Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (u.o.d.o.) posługuje się pojęciem „administratora danych”. Według jej art. 7 pkt 4, jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Inaczej mówiąc, podmiot, który posiada wobec danych osobowych władztwo decyzyjne, tzn. decyduje np., jakie dane gromadzi i przechowuje, na jakiej podstawie i komu je udostępnia oraz jakie stosuje wobec nich środki bezpieczeństwa.
Administratorem danych jest więc np. bank, urząd skarbowy, dyrektor szkoły, zakład ubezpieczeń społecznych, urząd gminy, spółdzielnia mieszkaniowa, spółka świadcząca usługi z zakresu zaopatrywania w wodę czy odbioru ścieków.
Niektóre podmioty mają problem z właściwym wskazaniem administratora danych, choć w przypadku jednostek publicznych jego rozwiązanie nierzadko znajduje się w przepisach prawa, stanowiących podstawę utworzenia zbioru, w którym przetwarzane są dane osobowe. Zazwyczaj wskazują one, kto jest odpowiedzialny za utworzenie i prowadzenie zbioru danych osobowych oraz na jakich zasadach winien to robić. Przykładowo, administratorem danych zawartych w zbiorach PESEL oraz ogólnokrajowej ewidencji wydanych i utraconych dowodów osobistych jest minister właściwy do spraw wewnętrznych (w myśl art. 44i ust. 3 Ustawy z 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych).