Відповідно до Закону України «Про захист персональних даних» володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору у письмовій формі. Розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних, на підставі договору у письмовій формі, або законом надано право обробляти ці дані.
Відповідно до Закону України «Про захист персональних даних» та пункту 1.8 Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 р. за №3659/5, володілець бази персональних даних визначає:
1) мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
2) порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
3) відповідальну особу або структурний підрозділ, на який покладено організацію роботи, пов'язаної із захистом персональних даних при їх обробці;
4) порядок захисту персональних даних, у тому числі від незаконної обробки та незаконного доступу до них.
Крім того, володілець бази/баз персональних даних повинен:
1) визначити та затвердити мету обробки персональних даних у базах персональних даних;
2) встановити склад персональних даних;
3) встановити процедуру обробки персональних даних;
4) визначити відповідальну особу/структурний підрозділ, відповідальний за організацію процесів з обробки персональних даних;
5) здійснити реєстрацію баз персональних даних.