Osobními údaji v smyslu, jak je vykládá Nařízení EU 2016/679 nadále zůstávají ty údaje, které upravoval dosluhující zákon č. 101/2000 Sb., o ochraně osobních údajů, tedy zejména:
- jméno
- identifikační číslo (rodné číslo)
- údaje o bydlišti a místě pobytu atd.
GDPR však rozšiřuje stávající definici tak, aby lépe korespondovala se současným způsobem zpracování osobních údajů. Nově tak přibývají pojmy jako síťový identifikátor, genetické údaje a biometrické údaje. Taxativně pojmy vymezuje článek 4 Obecného nařízení.
Poslední dvě jmenované skupiny pak spadají do zvláštní kategorie osobních údajů (tzv. citlivé osobní údaje). Jde o informace, které mohou samy o sobě poškodit subjekt údajů (tedy fyzickou osobu) – v zaměstnání, ve škole apod. Krom biometrických a genetických údajů se sem řadí také údaje o sexuální orientaci, náboženském vyznání či zdravotním stavu.
Zpracování citlivých osobních údajů je podmíněno zvýšenou ochranou. V podobných situacích je velmi často nutná konzultace správce údajů s Úřadem pro ochranu osobních údajů (ÚOOÚ). Úřad stanoví opatření, která je nutno přijmout pro minimalizaci rizika porušení zabezpečení osobních údajů. Pro hladký průběh je vhodné předem konzultovat zpracování s poradcem pro GDPR audit.