Nowe przepisy Rozporządzenia zastąpią zarówno dyrektywę regulującą materię ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodny przepływ takich danych, jak i będącą obecnie w mocy polską ustawę o ochronie danych osobowych. Wejście w życie Rozporządzenia oznacza szereg zmian, które dotkną przede wszystkim przedsiębiorców przetwarzających dane osobowe osób fizycznych, oferując towary lub usługi na terenie Unii Europejskiej.
Jedną z najważniejszych nowości przewianych w Rozporządzeniu jest rozszerzenie definicji „danych osobowych”. Celem tego rozszerzenia było dostosowanie pojęcia „danych osobowych” do praktyki obrotu gospodarczego, a w szczególności do przetwarzania danych w sieci. Pojęcie danych osobowych zostało w Rozporządzeniu zdefiniowane przez niewyczerpujące wyliczenie typów informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Zgodnie z art. 4 pkt 1 Rozporządzenia, „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Rozporządzenie wskazuje, że możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Przywołane w przepisie kategorie danych to jedynie przykładowe wyliczenie, na co wskazuje zwrot „w szczególności”.
Samo Rozporządzenie wskazuje, że typem danych osobowych może być, np. identyfikator internetowy, czyli adres IP, identyfikator plików cookie lub inny identyfikator, generowany na przykład przez etykiety RFID albowiem taki identyfikator połączony z innym unikatowym identyfikatorem może być wykorzystany do stworzenia profilu lub zidentyfikowania danej osoby.
Rozporządzenie wyróżnia niektóre typy danych osobowych jako “szczególne kategorie danych osobowych”, których przetwarzanie, co do zasady, jest zabronione. Zgodnie z art. 9 ust. 1 Rozporządzenia w skład szczególnych kategorii danych osobowych wchodzą: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane dotyczące seksualności lub orientacji seksualnej danej osoby, dane genetyczne, dane biometryczne lub dane dotyczące zdrowia. Przepisy Rozporządzenia, precyzując te trzy ostatnie kategorie, wskazują np., że dane genetyczne dotyczą odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby. Dane biometryczne to dane dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Natomiast do danych dotyczących zdrowia należy zaliczyć wszelkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą, wyniki badań, numery identyfikacyjne, historie chorób, informacje o niepełnosprawności czy też informacje o leczeniu jakichkolwiek chorób.
Należy uznać, że Rozporządzenie rozszerzyło znaczenie pojęcia „danych osobowych” poprzez dostosowanie go do wymogów obrotu e-commerce oraz powiązanych z tym metod identyfikacji jego uczestników, takich jak: numer IP, dane o geolokalizacji lub dane biometryczne.