W art. 36a ust. 5 znowelizowanej u.o.d.o. określono, iż funkcję ABI może pełnić osoba, która:

1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3. nie była karana za umyślne przestępstwo.

Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

"