Osobním údajem
se tedy rozumí jakákoliv informace, na jejímž základě lze člověka jako subjekt údajů přímo či nepřímo identifikovat. Je tedy třeba si uvědomit, že může jít v podstatě o jakýkoli údaj související s konkrétním identifikovatelným člověkem, typicky pak může jít např. o jméno a příjmení (včetně jejich použití, např. při tvorbě emailové adresy), datum narození, bydliště, ale může se jednat také o fotografii, nahrávku z kamerového systému apod. a také jejich kombinace.
Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci daného jedince. Pro zajímavost nad rámec výše uvedeného uvádíme, že podle judikatury Evropského soudního dvora je osobním údajem i IP adresa (ze které někdo např. přistupuje na web), protože ji mohou ke ztotožnění konkrétního člověka využít orgány činné v trestním řízení. Lze tedy uzavřít, že okruh údajů, prostřednictvím nichž lze identifikovat člověka, je velice široký.
Úprava ochrany
osobních údajů se nevztahuje na anonymní informace, tedy na informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že daná osoba není nebo již přestala být identifikovatelná.
Tzv. pseudonymizace, kterou může představovat například přidělení číselných kódů jednotlivým uchazečům či klientům, na základě kterých nebude možné konkrétního uchazeče či klienta bez dalších informací identifikovat (identifikace bude možná pouze spojením dokumentu, který obsahuje kód a jméno zároveň, jímž disponuje pouze uchazeč či klient).
Speciální pozornost
je pak třeba věnovat tzv. zvláštní kategorii osobních údajů („citlivé údaje“). Zpracování citlivých osobních údajů (patří sem biometrické údaje - výška či váha, genetické údaje - DNA, údaje vypovídající o rase nebo etnickém původu, filozofickém přesvědčení, náboženském vyznání, politických názorech, členství v odborech či organizacích, zdravotním stavu nebo i sexuální orientaci) je dle GDPR obecně zakázáno a zpracovávat citlivé osobní údaje je možné jen v přesně stanovených případech.

Těmi jsou:
Subjekt údajů sám tyto citlivé údaje zveřejnil.
Zpracování se provádí v rámci oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiných neziskových subjektů, které sledují politické, filozofické, náboženské nebo odborové cíle. Takovéto zpracování se musí vztahovat pouze na současné nebo bývalé členy subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli (výzkumy, statistiky nebo analýzy o členské základně).
Zpracování se provádí v rámci oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, například předávání citlivých osobních údajů zaměstnanců zdravotní pojišťovně nebo správě sociálního zabezpečení.
Zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce.
Subjekt údajů udělil výslovný souhlas se zpracováním těchto citlivých údajů pro jeden nebo více stanovených účelů.
Zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas, například hromadné neštěstí.
Zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků, nebo pokud soudy jednají v rámci svých soudních pravomocí - například zpracování citlivých údajů pojišťovnou v rámci řešení pojistného plnění.
Zpracování je nezbytné z důvodu významného veřejného zájmu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.

V praxi se můžeme setkat zejména s těmi citlivými údaji, které souvisejí se zdravotním stavem (např. nemoc nebo zdravotní postižení), náboženským vyznáním, sociální situací či s etnickým původem. K osobním údajům z této zvláštní kategorie je pak třeba přistupovat specificky.

Je třeba dbát na minimalizaci rizika zneužití citlivých údajů, které může mít na život jedince mimořádně nepříznivý dopad (např. v podobě diskriminace apod.). Obecně lze k tomuto uvést, že se s ohledem na rizika doporučuje, citlivé osobní údaje zpracovávat pouze v minimální možné míře.