W?a?ciwe zabezpieczenie danych osobowych jest jednym z podstawowych obowi?zków administratora danych. W tym celu, powinien on stosowa? ?rodki techniczne i organizacyjne zapewniaj?ce ochron? przetwarzanych danych osobowych, odpowiedni? do zagro?e? oraz kategorii danych obj?tych ochron?. Oznacza to, ?e administrator powinien dokonywa? sta?ego monitorowania i oceny gromadzonych danych pod wzgl?dem ich wa?no?ci i konieczno?ci podejmowania dzia?a? ochronnych. Z drugiej strony, konieczne jest obserwowanie rozwoju dost?pnych rozwi?za? technicznych oraz programowych z zakresu ochrony danych osobowych oraz wdra?anie mo?liwie najskuteczniejszych z nich. Zabezpieczenie powinno polega? w szczególno?ci na uniemo?liwieniu dost?pu do nich osobom nieupowa?nionym. Obowi?zek taki ci??y na administratorach przetwarzaj?cych dane w zbiorach (np. ewidencyjnych), ale zbieraj?cych dane w celu utworzenia takiego zbioru. Sposób przetwarzania danych oraz ?rodki bezpiecze?stwa, powinny by? szczegó?owo opisane w dokumentacji, do prowadzenia której zobowi?zany jest administrator danych. Jednym z takich dokumentów jest polityka bezpiecze?stwa, która w sposób zrozumia?y i przyst?pny, szczególnie dla pracowników podmiotu administruj?cego, wskazuje na cele i za?o?enia ochrony danych osobowych. Nie jest konieczne zatem okre?lanie w tym miejscu szczegó?ów technicznych zabezpiecze?. Administrator danych wyznacza równie? osob? pe?ni?c? funkcj? administratora bezpiecze?stwa informacji, którego obowi?zkiem jest nadzorowanie przestrzegania zasad ochrony, b?d? wykonywanie tych czynno?ci samodzielnie.
Do przetwarzania danych mog? by? dopuszczone wy??cznie osoby posiadaj?ce upowa?nienie nadane przez administratora danych. Forma upowa?nienia nie jest okre?lona, ale dla celów dowodowych, a tak?e przede wszystkim dla spe?niania wyznaczonej przez prawo dla niego funkcji, powinno zosta? udzielone na pi?mie. Obowi?zkiem administratora danych jest zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo s? do zbioru wprowadzane oraz komu s? przekazywane. Przez administratora danych prowadzona jest ewidencja osób upowa?nionych do ich przetwarzania, która powinna zawiera? imi? i nazwisko takiej osoby, dat? nadania, ustania oraz zakres upowa?nienia do przetwarzania danych. Je?eli dane przetwarzane s? w systemie informatycznym, w ewidencji powinien si? znale?? równie? identyfikator takiej osoby. Wszyscy, którzy zostali upowa?nieniu do przetwarzania danych, s? zobowi?zani zachowa? w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. Dokumentacja ewidencyjna ma bowiem charakter poufny. Sposób prowadzenia i zakres dokumentacji, a tak?e podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada? urz?dzenia i systemy informatyczne s?u??ce do przetwarzania danych osobowych, zosta?y okre?lone w rozporz?dzeniu wydanym przez ministra w?a?ciwego do spraw administracji publicznej w porozumieniu z ministrem w?a?ciwym do spraw informatyzacji. Wyró?ni? mo?na trzy poziomy zabezpieczenia danych w systemie informatycznym, w zale?no?ci od rodzaju danych i sposobu ich przetwarzania. S? to kolejno, poziom podstawowy, podwy?szony oraz wysoki, a ka?dy kolejny zawiera zasady bezpiecze?stwa poprzedniego oraz zasady dodatkowe.