Na administratorze danych osobowych spoczywają określone obowiązki. Jednym z nich jest obowiązek informacyjny. Obowiązek ten musi być spełniony w momencie gromadzenia danych oraz na każdym dalszym etapie przetwarzania danych osobowych.

Obowiązek zapewnienia ochrony przetwarzanych danych osobowych spoczywa ma administratorze danych. To on jest zobowiązany do zastosowania środków technicznych oraz organizacyjnych, które zapewnią ochronę danych. Administrator musi zabezpieczyć dane przed ich ewentualnych udostępnieniem osobom nieupoważnionym, jak również przed zabraniem przez osobę nieuprawnioną, ich tratą, zmianą, uszkodzenie, zniszczeniem czy przetwarzaniem niezgodnie z przepisami prawa.

Zgodnie z przepisami kodeksu cywilnego dobra osobiste człowieka takie jak m. in.: zdrowie, cześć, wolność, swoboda sumienia, wizerunek, nazwisko lub pseudonim, tajemnica korespondencyjna, podlegają ochronie prawa cywilnego. Ustawodawca przewidział zarówno majątkowe środki ochrony dóbr osobistych, jak i niemajątkowe środki ochrony.

Generalny Inspektor Ochrony Danych Osobowych posiada uprawnienie do nakładania określonych sankcji administracyjnych za naruszenia z zakresie ochrony danych osobowych. Generalny Inspektor kontroluje przetwarzanie danych pod kątem zgodności z przepisami ustawy o ochronie danych osobowych. Wydaje również decyzje administracyjne oraz rozpatruje skargi w sprawach wykonania przepisów. Generalny Inspektor zapewnia wykonywanie przez podmioty do tego zobowiązane obowiązków o charakterze niepieniężnym, które wynikają z wydanych przez niego decyzji, poprzez stosowanie środków egzekucyjnych przewidziany w ustawie i postępowaniu egzekucyjnym w administracji.

Co do zasady na administratorze danych osobowych ciąży obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi. Rejestr prowadzony przez Generalnego Inspektora jest ogólnokrajowy oraz jawny. Każdemu przysługuje prawo do przeglądu rejestru. Nie każdy zbiór danych podlega jednak rejestracji. Z obowiązku rejestracji są zwolnieni m.in. administratorzy danych:

 

Głównym organem odpowiedzialnym za ochronę danych osobowych jest Generalny Inspektor Danych Osobowych. Szczegółowe kwestie dotyczące uprawnień i obowiązków Generalnego Inspektora określa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Generalny Inspektor jest powoływany i odwoływany przez Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

Pojęcie zgody jest definiowane w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodą jest oświadczeniem woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana czy też dorozumiana.

Przetwarzanie danych, a więc ich zbieranie, przechowywanie, utrwalanie, zmienianie, opracowywanie, udostępnianie i usuwanie, jest dopuszczalne tylko w przypadkach określonych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Określone warunki nie mają charakteru łącznego, co oznacza, że spełnienie chociażby jednego z nich daje podstawę do zgodnego z prawem przetwarzania danych.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych definiuje pojęcie danych osobowych, przez które należy rozumieć wszelkie informacje dotyczące zarówno zidentyfikowanej jak i możliwej do zidentyfikowania osoby fizycznej. Zidentyfikowanie osoby jest możliwe przez określenie tożsamości w sposób bezpośredni czy pośredni, poprzez wskazanie na numer identyfikacyjny bądź ten określony czynnik dotyczący cech fizjologicznych, fizycznych, umysłowych, kulturowych, ekonomicznych czy społecznych.