W opinii GIODO, powołanie oraz wspieranie administratora bezpieczeństwa informacji (ABI) w pełnieniu jego funkcji leży w interesie administratora danych.

W ostatnim czasie przybywa podmiotów, które w kompetentnym, posiadającym fachową wiedzę administratorze bezpieczeństwa informacji upatrują niezbędnej pomocy zarówno w przestrzeganiu obecnych wymogów prawnych w zakresie ochrony danych osobowych, jak i w przygotowaniu się do stosowania nowych unijnych przepisów zawartych w rozporządzeniu ogólnym o ochronie danych osobowych.Coraz częściej też decyzja o posiadaniu we własnej organizacji osoby zapewniającej wewnętrzną kontrolę w zakresie ochrony danych osobowych, jest świadomym wyborem administratora danych i poprzedzona jest wstępną weryfikacją doświadczenia i wiedzy takiej osoby.

Pozytywna tendencja

W ocenie GIODO, ostatnie dwa lata, czyli czas od momentu wprowadzenia 1 stycznia 2015 r. w ustawie o ochronie danych osobowych szczegółowych przepisów dotyczących statusu i zadań ABI, był okresem wzrostu znaczenia i pozycji ABI. Wykonując wiele swoich nowych obowiązków, zdobywali oni większe doświadczenie i poszerzali swoją wiedzę. Upowszechniali również wiedzę o zasadach i obowiązkach w zakresie ochrony danych osobowych w swoich organizacjach, często zyskując coraz większe zrozumienie i wsparcie u kadry zarządzającej oraz wśród pracowników. W ten sposób w wielu instytucjach ABI tworzyli lub rozwijali coraz bardziej skuteczne systemy nadzoru nad zgodnym z prawem przetwarzaniem danych osobowych, dobrze służące zarówno dobru klientów lub interesantów, jak i pozytywnemu wizerunkowi administratora danych.

Od ABI do inspektora ochrony danych

Przepisy rozporządzenia ogólnego o ochronie danych osobowych, które zacznie być stosowane od 25 maja 2018 r., przewidują, że ABI zostanie zastąpiony przez inspektora ochrony danych, a jego powołanie, w przeciwieństwie do ABI, w wielu przypadkach będzie obowiązkowe. Dotyczy to m.in. takich przypadków, gdy:

• administratorem danych lub podmiotem przetwarzającym dane jest organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główną działalnością administratora lub podmiotu przetwarzającego są operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główną działalnością administratora lub podmiotu przetwarzającego jest  przetwarzanie na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Zarejestrowani ABI - inspektorami ochrony danych z mocy prawa

W opinii GIODO jednym z przepisów, które powinny się znaleźć w nowej ustawie ochronie danych osobowych w związku z koniecznością wdrożenia ogólnego rozporządzenia o ochronie danych jest przepis przejściowy, zgodnie z którym ABI zarejestrowani przed 25 maja 2018 r. w ogólnokrajowym, jawnym rejestrze administratorów bezpieczeństwa informacji staliby się z mocy prawa inspektorami ochrony danych osobowych. Takie rozwiązanie uzasadnione jest faktem, że obecny status i kompetencje administratorów bezpieczeństwa informacji, który obowiązuje od 1 stycznia 2015 r., miał na celu przygotowanie tej grupy osób do wymogów określonych ogólnym rozporządzeniem o ochronie danych, jak również związaną z tym postępującą profesjonalizacją osób pełniących tę funkcję. W ocenie GIODO spowoduje ono, że administratorzy bezpieczeństwa informacji, którzy spełnili wszystkie obecnie wymagane kryteria, będą mogli dalej pełnić swoją funkcję bez konieczności powoływania ich na stanowisko inspektora ochrony danych.