W celu powierzenia zadań związanych z ochroną danych osobowych i bezpieczeństwem informacji administrator danych może powołać administratora bezpieczeństwa informacji (ABI) i nie ma w tym zakresie żadnej obligatoryjności. Przedsiębiorca może więc zdecydować, czy będzie wykonywał te zadania samodzielnie czy powoła w strukturze swojego przedsiębiorstwa osobę na stanowisku ABI. Jeśli jednak dojdzie do powołania ABI, kolejną kwestią pozostawioną decyzji przedsiębiorcy będzie to, czy powierzyć pełnienie obowiązków ABI jednemu ze swoich pracowników (co ustawodawca wiąże z koniecznością zapewnienia odpowiednich warunków formalno-organizacyjnych - niezależności), czy zewnętrznemu ABI (tzw. outsourcing).
Jak wskazuje temat artykułu, administrator danych osobowych może wybrać do pełnienia obowiązków ABI osobę o wykształceniu prawniczym – a co więcej, bardzo często będzie to korzystny wybór. Warto w tym miejscu nawiązać również do art. 36a ust. 5 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (uODO), który w odniesieniu do kryteriów, które powinien spełniać kandydat na ABI, poprzestaje na niezbędnym minimum. Pkt 2 tego przepisu poza tym, iż wprowadza kategorię ocenną („odpowiednią wiedzę”), najpełniej wyraża tę swobodę odnoszącą się do zakresu podmiotowego osób mogących przejąć obowiązki ABI. Warto jednak zauważyć, że nie każdy prawnik taką „odpowiednią wiedzą w zakresie ochrony danych osobowych” będzie rzeczywiście dysponował. Umiejętności prawnicze nabyte w toku pracy zawodowej będą oczywiście bardzo pomocne, jednak równie istotna będzie znajomość tej dziedziny prawa, która traktuje o ochronie danych osobowych. Wybór osoby o wykształceniu prawniczym do pełnienia funkcji ABI jest często spotykanym w praktyce rozwiązaniem, co wcale nie dziwi gdyż niesie ze sobą wiele korzyści.
Po pierwsze, jak stanowi art. 36a ust. 2 uODO ochrona danych osobowych sprawowana przez ABI będzie opierać się m.in. na sprawdzaniu zgodności przetwarzania danych osobowych z przepisami odnoszącymi się do ich ochrony. Trudno sobie wyobrazić bardziej odpowiednią osobę do wykonywania tego typu czynności niż osoba o wykształceniu prawniczym. ABI nadzoruje także opracowanie i aktualizowanie dokumentacji odnoszącej się do sposobu przetwarzania danych w przedsiębiorstwie i środków służących do ich ochrony. W skład tej dokumentacji wchodzi polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Gdy już wskazana dokumentacja powstanie, kolejnym zadaniem ABI będzie zapewnienie, by zasady w niej wyrażone nie pozostały jedynie „pustymi” hasłami. To ABI będzie odpowiedzialny za ich wdrożenie oraz rzeczywiste funkcjonowanie w przedsiębiorstwie. Nierzadko zdarza się tak, że dokumentację przygotowuje sam ABI, co zdecydowanie ułatwi kwestię realizowania założeń opisanych w dokumentach. Warto wspomnieć o szeroko określonej odpowiedzialności ABI, która przejawia się dodatkowo w obowiązku zapoznawania z ogółem przepisów odnoszących się do ochrony danych - osób, które w przedsiębiorstwie są upoważnione do przetwarzania danych osobowych (tj. pozostałych pracowników). Z pewnością osoba o wykształceniu prawniczym będzie dobrze zaznajomiona z takimi przepisami, jak również będzie posiadać wiedzę oraz doświadczenie w ich stosowaniu, a tym samym będzie najlepszym przewodnikiem dla tych pracowników, którzy mają dostęp do danych oraz wykonują na nich działania w toku wykonywania swoich obowiązków zawodowych. Przejęcie obowiązków ABI przez prawnika gwarantuje wysoki poziom oraz merytoryczne wypełnianie zadań z dziedziny ochrony danych osobowych.
