Pojęcie danych osobowych często utożsamiane jest z imieniem i nazwiskiem, adresem zamieszkania czy numerem Pesel. Należy jednak pamiętać, że pod pojęciem danych osobowych kryją się jeszcze inne informacje, które w świetle prawa uznawane są za dane osobowe.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, pod pojęciem danych osobowych rozumie informacje, które identyfikują osobę fizyczną lub pozwalają ją zidentyfikować. Rozkładając powyższą definicję na „czynniki pierwsze” należy zwrócić uwagę na:
- pojęcie informacji, czyli komunikatu wyrażonego i zapisanego w jakikolwiek sposób, a tj. znakami graficznymi, symbolami, na fotografii etc. Ustawa mówi o wszelkich informacjach, czyli takich które odnoszą się do każdego aspektu osoby fizycznej, tj. do jej życia prywatnego, zawodowego, stosunków osobistych i rzeczowych. Aby zatem określone informacje mogły zostać uznane za dane osobowe muszą one spełniać dwa warunki:
- dotyczyć osoby fizycznej,
- identyfikować daną osobę fizyczną, lub umożliwić jej identyfikację.
Prowadząc sklep internetowy należy pamiętać, że również adres IP uznawany jest za dane osobowe, w sytuacji gdy jest on przypisany na dłuższy okres czasu lub na stałe do konkretnego urządzenia, a urządzenie jest przypisane konkretnemu użytkownikowi.