Każdy podmiot leczniczy przetwarza dane osobowe swoich pacjentów. Informacje te dotyczą najbardziej intymnych sfer każdego człowieka. Dobra osobiste chronione przez lekarza to nie tylko życie i zdrowie, ale także prywatność i intymność pacjenta.
Przepisy prawa kwalifikują podmiot, który przetwarza dane jako administratora danych osobowych. Fakt ten pociąga za sobą istotne skutki prawne. Podmiot leczniczy jest bowiem zobowiązany do przestrzegania określonych zasad przetwarzania danych a także zachowania szczególnych reguł bezpieczeństwa w zakresie ochrony danych osobowych swoich pacjentów.
Przepisy te są egzekwowane, albowiem Generalny Inspektor Danych Osobowych ma uprawnienie do kontrolowania administratorów danych – podmiotów leczniczych. Kontrole takie mogą nastąpić z własnej inicjatywy inspektora, ale także na wniosek osoby trzeciej np. niezadowolonego pacjenta.
Ustawodawca przewidział możliwość wprowadzenia swoistego „pośrednika” pomiędzy Generalnym Inspektorem Danych Osobowych a administratorem danych. Podmiot leczniczy ma uprawnienie do wyznaczenia Administratora Bezpieczeństwa Informacji, którego zgłasza do właściwego organu i którego obowiązkiem jest zapewnienie bezpieczeństwa informacji o danych osobowych. Wyznaczony administrator bezpieczeństwa informacji sporządza sprawozdania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i nadzoruje procedury procesu przetwarzania danych. Osoba pełniąca funkcję ABI ma ustawowo zagwarantowaną niezależność w ramach pełnionych funkcji i podlega jedynie kierownikowi jednostki będącej administratorem danych.
Niezależność ta jest niezbędna albowiem w przypadku powołania administratora bardzo często Generalny Inspektor Danych Osobowych nie przeprowadza kontroli za pośrednictwem inspektorów zewnętrznych, lecz zleca sporządzenie raportu o zabezpieczeniu danych powołanemu Administratorowi.
Powierzenie funkcji ABI mojej kancelarii wiąże się z szeregiem korzyści. Ochrona informacji w jednostce leczniczej powierzona jest wyspecjalizowanemu podmiotowi, który organizuje zabezpieczenie informacji tak, aby procedury odpowiadały wprost przepisom prawa. Pamiętać nadto należy, że dane przetwarzane przez podmiot leczniczy zwierają informacje, których ujawnienie stanowi zawsze naruszenie dóbr osobistych pacjenta. Z tego też względu procedury zabezpieczenia danych muszą czynić zadość nie tylko przepisom ustawy o ochronie danych osobowych, ale także stanowić rękojmię należytego obchodzenia się z wrażliwymi informacjami o pacjentach. Do niewątpliwych zalet korzystania z opisywanej usługi należy również fakt, iż w przeważającej ilości przypadków GIODO nie przeprowadza kontroli zewnętrznej tylko zleca sporządzanie raportów zarejestrowanym administratorom bezpieczeństwa informacji.