Jeżeli administrator danych sam nie nadzoruje przestrzegania zasad ochrony danych to zobowiązany jest wyznaczyć administratora bezpieczeństwa informacji. (art. 36 ust. 3 ustawy).
Administrator bezpieczeństwa informacji jest zobowiązany nadzorować stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Nadzorowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych polega na: