Podmiot prowadzący serwis internetowy, w którym użytkownicy umieszczają dane osobowe nie musi być administratorem tych danych. Zgodnie z definicją administratora danych osobowych zawartą w ustawie o ochronie danych osobowych (art. 7 pkt 4) administratorem jest osoba, która decyduje o celach i środkach przetwarzania danych osobowych, czyli taka osoba, która faktycznie sprawuje władztwo nad przetwarzanymi danymi.

Podmiot prowadzący serwis, w którym użytkownik tworząc swój profil, podaje dane osobowe, co do zasady nie decyduje, w jaki sposób te dane są wykorzystywane. W takim przypadku administratorem danych jest użytkownik serwisu. Podmiot prowadzący serwis jest zaś osobą, której dane osobowe do przetwarzania powierzono.

Podmiot, któremu dane powierzono do przetwarzania nie ma co prawda obowiązku zgłaszania zbioru danych do GIODO, spoczywa na nim jednak  obowiązek zabezpieczenia danych. Serwis internetowy nie uniknie więc konieczności wdrożenia polityki bezpieczeństwa danych osobowych, instrukcji wewnętrznej ich przetwarzania a także wprowadzenia przewidzianych rozporządzeniem zabezpieczeń technicznych na właściwym poziomie oraz spełniania kilku innych obowiązków.