„Nieformalny ABI” – czy uwzględnić go w polityce bezpieczeństwa

Jeżeli administrator bezpieczeństwa informacji nie został powołany, to wszystkie obowiązki związane z ochroną danych osobowych ciążą na ADO. Administrator danych może korzystać z pomocy określonych pracowników.

W takim przypadku zazwyczaj nie określa się jednak ich w aktach wewnętrznych (ani z imienia i nazwiska ani z funkcji) lecz pisze się o ogólnie o „ADO”. Szczegółowy rozdział obowiązków regulują zaś struktura organizacyjna oraz umowy o pracę, w których każdy z pracowników ma zapisany określony zakres obowiązków.

Nie ma natomiast przeszkody, aby utworzyć w stanowisko „specjalisty ds. ochrony danych osobowych” i wyznaczyć „nieformalnego ABI” do pełnienia tej funkcji niezależnie od jego pozostałych (zasadniczych) obowiązków. Wówczas można w aktach wewnętrznych, w tym w polityce bezpieczeństwa odnosić się bezpośrednio do takiego stanowiska.

Ma to jednak tę wadę, że w określonych sytuacjach może rodzić wątpliwości, co jeszcze jest obowiązkiem ADO, a co już zostało wyraźnie scedowane na owego specjalistę. Dla kontrolującego szkołę pracownika Biura GIODO nie będzie to problem w tym sensie, że ewentualną grzywnę i tak wymierzy kierownictwu ADO, nie wchodząc w szczegółowy rozdział kompetencji wewnątrz ADO, skoro nie wyodrębniono ABI.