Administratorzy danych, którzy mają siedzibę, albo miejsce zamieszkania w państwie trzecim i przetwarzają dane osobowe przy użyciu środków technicznych znajdujących się na terytorium RP, są zobowiązani do ustanowienia przedstawiciela w Rzeczypospolitej Polskiej (art. 31a w zw. z art. 3 ust. 2 pkt 2). Obowiązek dotyczy wyznaczenia przedstawiciela na terytorium RP, w związku z czym nie jest wystarczające wyznaczenie go na terenie państw EOG[1].
Administratorem danych osobowych jest podmiot zobowiązany do przestrzegania ustawy, decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy). Wymaga podkreślenia, że warunki te (tj. zaliczenie do zakresu podmiotowego ustawy i decydowanie o celu i zakresie przetwarzania danych) muszą być spełnione łącznie[1].
Punktem wyjścia dla rozważań dotyczących zasad przetwarzania danych osobowych jest art. 26 u.o.d.o. stanowiący nakaz zachowania szczególnej staranności podczas przetwarzania danych osobowych. Art. 26 wprost stanowi, że administrator danych powinien dołożyć „szczególnej staranności”. W literaturze zarysowały się dwa stanowiska dotyczące interpretacji użytego w ustawie pojęcia szczególnej staranności[1]. Zgodnie z pierwszym z nich szczególna staranność to staranność najwyższa od osoby prowadzącej cudze sprawy.