Vanligtvis är det den juridiska person (till exempel aktiebolag, förening eller myndighet) som fastlägger vilka personuppgifter som ska behandlas i verksamheten och varför. Det betyder att själva organisationen som arbetsgivare är personuppgiftsansvarig och inte en enskild person som till exempel chefen eller en anställd. Dock kan en enskild person vara personuppgiftsansvarig, när det gäller till exempel en enskild firma.