Czy administratorem bezpieczeństwa informacji może być inny podmiot, niż osoba fizyczna.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie jest to wprost określone w ustawie. W literaturze przedmiotu stwierdza się, że„mimo że ustawa o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną” (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005, str. 252 i nast.).
Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Niewątpliwie w powołanym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.Zastrzec przy tym należy, że administratorem bezpieczeństwa informacji nie musi być osoba zatrudniona u administratora danych, może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki. Jednakże - jak podkreśla A. Drozd we wspomnianym komentarzu - „administrator danych powinien mieć wpływ na wybór konkretnej osoby, ponieważ zgodnie z art. 36 ust. 3 to administrator danych, a nie inny podmiot ma obowiązek wyznaczyć ABI, a ponadto powinien dołożyć szczególnej staranności, aby wybrana osoba dawała rękojmie prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych. Administrator danych powinien wyznaczyć ABI w sposób gwarantujący ciągłość wykonywania przez niego obowiązków. Nieprawidłowe byłoby np. zawarcie z przedsiębiorcą umowy o świadczenie usług w zakresie kontroli przestrzegania przepisów dotyczących zabezpieczenia danych osobowych, jeżeli umowa ta pozostawiałaby temu przedsiębiorcy dowolność w zakresie wyznaczania osób pełniących obowiązki ABI u będącego jej stroną administratora danych.”
