Zgodnie z RODO, każda osoba uzyskująca dostęp do danych osobowych w firmie powinna posiadać stosowne upoważnienie od administratora danych.
W treści upoważnienia należy określić komu jest udzielane i na jaki okres oraz opisywać zakres przedmiotowy upoważnienia, tj. jakie dane osobowe konkretny pracownik może na jego podstawie przetwarzać. Zakres upoważnienia powinien być adekwatny do zadań i czynności wykonywanych na rzecz pracodawcy, dlatego słuszną praktyką przy udzielaniu upoważnień jest odwołanie się do zakresu obowiązków danego pracownika.
Co istotne, zakresy upoważnień powinny się różnić w zależności od zajmowanego w firmie stanowiska. Przykładowo, księgowa czy pracownik działu kadr potrzebują innego dostępu do danych osobowych niż osoba zatrudniona w dziale marketingowym.
Jeżeli dany pracownik nie będzie przetwarzać danych osobowych w ramach wykonywania obowiązków powierzonych mu przez pracodawcę, co może się zdarzyć np. w przypadku pracowników produkcyjnych, nie potrzebuje upoważnienia. Oceny, komu i jakiego upoważnienia należy udzielić, powinno się dokonywać na podstawie zajmowanego stanowiska i przydzielonych obowiązków. Jest to kwestia wewnątrz-organizacyjna.
Zakres upoważnienia powinien decydować o uprawnieniach dostępowych do systemu informatycznego. Każdy pracownik powinien otrzymywać dostęp adekwatny do wykonywanych przez siebie zadań i zakresu upoważnienia, udzielonego przez administratora. Złą i niezgodną z RODO praktyką, na szczęście coraz rzadziej spotykaną, jest udostępnianie zasobów systemu informatycznego wewnątrz firmy bez ograniczeń.
Warto dodać, że upoważnienia powinny być udzielane także praktykantom i stażystom, o ile tylko mogą oni uzyskiwać dostęp do danych osobowych.
Treść upoważnienia powinna także określać długość jego ważności. W praktyce najczęściej spotyka się upoważnienia, które obowiązują od daty ich udzielenia do zakończenia stosunku pracy (w przypadku pracowników) albo rozwiązania lub wygaśnięcia umowy cywilnoprawnej.
Zgodnie z RODO, każdy podmiot przetwarzający powinien zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Zapis taki jest jednym z obowiązkowych elementów umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.
Jeżeli z innych dokumentów, które podpisał pracownik, np. z umowy o pracę nie wynika obowiązek do zachowania danych w poufności, to pracodawca powinien zadbać, aby pracownik przyjąć na siebie zobowiązanie do zachowania danych osobowych w tajemnicy przy okazji udzielania mu upoważnienia do przetwarzania danych osobowych. Zobowiązanie to powinno mieć formę pisemną.
Prawny wymóg posiadania takiego upoważnienia istniał także pod rządami ustawy o ochronie danych osobowych z 1997 r. i te firmy, które przestrzegały jej przepisów i udzielały upoważnień, często wskazywały w ich treści podstawę prawną. Ponieważ z dniem 25 maja 2018 r. powyższa ustawa została uchylona, te upoważnienia, w których powołano się na jej przepisy, powinny zostać zaktualizowane.
Z kolei te upoważnienia, które w swej treści nie zawierały odwołań do ustawy z 1997 r., co do zasady nie muszą być udzielane na nowo, o ile oczywiście nie zawierają jakichś elementów, które byłyby niezgodne z RODO. Jest to raczej mało prawdopodobne, bo rozporządzenie samo w sobie nie określa bliżej treści upoważnienia do przetwarzania danych osobowych, ani nie wprowadza żadnego formalnego wzoru w tym zakresie.
Stara ustawa o ochronie danych osobowych z 1997 r. nakładała na administratorów danych obowiązek prowadzenia ewidencji udzielonych upoważnień. Analogicznego obowiązku nie zapisano bezpośrednio w treści RODO, ale prowadzenie takiej ewidencji jest zalecane, ponieważ umożliwi administratorowi sprawowanie większej kontroli nad tym, kto w danym czasie ma prawo przetwarzać dane osobowe w ramach firmy.
Powyższe jest istotne z punktu widzenia zapewnienia przejrzystości przetwarzania danych osobowych w ramach organizacji, a także może być ułatwić postępowanie wyjaśniające w przypadku stwierdzenia incydentu w obszarze ochrony danych.