Zgodnie z art. 36a ust. 1 znowelizowanej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych „administrator danych może ( nie musi) powołać administratora bezpieczeństwa informacji” (ABI). W przypadku niepowołania administratora bezpieczeństwa informacji – zadania przypisane ABI w art. 36a ust. 2 pkt 1 (z wyłączeniem obowiązku sporządzania sprawozdania) wykonuje administrator danych – stanowi o tym art. 36b.
Z tej normy jednoznacznie wynika, że nie ma obowiązku powoływania Administratora Bezpieczeństwa Informacji. Generalny Inspektor Ochrony Danych Osobowych niejednokrotnie już podkreślał, że powołanie administratora bezpieczeństwa informacji jest prawem, a nie obowiązkiem administratora danych. Takie stanowisko można odnaleźć na stronie GIODO: http://www.giodo.gov.pl/1520223/id_art/8344/j/pl/.