Na gruncie obowiązujących przepisów prawa Administrator danych osobowych (dalej jako ADO)  może powołać osobę na stanowisko Administratora bezpieczeństwa informacji (dalej jako ABI), która to osoba zajmie się nadzorem nad przestrzeganiem przepisów o ochronie danych osobowych u ADO, a także będzie prowadzić rejestr zbiorów danych osobowych przetwarzanych przez ADO. W przypadku, gdy ABI zostanie zgłoszony do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych, ADO zostaje zwolniony z obowiązku zgłaszania zbiorów danych osobowych do rejestracji, z wyjątkiem zbiorów danych zawierających dane wrażliwe. Powołanie ABI jest korzystne dla ADO, bowiem w pewnym zakresie przejmuje on obowiązki ADO. Z uwagi na fakt, iż ABI powinien posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych, powołanie takiej osoby powinno stwarzać gwarancje prawidłowości przetwarzania danych osobowych przez ADO. Obecnie, powołanie ABI jest fakultatywne, a zatem to ADO decyduje, czy chce powołać ABI, czy też samodzielnie będzie nadzorować procesy przetwarzania danych osobowych.

Rozporządzenie ogólne dotyczące ochrony danych osobowych, które będzie stosowane od 25 maja 2018 r., wprowadza w pewnych przypadkach obowiązek powołania Inspektora ochrony danych osobowych (obecnie ABI). Obowiązek taki dotyczyć będzie następujących podmiotów:

• organów lub podmiotów publicznych, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; zgodnie z Wytycznymi Grupy Roboczej ds. ochrony danych , powołanie Inspektora ochrony danych powinno być obowiązkowe również w przypadku prywatnych podmiotów realizujących zadania publiczne;
• podmiotów, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, np. podmioty świadczące usługi telekomunikacyjne, podmioty prowadzące działalność marketingową opartą na danych;
• podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę danych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, np. placówki medyczne, banki, zakłady ubezpieczeń.

Rozporządzenie ogólne przewiduje możliwość powołania jednego Inspektora ochrony danych dla grupy przedsiębiorstw (podmiotów powiązanych), jak również dla kilku organów lub podmiotów publicznych powiązanych organizacyjnie.

Za naruszenie obowiązku powołania Inspektora ochrony danych może zostać nałożona na ADO administracyjna kara pieniężna w wysokości do 10.000.000 euro, a w przypadku przedsiębiorstwa – w wysokości 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku (przy czym zastosowanie będzie miała kara wyższa).

Dlatego też należy dokonać specjalistycznej analizy, biorąc pod uwagę charakter, cel i zasięg prowadzonej działalności, czy dany podmiot (ADO) będzie w świetle nowego Rozporządzenia ogólnego zobowiązany do powołania Inspektora ochrony danych.