Pojęcie administratora danych osobowych zostało zawarte w art. 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27.04.2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”) i oznacza: organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych.
Powyższa definicja ma uniwersalny charakter, bowiem stanowi zbiorcze określenie dla podmiotów kontrolujących przetwarzanie danych osobowych zarówno w sektorze prywatnym, jak i publicznym, niezależnie od zakresu i sposobu przetwarzania danych, branży czy skali działania danego podmiotu. Władztwo administratora nad danymi osobowymi (czyli faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o procesach przetwarzania danych osobowych), obowiązki wynikające z RODO i odpowiedzialność, mają najszerszy charakter.
Administrator jest bowiem odpowiedzialny za przetwarzanie danych osobowych zarówno wówczas, gdy sam dokonuje przetwarzania danych, jak i wtedy, gdy przetwarzanie następuje przez inne podmioty w jego imieniu, np. może powierzać wykonywanie czynności przetwarzania innym podmiotom uzyskującym status podmiotów przetwarzających (art. 28 RODO), może też udzielać upoważnienia do wykonywania w jego imieniu określonych czynności osobom, które działają w strukturze organizacyjnej administratora (art. 29 RODO).
Na administratorze spoczywa również na nim ciężar zapewnienia bezpieczeństwa przetwarzania danych osobowych. Obowiązek ten obejmuje z jednej strony wdrożenie środków ochrony danych osobowych zapewniających bezpieczne ich przetwarzanie, a z drugiej – konieczność udokumentowania czynności podejmowanych przez administratora i służących zapewnieniu bezpieczeństwa danych osobowych.
Administrator powinien zatem być w stanie wykazać, że dokonywane przez niego czynności przetwarzania danych osobowych są zgodne z RODO. Od odpowiedzialności będzie mógł się uchylić tylko wtedy, gdy wykaże (innymi słowy: udokumentuje), że zastosował odpowiednie środki organizacyjne i techniczne.
Dlatego też określenie, czy dany podmiot jest administratorem danych osobowych wg RODO czy też nie, jest istotne, gdyż umożliwia weryfikację tego, na kim ciążą obowiązki i odpowiedzialność wynikająca z RODO.