Administratorem danych w świetle ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest organ, jednostka organizacyjna, podmiot czy też osoba, która decyduje o środkach a także celach przetwarzanych danych osobowych.
Administrator danych musi spełnić jeden z warunków dających mu prawo do wykonywania działań na danych osobowych, określających, że jego działanie jest legalne.
Na nim spoczywa obowiązek zgłoszenia zbioru do rejestracji do prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych jawnego i ogólnokrajowego rejestru danych osobowych.
Musi również spełnić obowiązek informacyjny w przypadku, gdy dane osobowe są zbieranie nie od osoby, której one dotyczą. Administrator jest zobowiązany do poinformowania osoby zaraz po utrwaleniu zebranych danych m. in. o adresie siedziby oraz pełnej nazwie administratora danych, a także o źródle danych czy celu zbieranych określonych danych.
Administrator danych, który przetwarza dane powinien chronić interesy osób, których danych te dotyczą. W szczególności musi zadbać, aby dane były przetwarzane w sposób legalny – zgodny z prawem. Zbieranie danych musi odbywać się dla celów, które są oznaczone, zgodne z prawem. Zabronione jest dalsze przetwarzanie danych niezgodnie z wyznaczonymi celami. Dane osobowe muszą być również merytorycznie poprawne, jak również adekwatne w porównaniu do celów przetwarzania. Dodatkowo administrator musi przechowywać dane w postaci umożliwiającej identyfikację osób, których dane dotyczą jednak nie dłużnej niż jest to wygadane do osiągnięcia celu przetwarzania.
Administrator danych przetwarzanie danych może powierzyć innemu podmiotowi, poprzez umowę w formie pisemnej.