[b]Czy administratorem bezpieczeństwa informacji może być inny podmiot niż osoba fizyczna?[/b]
W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie jest to dopuszczalne.
Również w literaturze przedmiotu stwierdza się, że "mimo że ustawa o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną" (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005, str. 252 i nast.).
Zgodnie z art. 36 ust. 3 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=7488C101F254F9FF25F7F7265829C5E9?id=166335]ustawy o ochronie danych osobowych[/link] istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Niewątpliwie [b]w powołanym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.[/b]
