Wyznaczenie Administratora Bezpieczeństwa Informacji w obecnym stanie prawnym

Administrator Bezpieczeństwa Informacji (w skrócie zwany ABI) jest osobą fizyczną, która odpowiada za szeroko pojętą ochronę danych osobowych w przedsiębiorstwie lub urzędzie.
Pierwsze pytanie jakie pada w kontekście ABI-ego to obowiązek wyznaczenie/utworzenia takiego stanowiska.

W doktrynie nie było jednolitego stanowiska odnośnie wyznaczenia ABI-ego. Powyższe wynikał z okoliczności, iż ustawa o ochronie danych osobowych nie nakłada takiego obowiązku wprost na administratora danych (ani tym bardziej sankcji za niewyznaczenie ABI-ego). W obecnym stanie prawnym administrator danych może wyznaczyć ABI-ego, którego zadaniem będzie przestrzeganie zasad ochrony danych osobowych.
W praktyce pojawiają się jednak jeszcze dwie kwestie, które znacząco wpływają na omawiany obowiązek.  Po pierwsze inspektorzy GIODO uważają, iż wyznaczenie ABI-ego jest obowiązkiem administratora danych i biada kontrolowanemu administratorowi, który nie wyznaczy takiej osoby. Po drugie administrator danych, który nie wyznaczy ABI-ego nie zarejestruje zbioru danych osobowych w GIODO. Opisane stanowisko GIODO zostało potwierdzone przez WSA (II SA/Wa 630/12). Sąd uznał, iż administrator danych (jeżeli nie jest osobą fizyczną prowadzącą działalność gospodarczą) powinien wyznaczyć ABI-ego. Warto jednakże wspomnieć, iż wyrok nie jest prawomocny, czyli NSA może go podważyć.

ABI musi być osobą fizyczną. Pytanie tylko kto powinien być ABI-im? Najlepiej by było jakby ABI miał wykształcenie prawnicze i informatyczne oraz oczywiście znał się na szeroko pojętej ochronie danych osobowych. Z doświadczenia wiem, że bardzo ciężko jest znaleźć osobę spełniającą powyższe kryteria. Nic nie stoi na przeszkodzie aby osoba pełniąca funkcję ABI może pełniła również inne funkcję. W praktyce ABI-im bardzo często jest dyrektor działu IT wspomagany w zadaniach nieinformatycznych przez dział prawny. Dosyć częstym rozwiązaniem jest outsourcing funkcji ABI do podmiotów wyspecjalizowanych w tej dziedzinie. ABI oprócz wykształcenia (przyjmijmy, że ABI jest prawnikiem lub informatykiem) powinien mieć wiedzę na temat wszystkich procesów związanych z przetwarzaniem danych osobowych w podmiocie w którym pracuje. Oprócz wiedzy z „życia firmy lub urzędu” powinien mieć możliwość realnej możliwości wpływania na procesy związane z przetwarzaniem danych osobowych. Jeżeli ABI nie ma możliwości chociażby zakomunikowania zarządowi, iż nowy pomysł działu marketingu jest niezgodny prawem to powstaje pytanie o celowość wyznaczenia ABI-ego. Idealnym rozwiązaniem jest branie udziału przez ABI-ego w pracach nad nowymi projektami przed ich prowadzaniem, co znaczenie pomaga w zapewnieniu legalności przetwarzanych danych osobowych według starej lekarskiej zasady, że „lepiej zapobiegać niż leczyć”.