Osobní údaj je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.
Osobními údaji jsou podle GDPR veškeré informace o identifikované nebo přímo či nepřímo identifikovatelné fyzické osobě. Je třeba počítat i s lokalizačními údaji a elektronickými identifikátory.
Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.