Witam, zapoznałem się z wspomnianym przez Pana rozporządzeniem, które znajdzie Pan tutaj (
GIODO Generalny Inspektor Ochrony Danych Osobowych - Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. 2014, poz. 1934)). Jak sama nazwa wskazuje, jest to tylko rozporządzenie w sprawie określenia wzorów zgłoszeń do do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. W tym dokumencie nie ma słowa o żadnych obowiązkowych certyfikatach.
Nawiązując do osoby odpowiedzialnej za bezpieczeństwo informacji, chciałbym przywołać Polską Normę-ISO/IEC 27002:2014-12. Której pkt. 6 "Organizacja bezpieczeństwa informacji" odnosi się do ustanowienia struktury zarządzania w celu zainicjowania oraz wdrażania i eksploatacji bezpieczeństwem informacji w organizacji.
pkt. 6.1.1:
"Zaleca się, aby odpowiedzialność za bezpieczeństwo informacji była określona i przypisana. Zaleca się, aby odpowiedzialność za ochronę poszczególnych aktywów i realizację określonych procesów bezpieczeństwa informacji była wyraźnie zdefiniowana. Zaleca się, aby były określone obowiązki w zakresie działań zarządzania ryzykiem w bezpieczeństwie informacji i w szczególności w zakresie akceptacji ryzyka rezydualnego. Zaleca się, aby tam gdzie jest to niezbędne, ta odpowiedzialność była uzupełniona bardziej szczegółowymi wytycznymi dotyczącymi określonych miejsc lub środków przetwarzania informacji. Ponadto, zaleca się określenie lokalnych obowiązków związanych z ochroną aktywów lub działaniem określonych procesów bezpieczeństwa. Osoby, którym przypisano odpowiedzialność za bezpieczeństwo, mogą przekazywać zadania związane z bezpieczeństwem innym osobom. Jednak pozostają one odpowiedzialne i zaleca się, aby weryfikowały, czy wszystkie delegowane zadania są wykonywane poprawnie. Zaleca się określenie obszarów, za które te osoby są odpowiedzialne, w szczególności zaleca się, aby:
a) aktywa i procesy bezpieczeństwa informacji były zidentyfikowane i określone;
b) dla każdego aktywu lub procesu bezpieczeństwa informacji był wyznaczony podmiot za nie odpowiedzialny oraz aby szczegóły tej odpowiedzialności były udokumentowane;
c) poziomy uprawnień były określone i udokumentowane;
d) mianowane osoby były osobami kompetentnymi i miały możliwość śledzenia na bieżąco postępów w tej dziedzinie wiedzy, aby były w stanie spełnić obowiązki z zakresu bezpieczeństwa informacji;
e) koordynacja i nadzór nad aspektami bezpieczeństwa informacji w relacjach z dostawcami były zidentyfikowane i udokumentowane.
Wiele organizacji wyznacza menedżera bezpieczeństwa informacji, aby brał pełną odpowiedzialność za rozwój
i wdrażanie bezpieczeństwa informacji i wspierał określanie zabezpieczeń.
Jednak odpowiedzialność za zapewnienie zasobów i wdrożenie zabezpieczeń spoczywa często na poszczególnych
kierownikach. Powszechną praktyką jest wyznaczanie dla każdego z aktywów właściciela, który następnie
staje się odpowiedzialny za jego codzienną ochronę."
Jak widać, ta norma też nie nakłada podobnego obowiązku, opisuje jedynie zalecenia jakimi powinna kierować się organizacja, podczas ustanawiania struktury zarządzania bezpieczeństwem informacji w organizacji.
ochrona danych osobowych 
