Zgodnie z art. 36a ust. 7 i 8 ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji (ABI) podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Jak się okazuje dla pracodawcy wcale nie musi to oznaczać uprzywilejowanej pozycji w stosunku do pracownika – ABI. Administrator danych ma obowiązek zapewnić ABI środki i organizacyjną odrębność, jako elementy niezbędne do niezależnego wykonywania przez niego zadań. W przypadku zatrudnienia ABI na etacie, z powyższego może wynikać jego uprzywilejowana pozycja w strukturze firmy, a co za tym idzie utrudnione może być zwolnienie administratora w razie zaistnienia takiej konieczności. Należy ponadto wskazać, że tak czy inaczej to administrator danych, a więc pracodawca ponosi odpowiedzialność karną za ochronę danych osobowych. Co więcej w przypadku zaistnienia sporu między pracodawcą a zatrudnionym ABI może się okazać, że jego niezależność organizacyjna wykluczy możliwość wypowiedzenia umowy o pracę. Na niekorzyść zatrudniania ABI na podstawie umowy o pracę przemawia także ograniczona odpowiedzialność pracownika za szkodę wyrządzoną niewykonaniem lub nienależytym wykonaniem obowiązków, która wynika z art. 114 i nast. kodeksu pracy. Z uwagi na powyższe wydaje się, że korzystniejszym dla administratorów danych osobowych jest poszukiwanie rozwiązań typu outsourcing usług ABI.