Każda zmiana dotycząca administratora bezpieczeństwa informacji musi być zgłoszona do GIODO

Powołanie administratora bezpieczeństwa informacji (ABI) jest uprawnieniem, a nie obowiązkiem administratora danych. W przypadku jego niepowołania, jego zadania wykonuje sam administrator danych. Administratorzy informacji bezpieczeństwa zgłoszeni do rejestracji GIODO są wpisywani do ogólnokrajowego rejestru.

Od 1 stycznia 2015 r., aby powierzyć pracownikowi funkcję ABI, kandydat musi spełniać łącznie następujące warunki:

• mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych,
• posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych,
• nie być karanym za umyślne przestępstwo.

Dyrektor placówki musi ocenić, czy powoływana osoba dysponuje wiedzą w zakresie ochrony danych osobowych. Nie jest wymagane, by kandydat na ABI legitymował się formalnymi dokumentami. Najważniejsze, by posiadał odpowiednią wiedzę pozwalającą mu wywiązywać się z ustawowo nałożonych na niego zadań.

Administrator danych, który zgłosi ABI do rejestracji zobowiązany jest zgłaszać Generalnemu Inspektorowi każdą zmianę informacji objętych zgłoszeniem w terminie 14 dni, a także jego odwołanie w terminie 30 dni.

Została dopuszczona możliwość łączenia pełnienia funkcji ABI z wykonywaniem innych zadań w jednostce organizacyjnej. Warunkiem wykonywania przez ABI innych zadań jest, by zadania niezwiązane z ochroną danych osobowych nie naruszyły prawidłowego wykonywania zadań z zakresu ochrony danych osobowych.

Przy podejmowaniu decyzji o powierzeniu ABI dodatkowych obowiązków brane powinny być pod uwagę:

• czasochłonność wykonywania czynności ABI w takich okolicznościach jak rodzaj przetwarzanych danych osobowych, ich ilość, sposób, rodzaj istniejących zabezpieczeń, istniejące ryzyka,
• zakres zadań i ilość czasu potrzebna na wykonanie dodatkowych obowiązków.

Dodatkowe obowiązki nie powinny kolidować z wykonywaniem podstawowych obowiązków ABI, jakimi są zadania z zakresu ochrony danych osobowych.