Zgodnie z art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (t.j. Dz.U. L 119/2016 z późn. zm.) - RODO: „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.” Zgodnie z tą definicją, pracodawca, jako ADO musi udzielić swojemu pracownikowi upoważnienie, do przetwarzania danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych wyraził swoje zalecenia, co do przetwarzania danych osobowych, przez pracownika. W dokumencie "Ochrona danych osobowych w miejscu pracy-Poradnik dla pracodawców", wydanym w październiku 2018 roku, można znaleźć następujący zapis:

„Należy pamiętać, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba że inne przepisy przewidują od tego wyjątek. W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych.”

Przepisy nie określają, w jakiej formie to upoważnienie powinno zostać zrobione. Rekomendowanym jest forma pisemna. Zapis w umowie o pracę, traktujący tylko o tym, że pracownik jest upoważniony w ramach obowiązków służbowych, do przetwarzania danych osobowych, może być niewystarczający. Rekomendowanym jest sporządzenie z pracownikiem osobnego upoważnienia, do przetwarzania danych osobowych. W dokumencie powinny być wyszczególnione dane, do których pracownik ma dostęp. Nieskonkretyzowanie przetwarzanych danych osobowych, może doprowadzić do sytuacji, w której pracownik będzie miał również dostęp do tych danych, które bezpośrednio nie wynikają z wykonywanych przez niego obowiązków służbowych.