Rozważając problematykę ochrony danych osobowych należy zacząć od definicji tego pojęcia, czyli pytania: czym tak naprawdę są „dane osobowe”?. Ustawa o ochronie danych osobowych zawiera ogólny opis ale nie przedstawia nam precyzyjnego wyliczenia danych, które należy uważać za „dane osobowe”.

Art. 6. ustawy o ochronie danych osobowych

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Za każdym razem odpowiadając sobie na pytanie czy coś jest daną osobową w rozumieniu przepisów czy nie, trzeba rozważyć, czy jest wystarczającą informacją pozwalającą na zidentyfikowanie konkretnej osoby bez nadmiernego wysiłku. Bardzo często zdarza się tak, że pojedyncza informacja, jak na przykład nazwa ulicy nie stanowi pojedynczo danej osobowej ale w zestawieniu z inną informacją, razem są wystarczające dla zidentyfikowania konkretnej osoby. Przykładem informacji, która samodzielnie zalicza się do danych osobowych jest numer PESEL.