Oczywiście dokonanie takiej rejestracji nie jest obowiązkowe. Warto jednak pamiętać, a jest to szczególnie ważne dla administratorów danych, którzy korzystali z pomocy takiej osoby, że brak rejestracji do 30 czerwca oznacza, że formalnie utraci ona swój status. Nadal będzie mogła działać w firmie i wspomagać administratora, ale i tak wszystkie obowiązki związane z obsługą danych, zarządzaniem, przygotowaniem odpowiednich dokumentów i ochroną spadną bezpośrednio na administratora. Będą na nim spoczywały wszystkie obowiązki wynikające z ustawy o ochronie danych osobowych (DzU z 2014 r., poz. 1182), tak jakby w jego firmie w ogóle administratora bezpieczeństwa informacji nie było.

Jeżeli osoba taka ma zachować swój status i pozostać administratorem bezpieczeństwa informacji w rozumieniu ustawy, to należy ją zarejestrować. Oczywiście właściwą instytucją do tego jest generalny inspektor ochrony danych osobowych. To on prowadzi jawny rejestr ABI. Zgodnie bowiem z art. 12 pkt 4 ustawy, do zadań generalnego inspektora należy prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach.

Sama możliwość powołania ABI wynika wprost z dodanego na mocy ostatniej nowelizacji przepisów art. 36a. Zgodnie z nim administrator może powołać ABI (może, nie musi). Do jego zadań należy przede wszystkim zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

- sprawdzanie zgodności przetwarzania z właściwymi przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

- nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Ponadto powinien on prowadzić rejestr zbiorów danych przetwarzanych przez danego administratora

Zgodnie z prawem, ABI może być każda osoba, która:

- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

- ma odpowiednią wiedzę w zakresie ochrony danych osobowych,

- nie była karana za umyślne przestępstwo.

Ocena tego, czy dany kandydat posiada odpowiednią wiedzę, należy wyłącznie do przedsiębiorcy (administratora danych). Istnieje jeszcze jeden istotny wymóg, jaki wprowadziły przepisy. Mianowicie, w myśl art. 36a ust. 7, administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.