Kdo se potkal ze zákonem č. 101/2000 Sb. ví, že osobní údaj je jakýkoliv údaj, který může vést k identifikované nebo identifikovatelné fyzické osobě. Jedná se tedy o jakýkoliv údaj, který jsme schopni přiřadit ke konkrétní osobě, jíž nazýváme subjektem údajů.
GDPR na této definici nic nemění. Osobní údaje se stále dělí na osobní (jméno, pohlaví, věk, datum narození, rodné číslo, adresa, podobizna) a citlivé a nově se rozšířily o kategorii organizačních osobních údajů, mezi které řadíme například IP adresu, lokační údaje, e-mail, telefonní číslo.
Citlivé údaje jsou takové, díky kterým jsou subjekty údajů zranitelnější. Jejich ztráta by mohla způsobit velkou újmu. Řadíme sem údaje o sexuální orientaci, politických názorech, náboženství, zdravotním stavu, tresty, členství v odborech a nově také osobní údaje dětí, genetické a biometrické údaje.
Genetické údaje jsou osobní údaje, jež se týkají zděděných genetických znaků. Biometrické údaje naproti tomu vyplývají z technického zpracování. Patří sem snímek obličeje, otisk prstu, ale také podpis.
GDPR zpřísňuje nakládání s citlivými údaji v tom smyslu, že zpracovávány mohou být jen za určitých předpokladů. Například kdy subjekt údajů s takovým zpracováním vysloveně souhlasí, nebo je zpracování nutné pro ochranu jeho životně důležitých zájmů. Citlivé údaje je rovněž možné zpracovávat, je-li to nezbytné v oblasti pracovního práva, sociálního zabezpečení, pro obhajobu právních nároků, pro účely preventivního lékařství, vědeckého či historického výzkumu, pro statistické účely nebo z důvodu veřejného zájmu.
Když hovoříme o zpracovávání osobních údajů, myslíme tím jakoukoliv operaci nebo soubor operací s osobními údaji. Jinými slovy ať s osobními údaji děláte cokoliv (shromažďujete, třídíte, ukládáte, pozměňujete, vyhledáváte, nahlížíte, šíříte, přenášíte, mažete, ničíte atd), jedná se o zpracování.
Z působnosti GDPR jsou vyloučeny osobní údaje, které získáváme pro osobní potřebu, s nikým je nesdílíme a nemají obchodní charakter. GDPR se rovněž netýká osobních údajů o osobách zemřelých a anonymizovaných osobních údajů.
