Z początkiem 2015 r. weszła w życie nowelizacja ustawy o ochronie danych osobowych, umożliwiająca powołanie u administratora danych administratora bezpieczeństwa informacji (ABI), zwalniających ich tym samym w znacznej mierze (nierzadko całkowicie) z obowiązku zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) zbiorów przetwarzanych przez nich danych osobowych. Jednakże nowelizacja może kryć w sobie dodatkowy haczyk.Zgodnie z nowelizowanymi przepisami, powołanie ABI u administratora danych może wiązać się z wieloma niekorzystnymi aspektami dla przedsiębiorcy. ABI podlegać ma bezpośrednio kierownikowi danej jednostki organizacyjnej np. zarządowi spółki, a obowiązkiem przedsiębiorcy będzie zapewnienie środków koniecznych do wykonywania jego zadań i zagwarantowanie organizacyjnej odrębności. Niejednokrotnie będzie to wymagało utworzenia odrębnego stanowiska (co wiąże się z dodatkowymi kosztami). Dlaczego ABI powinien pełnić swoją funkcję w sposób gwarantujący pewną niezależność? Dlatego, że ABI będzie miał obowiązek na żądanie GIODO informować go o stanie bezpieczeństwa danych osobowych w firmie (w drodze sprawozdania). W związku z tym rodzi to pewne obawy przedsiębiorców, że w wyniku działań ABI mogą zostać ujawnione wszelkie nieprawidłowości firmy. Niektórzy wskazują wręcz, że powołanie ABI będzie równoznaczne z posiadaniem wewnątrz firmy własnego inspektora ochrony danych osobowych (spotkać się można również z terminem „wtyczki”). Natomiast pozytywnym aspektem utworzenia takiego stanowiska jest zdjęcie w znacznej mierze odpowiedzialności za kontrolę sposobu przestrzegania bezpieczeństwa danych osobowych z administratora danych, a ponadto, jak wskazaliśmy powyżej – zwolnienie z obowiązku zgłaszania do GIODO zbioru danych osobowych. Taka regulacja miała zachęcać administratorów danych osobowych do powoływania u siebie ABI, co miało w praktyce doprowadzić do wykonywania nadzoru nad danymi osobowymi przez specjalnie ku temu wykwalifikowaną osobę i z pewnością zwiększyłoby poziom bezpieczeństwa danych osobowych. Idea słuszna, natomiast wdrożone rozwiązania z pewnością są dyskusyjne. Na dziś wśród przedsiębiorców przeważają ww. obawy i jak pokazuje praktyka wielu przedsiębiorców niechętnie powołuje ABI. Niestety dodatkowo ustawodawca do dziś nie uchwalił praktycznie żadnych przepisów wykonawczych do znowelizowanej ustawy, które szczegółowo miały regulować zakres i sposób wykonywania swoich obowiązków przez ABI, co tylko dodatkowo utrudnia wdrożenie nowych rozwiązań u administratorów danych.