Każdy administrator danych, czyli podmiot, w którym znajdują się jakiekolwiek dane osobowe, powinien zastosować odpowiednie środki bezpieczeństwa, aby chronić je przed nieuprawnionym ujawnieniem. Środki te mają być odpowiednie, adekwatne do zagrożeń i wartości informacji.