Każdy administrator danych osobowych powinien prowadzić, w ramach Polityki bezpieczeństwa, wykaz zawierający informacje o wszystkich przetwarzanych zbiorach danych osobowych. Część zbiorów podlega obowiązkowi umieszczenia w jednym z rejestrów – prowadzonym w biurze GIODO albo przez administratora bezpieczeństwa informacji.