Администраторът на лични данни е основният субект в системата за защита на личните данни, който определя необходимостта от обработване на такива данни и контролира операциите по обработване.
Член 4, т. 7 от Регламент (ЕС) 2016/679 определя администратора на данни като физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни, когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Регламентът предвижда множество задължения, които администратора трябва да съблюдава при обработката на лични данни, свързана с осъществявана от него стопанска или обществена дейност. Част от задълженията вменени на администратора са да въведе подходящи технически и организационни мерки за защита на данните. Предприетите мерки трябва да са съобразени с естеството, обхвата, контекста и целите на обработването, както и с рисковете за правата и свободите на физическите лица. Администраторът е длъжен да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с разпоредбите на Регламента. Това означава, че във всеки един момент администратора трябва да способен да докаже, че е положил необходимата грижа и е изпълнил задълженията си по Регламент (ЕС) 2016/679.
Администраторът е длъжен с оглед дейността си и извършваните дейности по обработка да приеме и прилага подходящи политики за защита на личните данни. Администраторът е длъжен периодично да преразглежда и при необходимост да актуализира приетите мерки и изготвената документация за защита на личните данни.
Регламент (ЕС) 2016/679 предвижда възможност за администратора да възложи на трето лице извършването на част от дейностите по обработка на лични данни, които администратора извършва. Това лице се нарича обработващ лични данни и съгласно чл.4, т. 8 от Регламент (ЕС) 2016/679 обработващ може да бъде физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
Обработващият лични данни е длъжен да приложи подходящи технически и организационни мерки по такъв начин, че възложеното обработване да протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и да осигурява нужната защита на правата на субектите на данни.
Поради съществуващите прилики между фигурите на администратор и обработващ, често в практиката възниква въпроса за какво качество има дадено лице, дали е администратор или обработва. При отговора на този въпрос трябва да се отчита основната разлика между фигурите на администратор и обработващ, а именно, че обработващият не определя сам целите и средствата за обработването на лични данни, а обработва лични данни по нереждане на администратора. Отношенията между администратора и обработващия се уреждат с договор, който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, праватаи задълженията на страните. Със становище Комисията за защита на личните данни е направила примерно изброяване като е определила, че винаги следва да се приемат за администратори на лични данни пощенските оператори, банките, застрахователните дружества и дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата.Това на практика означава, че е необходимо във всеки отделен случай да се изследва характерът на дейността и характерът на взаимоотношенията за да се определи кой дефинира целите и средствата за обработване и съответно има качеството администратор на лични данни.
Регламент (ЕС) 2016/679 създава и фигурата на “Съвместните администратори”, която е налице когато два или повече администратори съвместно определят целите и средствата на обработването. В този случай те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по Регламент 2016/679. Това става посредством договор между съвместните администратори. В договора може да бъде посочен контакт за субектите на данни.