GDPRでは、個人データを次のように定義しています。

「特定された、または特定できた自然人(「データ主体」)に関する情報;識別可能な自然人とは、直接又は間接に、特に、名称、識別番号、位置データ、オンライン識別子、又はその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的同一性に特有の1つ又は複数の要因を参照することによって識別可能な自然人をいう。」

実際には、ほとんどのウェブサイト所有者にとって、これは特定の個人を特定できる可能性のあるあらゆるデータに翻訳される。これには次のものが含まれます。