ohledně jejich zpracování a ochrany.