В Общем регламенте по защите данных указано, что физическое лицо может быть идентифицировано в случае, если субъекта «можно идентифицировать прямо или косвенно, в частности, с помощью таких атрибутов, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор (IP – адрес), по каждому из факторов или в совокупности, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности субъекта». Имя субъекта данных является ярким примером такого описания и может непосредственно идентифицировать субъекта в связке с дополнительным атрибутом данных.

В некоторых случаях атрибуты, аналогичные имени, косвенно могут идентифицировать субъекта данных. Номер телефона, номер карточки социального страхования и регистрационный номер транспортного средства – все это примеры информации, которая может сделать субъект идентифицируемым. Также могут быть использованы и иные атрибуты, такие как – файлы персонального компьютера, файлы cookie и инструменты наблюдения за веб-трафиком для выделения субъектов путем определения их поведения и привычек. По мнению Рабочей группы по ст. 29 Общего регламента по защите данных, «без запроса имени и адреса лица его можно классифицировать на основе социально-экономических, психологических, философских или иных критериев и атрибутов». Определение персональных данных как в Совете Европы, так и в Европейском Союзе достаточно широкое и охватывает различные степени идентификации.

Так как многие имена не являются уникальными, в целях установления личности человека могут потребоваться другие атрибуты для гарантии точной идентификации субъекта. Иногда прямые и косвенные атрибуты могут быть объединены, чтобы провести точную идентификацию, например, дата и место рождения. Кроме того, в некоторых странах на государственном уровне введены персонализированные номера (аналог серии и номера паспорта гражданина РФ) для отождествления физических лиц. Переданные налоговые данные, данные на получение вида на жительство, сведения в административных документах, банковские данные и информация о здоровье могут быть отнесены к персональным данным. Биометрические данные, такие как отпечатки пальцев, цифровые отпечатки или радужная оболочка глаз, данные о местоположении и онлайн-атрибуты все чаще используются для идентификации субъектов в цифровом пространстве.

Для применения Общего регламента по защите данных не требуется фактической идентификации субъекта данных, достаточно, чтобы субъект был потенциально идентифицируемым. Субъект считается потенциально идентифицируемым, если имеется достаточно атрибутов данных, с помощью которых его можно прямо или косвенно идентифицировать. Согласно разделам 2 и 3 Общего регламента по защите данных все идентифицируемые данные, хранящиеся у обработчика, должны быть доступны субъекту данных, равно как и все сведения об обработке, включая третьих лиц, которым такие данные доступны.

Например, местный орган власти собирает данные об автомобилях на улицах города. По его указанию происходит автоматическая фотофиксация времени и местоположения автотранспортного средства с целью оформления штрафов, в случаях выявления нарушений. Субъект данных подает жалобу, заявляя, что местный орган власти не имеет правовых оснований в соответствии с законодательством о защите данных. Местный орган власти утверждает, что не осуществляет сбор персональных данных, поскольку номерные знаки автомашин обрабатываются без других идентификаторов и орган власти не имеет доступа к реестру полиции для идентификации субъекта.