Andmekaitse Direktiiv aastast 1998 määratleb isikuandmed järgmiselt: ” mistahes informatsioon mis on seotud tuvastatud või tuvastatava füüsilise isikuga (Andmesubjekt); tuvastatav isik on isik keda on võimalik tuvastada otseselt või kaudselt, viidates tema isikukoodile või tema füüsiliste, psühholoogiliste, vaimsete, majanduslike, kultuuriliste või sotsiaalsetele faktoritele, mis on talle eripärased.

Ettevõtted peavad läbi vaatama andmetöötlusega seotud toimingute konteksti, ulatuse ning eesmärgid. Lisaks sellele tuleb hinnata andmetöötlusest tulenevat riski isikutele, kelle andmeid töödeldakse. Andmekaitsemäärusega kooskõlas olemiseks peavad ettevõtted rakendama vastavaid tehnilisi ja organisatoorseid meetmeid.