Ustawa o ochronie danych osobowych nakłada na podmioty, które przetwarzają dane osobowe określone obowiązki, których niedochowanie grozi wysokimi karami.

 Administratorem danych osobowych jest podmiot, który zbiera i przetwarza dane osobowe. Ustawa o ochronie danych osobowych nakłada w związku z tym na taki podmiot określone obowiązki.

Administrator danych osobowych przede wszystkim jest obowiązany wdrożyć dokumentację zawierającą opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ich ochronę. Na dokumentację, o której mowa powyżej składa się polityka bezpieczeństwa oraz instrukcja zarządzania. Dokumentacja ta powinna być prowadzona w formie pisemnej.

Przez wdrożenie informacji, o której mowa powyżej należy rozumieć opracowanie, zatwierdzenie i opublikowanie dokumentacji oraz zaznajomienie z ich treścią osób upoważnionych do przetwarzania danych.

Z obowiązkiem zabezpieczenia przetwarzanych danych osobowych skorelowany jest obowiązek wyodrębnienia osób upoważnionych do przetwarzania danych (każda osoba powinna być do tego upoważniona na piśmie) oraz prowadzenie ewidencji osób upoważnionych do przetwarzania danych.

Ponadto, administrator danych zobowiązany jest do wyznaczenia administratora bezpieczeństwa informacji, tj. osoby, której zadaniem jest nadzorowanie przestrzegania zasad ochrony danych.

Administrator danych obowiązany jest również do rejestracji zbioru zebranych danych osobowych. Rejestracja dokonywana jest poprzez zgłoszenie zbioru danych u Generalnego Inspektora Ochrony Danych Osobowych.

Za niedochowanie wskazanych powyżej obowiązków, zgodnie z ustawą o ochronie danych osobowych, grozi kara grzywny, kara ograniczenia wolności albo pozbawienia wolności, zaś wysokość kary uzależniona jest od rodzaju naruszonego obowiązku.