Pojam osobnih podataka definiran je u članku 4. GDPR-a kako slijedi: „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Drugim riječima, svi podaci koji bi se mogli iskoristiti za identifikaciju neke osobe smatraju se osobnim podacima. U to spadaju adrese, brojevi kreditnih kartica, fotografije, iznos plaća, mišljenja itd. Napominjemo da se kolačići, IP adrese i podaci o lokaciji također smatraju osobnima, što će stvoriti velike probleme mrežnom marketingu.
GDPR štiti samo živuće fizičke osobe i ne primjenjuje se na podatke koji nisu osobni ili su anonimizirani.